4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382

Resubmissions

24/02/2022, 16:15

220224-tql4kadcf3 10

24/02/2022, 03:08

220224-dmw7csbgg3 10

Analysis

max time kernel
119s
max time network
123s
platform
windows7_x64
resource
win7-en-20211208
submitted
24/02/2022, 16:15

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

43564aa0-94f8-11ec-9d1d-005056a01a83.exe
Size

3.1MB
MD5

d5d2c4ac6c724cd63b69ca054713e278
SHA1

f32d791ec9e6385a91b45942c230f52aff1626df
SHA256

4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382
SHA512

9c2e86ff9da4e8b8e7caa62cd298f5725a459151dc655845fe614bf33639ed975850b3e9ae204d8a9d145a86214c35a486c06787a7ad8a88a85d121d3ee50c91

Score

10^/10

ransomware spyware stealer

Malware Config

Extracted

Path

C:\Users\Admin\Desktop\read_me.html

Ransom Note

<!DOCTYPE html> <html lang="en"> <head> <meta charset="utf-8"> </head> <body> "The only thing that we learn from new elections is we learned nothing from the old!" <hr> <hr> Thank you for your vote! All your files, documents, photoes, videos, databases etc. have been successfully encrypted! Now your computer has a special ID: 6ca64b10-9595-11ec-90f0-6e24649026a6 <hr> Do not try to decrypt then by yourself - it's impossible! It's just a business and we care only about getting benefits. The only way to get your files back is to contact us and get further instuctions. To prove that we have a decryptor send us any encrypted file (less than 650 kbytes) and we'll send you it back being decrypted. This is our guarantee. NOTE: Do not send file with sensitive content. In the email write us your computer's special ID (mentioned above). <hr> <hr> So if you want to get your files back contact us: 1) [email protected] 2) [email protected] - if we dont't answer you during 3 days <hr> Have a nice day! </body> </html>

Emails

[email protected]

Signatures

Executes dropped EXE 64 IoCs

pid	Process
3080	cmd.exe
3256	6caf0570-9595-11ec-90f0-6e24649026a6.exe
3300	cmd.exe
3388	6cb7f680-9595-11ec-90f2-6e24649026a6.exe
3424	6cbcb170-9595-11ec-90f5-6e24649026a6.exe
3480	6caf0570-9595-11ec-90f1-6e24649026a6.exe
3448	6cb9cb40-9595-11ec-90f2-6e24649026a6.exe
3504	6cbcd880-9595-11ec-90f5-6e24649026a6.exe
3556	cmd.exe
3580	6cbc3c40-9595-11ec-90f2-6e24649026a6.exe
4236	6cd7b380-9595-11ec-9110-6e24649026a6.exe
4260	6cd171f0-9595-11ec-9101-6e24649026a6.exe
4312	6cc69c80-9595-11ec-90f8-6e24649026a6.exe
4348	6cb33b90-9595-11ec-90f2-6e24649026a6.exe
4380	6cb362a0-9595-11ec-90f2-6e24649026a6.exe
4404	6cb31480-9595-11ec-90f1-6e24649026a6.exe
4428	6cbc8a60-9595-11ec-90f5-6e24649026a6.exe
4436	6cc64e60-9595-11ec-90f7-6e24649026a6.exe
4448	6cc60040-9595-11ec-90f6-6e24649026a6.exe
4456	6cb6be00-9595-11ec-90f2-6e24649026a6.exe
4472	6cbb2ad0-9595-11ec-90f2-6e24649026a6.exe
4480	6cb31480-9595-11ec-90f2-6e24649026a6.exe
4488	6cd828b0-9595-11ec-9115-6e24649026a6.exe
4520	6cd28360-9595-11ec-9101-6e24649026a6.exe
4700	6ce32530-9595-11ec-9151-6e24649026a6.exe
4708	6ce484c0-9595-11ec-9159-6e24649026a6.exe
4716	6ce80730-9595-11ec-9183-6e24649026a6.exe
4724	6ce6f5c0-9595-11ec-9168-6e24649026a6.exe
4732	6cde4330-9595-11ec-9121-6e24649026a6.exe
4740	6ce10250-9595-11ec-9145-6e24649026a6.exe
4760	6cc64e60-9595-11ec-90f8-6e24649026a6.exe
4768	6ce7b910-9595-11ec-9179-6e24649026a6.exe
4788	6ce82e40-9595-11ec-9189-6e24649026a6.exe
4804	6ce93fb0-9595-11ec-918e-6e24649026a6.exe
4908	6cea5120-9595-11ec-919e-6e24649026a6.exe
4980	6ced3750-9595-11ec-91ca-6e24649026a6.exe
4992	6cea0300-9595-11ec-9199-6e24649026a6.exe
5048	6ceaed60-9595-11ec-91ac-6e24649026a6.exe
5092	6cf04490-9595-11ec-91eb-6e24649026a6.exe
2848	6cf06ba0-9595-11ec-91eb-6e24649026a6.exe
3352	6cf3c700-9595-11ec-9217-6e24649026a6.exe
2888	6cf17d10-9595-11ec-91fc-6e24649026a6.exe
3348	6cf0e0d0-9595-11ec-91f5-6e24649026a6.exe
3432	6cef0c10-9595-11ec-91de-6e24649026a6.exe
3444	6cc67570-9595-11ec-90f8-6e24649026a6.exe
3768	6ce08d20-9595-11ec-913e-6e24649026a6.exe
3488	6cf32ac0-9595-11ec-9216-6e24649026a6.exe
3608	6cf2dca0-9595-11ec-9215-6e24649026a6.exe
4268	6ce0b430-9595-11ec-913e-6e24649026a6.exe
3864	6cbcd880-9595-11ec-90f6-6e24649026a6.exe
4028	6cc6eaa0-9595-11ec-90f8-6e24649026a6.exe
3956	6cda99b0-9595-11ec-9116-6e24649026a6.exe
760	6cca4600-9595-11ec-90f8-6e24649026a6.exe
3816	6cca1ef0-9595-11ec-90f8-6e24649026a6.exe
3660	6ccf00f0-9595-11ec-90fb-6e24649026a6.exe
3840	6cd394d0-9595-11ec-9102-6e24649026a6.exe
3776	6cd08790-9595-11ec-90fe-6e24649026a6.exe
3984	6cd171f0-9595-11ec-9100-6e24649026a6.exe
3772	6cd08790-9595-11ec-90fd-6e24649026a6.exe
3788	6ce54810-9595-11ec-9161-6e24649026a6.exe
3948	6ce60b60-9595-11ec-9162-6e24649026a6.exe
4052	6cd19900-9595-11ec-9101-6e24649026a6.exe
4048	6cd394d0-9595-11ec-9103-6e24649026a6.exe
4304	6cd394d0-9595-11ec-9105-6e24649026a6.exe

Loads dropped DLL 64 IoCs

pid	Process
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe
1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe

Reads user/profile data of web browsers 2 TTPs
Infostealers often target stored browser data, which can include saved credentials etc.
spyware stealer

Data from Local System
T1005

Credentials in Files
T1081

Delays execution with timeout.exe 1 IoCs

evasion

pid	Process
4800	timeout.exe

Suspicious behavior: RenamesItself 1 IoCs

pid	Process
4508	6cdeb860-9595-11ec-912e-6e24649026a6.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1188 wrote to memory of 1500	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	28
PID 1188 wrote to memory of 1500	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	28
PID 1188 wrote to memory of 1500	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	28
PID 1188 wrote to memory of 520	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	29
PID 1188 wrote to memory of 520	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	29
PID 1188 wrote to memory of 520	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	29
PID 1188 wrote to memory of 268	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	30
PID 1188 wrote to memory of 268	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	30
PID 1188 wrote to memory of 268	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	30
PID 1188 wrote to memory of 588	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	31
PID 1188 wrote to memory of 588	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	31
PID 1188 wrote to memory of 588	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	31
PID 1188 wrote to memory of 1160	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	32
PID 1188 wrote to memory of 1160	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	32
PID 1188 wrote to memory of 1160	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	32
PID 1188 wrote to memory of 572	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	33
PID 1188 wrote to memory of 572	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	33
PID 1188 wrote to memory of 572	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	33
PID 1188 wrote to memory of 1164	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	34
PID 1188 wrote to memory of 1164	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	34
PID 1188 wrote to memory of 1164	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	34
PID 1188 wrote to memory of 1480	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	35
PID 1188 wrote to memory of 1480	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	35
PID 1188 wrote to memory of 1480	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	35
PID 1188 wrote to memory of 1732	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	36
PID 1188 wrote to memory of 1732	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	36
PID 1188 wrote to memory of 1732	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	36
PID 1188 wrote to memory of 544	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	37
PID 1188 wrote to memory of 544	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	37
PID 1188 wrote to memory of 544	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	37
PID 1188 wrote to memory of 1112	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	38
PID 1188 wrote to memory of 1112	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	38
PID 1188 wrote to memory of 1112	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	38
PID 1188 wrote to memory of 288	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	39
PID 1188 wrote to memory of 288	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	39
PID 1188 wrote to memory of 288	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	39
PID 1188 wrote to memory of 1812	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	40
PID 1188 wrote to memory of 1812	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	40
PID 1188 wrote to memory of 1812	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	40
PID 1188 wrote to memory of 620	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	41
PID 1188 wrote to memory of 620	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	41
PID 1188 wrote to memory of 620	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	41
PID 1188 wrote to memory of 380	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	42
PID 1188 wrote to memory of 380	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	42
PID 1188 wrote to memory of 380	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	42
PID 1188 wrote to memory of 812	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	43
PID 1188 wrote to memory of 812	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	43
PID 1188 wrote to memory of 812	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	43
PID 1188 wrote to memory of 968	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	44
PID 1188 wrote to memory of 968	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	44
PID 1188 wrote to memory of 968	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	44
PID 1188 wrote to memory of 1928	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	45
PID 1188 wrote to memory of 1928	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	45
PID 1188 wrote to memory of 1928	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	45
PID 1188 wrote to memory of 1816	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	46
PID 1188 wrote to memory of 1816	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	46
PID 1188 wrote to memory of 1816	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	46
PID 1188 wrote to memory of 1632	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	47
PID 1188 wrote to memory of 1632	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	47
PID 1188 wrote to memory of 1632	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	47
PID 1188 wrote to memory of 2024	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	48
PID 1188 wrote to memory of 2024	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	48
PID 1188 wrote to memory of 2024	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	48
PID 1188 wrote to memory of 1468	1188	43564aa0-94f8-11ec-9d1d-005056a01a83.exe	49

C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe
"C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe"
1⤵
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:1188
- C:\Windows\system32\cmd.exe
  cmd /C copy C:\Users\Admin\AppData\Local\Temp\read_me.html C:\Users\Admin\Desktop\read_me.html
  2⤵
  PID:1500
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6caf0570-9595-11ec-90f0-6e24649026a6.exe
  2⤵
  PID:520
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6caf0570-9595-11ec-90f1-6e24649026a6.exe
  2⤵
  PID:268
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cb31480-9595-11ec-90f1-6e24649026a6.exe
  2⤵
  PID:588
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cb362a0-9595-11ec-90f2-6e24649026a6.exe
  2⤵
  PID:1160
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cb31480-9595-11ec-90f2-6e24649026a6.exe
  2⤵
  PID:572
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cb33b90-9595-11ec-90f2-6e24649026a6.exe
  2⤵
  PID:1164
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cb6be00-9595-11ec-90f2-6e24649026a6.exe
  2⤵
  PID:1480
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cb7f680-9595-11ec-90f2-6e24649026a6.exe
  2⤵
  PID:1732
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cb86bb0-9595-11ec-90f2-6e24649026a6.exe
  2⤵
  PID:544
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cb9cb40-9595-11ec-90f2-6e24649026a6.exe
  2⤵
  PID:1112
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cbb2ad0-9595-11ec-90f2-6e24649026a6.exe
  2⤵
  PID:288
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cbc3c40-9595-11ec-90f2-6e24649026a6.exe
  2⤵
  PID:1812
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cbc6350-9595-11ec-90f3-6e24649026a6.exe
  2⤵
  PID:620
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cbc8a60-9595-11ec-90f4-6e24649026a6.exe
  2⤵
  PID:380
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cbc8a60-9595-11ec-90f5-6e24649026a6.exe
  2⤵
  PID:812
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cbcb170-9595-11ec-90f5-6e24649026a6.exe
  2⤵
  PID:968
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cbcd880-9595-11ec-90f5-6e24649026a6.exe
  2⤵
  PID:1928
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc60040-9595-11ec-90f6-6e24649026a6.exe
  2⤵
  PID:1816
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc64e60-9595-11ec-90f7-6e24649026a6.exe
  2⤵
  PID:1632
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd171f0-9595-11ec-9101-6e24649026a6.exe
  2⤵
  PID:2024
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd7b380-9595-11ec-9110-6e24649026a6.exe
  2⤵
  PID:1468
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd28360-9595-11ec-9101-6e24649026a6.exe
  2⤵
  PID:1728
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc69c80-9595-11ec-90f8-6e24649026a6.exe
  2⤵
  PID:688
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd828b0-9595-11ec-9115-6e24649026a6.exe
  2⤵
  PID:1684
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cde4330-9595-11ec-9121-6e24649026a6.exe
  2⤵
  PID:1108
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce10250-9595-11ec-9145-6e24649026a6.exe
  2⤵
  PID:892
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce32530-9595-11ec-9151-6e24649026a6.exe
  2⤵
  PID:888
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc64e60-9595-11ec-90f8-6e24649026a6.exe
  2⤵
  PID:952
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce484c0-9595-11ec-9159-6e24649026a6.exe
  2⤵
  PID:1284
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce6f5c0-9595-11ec-9168-6e24649026a6.exe
  2⤵
  PID:1260
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce7b910-9595-11ec-9179-6e24649026a6.exe
  2⤵
  PID:1152
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce80730-9595-11ec-9183-6e24649026a6.exe
  2⤵
  PID:1696
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce82e40-9595-11ec-9189-6e24649026a6.exe
  2⤵
  PID:1652
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce93fb0-9595-11ec-918e-6e24649026a6.exe
  2⤵
  PID:1548
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea0300-9595-11ec-9199-6e24649026a6.exe
  2⤵
  PID:1572
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea5120-9595-11ec-919e-6e24649026a6.exe
  2⤵
  PID:736
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceaed60-9595-11ec-91ac-6e24649026a6.exe
  2⤵
  PID:1656
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ced3750-9595-11ec-91ca-6e24649026a6.exe
  2⤵
  PID:1500
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cef0c10-9595-11ec-91de-6e24649026a6.exe
  2⤵
  PID:760
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf04490-9595-11ec-91eb-6e24649026a6.exe
  2⤵
  PID:268
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf06ba0-9595-11ec-91eb-6e24649026a6.exe
  2⤵
  PID:752
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf0e0d0-9595-11ec-91f5-6e24649026a6.exe
  2⤵
  PID:1604
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf17d10-9595-11ec-91fc-6e24649026a6.exe
  2⤵
  PID:572
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf2dca0-9595-11ec-9215-6e24649026a6.exe
  2⤵
  PID:1164
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf32ac0-9595-11ec-9216-6e24649026a6.exe
  2⤵
  PID:1732
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf3c700-9595-11ec-9217-6e24649026a6.exe
  2⤵
  PID:568
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cbcd880-9595-11ec-90f6-6e24649026a6.exe
  2⤵
  PID:1724
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc67570-9595-11ec-90f8-6e24649026a6.exe
  2⤵
  PID:668
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cda99b0-9595-11ec-9116-6e24649026a6.exe
  2⤵
  PID:616
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce08d20-9595-11ec-913e-6e24649026a6.exe
  2⤵
  PID:1792
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce0b430-9595-11ec-913e-6e24649026a6.exe
  2⤵
  PID:1060
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc6eaa0-9595-11ec-90f8-6e24649026a6.exe
  2⤵
  PID:1940
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cca1ef0-9595-11ec-90f8-6e24649026a6.exe
  2⤵
  PID:784
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cca4600-9595-11ec-90f8-6e24649026a6.exe
  2⤵
  PID:1952
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd08790-9595-11ec-90fd-6e24649026a6.exe
  2⤵
  PID:2384
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd08790-9595-11ec-90fe-6e24649026a6.exe
  2⤵
  PID:2392
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd171f0-9595-11ec-9100-6e24649026a6.exe
  2⤵
  PID:2408
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ccf00f0-9595-11ec-90fb-6e24649026a6.exe
  2⤵
  PID:2424
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce54810-9595-11ec-9161-6e24649026a6.exe
  2⤵
  PID:2456
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd394d0-9595-11ec-9102-6e24649026a6.exe
  2⤵
  PID:2476
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce60b60-9595-11ec-9162-6e24649026a6.exe
  2⤵
  PID:2484
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce54810-9595-11ec-9160-6e24649026a6.exe
  2⤵
  PID:2500
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ccba590-9595-11ec-90f9-6e24649026a6.exe
  2⤵
  PID:2508
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd394d0-9595-11ec-9103-6e24649026a6.exe
  2⤵
  PID:2520
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd394d0-9595-11ec-9104-6e24649026a6.exe
  2⤵
  PID:2528
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd19900-9595-11ec-9101-6e24649026a6.exe
  2⤵
  PID:2552
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd4cd50-9595-11ec-9106-6e24649026a6.exe
  2⤵
  PID:2580
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd394d0-9595-11ec-9105-6e24649026a6.exe
  2⤵
  PID:2588
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cce3da0-9595-11ec-90f9-6e24649026a6.exe
  2⤵
  PID:2600
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd6c920-9595-11ec-910c-6e24649026a6.exe
  2⤵
  PID:2612
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd43110-9595-11ec-9105-6e24649026a6.exe
  2⤵
  PID:2620
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd7b380-9595-11ec-910e-6e24649026a6.exe
  2⤵
  PID:2628
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd801a0-9595-11ec-9111-6e24649026a6.exe
  2⤵
  PID:2640
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cceb2d0-9595-11ec-90fb-6e24649026a6.exe
  2⤵
  PID:2648
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd828b0-9595-11ec-9113-6e24649026a6.exe
  2⤵
  PID:2660
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ccf2800-9595-11ec-90fc-6e24649026a6.exe
  2⤵
  PID:2672
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ccf4f10-9595-11ec-90fd-6e24649026a6.exe
  2⤵
  PID:2684
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd08790-9595-11ec-9100-6e24649026a6.exe
  2⤵
  PID:2696
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd346b0-9595-11ec-9102-6e24649026a6.exe
  2⤵
  PID:2712
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd3e2f0-9595-11ec-9105-6e24649026a6.exe
  2⤵
  PID:2724
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd6c920-9595-11ec-910e-6e24649026a6.exe
  2⤵
  PID:2736
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdac0c0-9595-11ec-9116-6e24649026a6.exe
  2⤵
  PID:2744
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd6c920-9595-11ec-910d-6e24649026a6.exe
  2⤵
  PID:2756
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd43110-9595-11ec-9106-6e24649026a6.exe
  2⤵
  PID:2768
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdda6f0-9595-11ec-9118-6e24649026a6.exe
  2⤵
  PID:2784
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd54280-9595-11ec-9107-6e24649026a6.exe
  2⤵
  PID:2796
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd4cd50-9595-11ec-9107-6e24649026a6.exe
  2⤵
  PID:2808
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cddce00-9595-11ec-911b-6e24649026a6.exe
  2⤵
  PID:2816
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cddce00-9595-11ec-911d-6e24649026a6.exe
  2⤵
  PID:2828
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd54280-9595-11ec-9109-6e24649026a6.exe
  2⤵
  PID:2836
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd5b7b0-9595-11ec-9109-6e24649026a6.exe
  2⤵
  PID:2844
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd801a0-9595-11ec-9112-6e24649026a6.exe
  2⤵
  PID:2856
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cde1c20-9595-11ec-9120-6e24649026a6.exe
  2⤵
  PID:2868
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd7b380-9595-11ec-9111-6e24649026a6.exe
  2⤵
  PID:2880
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd801a0-9595-11ec-9113-6e24649026a6.exe
  2⤵
  PID:2888
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cde4330-9595-11ec-9122-6e24649026a6.exe
  2⤵
  PID:2900
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd5dec0-9595-11ec-910a-6e24649026a6.exe
  2⤵
  PID:2908
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd62ce0-9595-11ec-910b-6e24649026a6.exe
  2⤵
  PID:2916
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd876d0-9595-11ec-9115-6e24649026a6.exe
  2⤵
  PID:2924
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cde4330-9595-11ec-9123-6e24649026a6.exe
  2⤵
  PID:2932
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd93a20-9595-11ec-9115-6e24649026a6.exe
  2⤵
  PID:2940
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd89de0-9595-11ec-9115-6e24649026a6.exe
  2⤵
  PID:2948
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd9af50-9595-11ec-9115-6e24649026a6.exe
  2⤵
  PID:2956
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdac0c0-9595-11ec-9117-6e24649026a6.exe
  2⤵
  PID:2968
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdd0ab0-9595-11ec-9118-6e24649026a6.exe
  2⤵
  PID:2976
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdda6f0-9595-11ec-9119-6e24649026a6.exe
  2⤵
  PID:2984
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdda6f0-9595-11ec-911a-6e24649026a6.exe
  2⤵
  PID:2992
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cddce00-9595-11ec-911a-6e24649026a6.exe
  2⤵
  PID:3000
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cddce00-9595-11ec-911f-6e24649026a6.exe
  2⤵
  PID:3008
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cddf510-9595-11ec-911f-6e24649026a6.exe
  2⤵
  PID:3024
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cde1c20-9595-11ec-911f-6e24649026a6.exe
  2⤵
  PID:3032
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cde1c20-9595-11ec-9121-6e24649026a6.exe
  2⤵
  PID:3048
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cde4330-9595-11ec-9124-6e24649026a6.exe
  2⤵
  PID:3056
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cde4330-9595-11ec-9125-6e24649026a6.exe
  2⤵
  PID:3068
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cde6a40-9595-11ec-9126-6e24649026a6.exe
  2⤵
  PID:1752
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdeb860-9595-11ec-9128-6e24649026a6.exe
  2⤵
  PID:1356
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdeb860-9595-11ec-9129-6e24649026a6.exe
  2⤵
  PID:1756
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdeb860-9595-11ec-912a-6e24649026a6.exe
  2⤵
  PID:1156
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdeb860-9595-11ec-912b-6e24649026a6.exe
  2⤵
  PID:1108
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdeb860-9595-11ec-912e-6e24649026a6.exe
  2⤵
  PID:1260
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cde6a40-9595-11ec-9127-6e24649026a6.exe
  2⤵
  PID:1576
- C:\Users\Admin\AppData\Local\Temp\6cbc6350-9595-11ec-90f3-6e24649026a6.exe
  6cbc6350-9595-11ec-90f3-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\ProPlusWW.msi"
  2⤵
  PID:3080
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdf0680-9595-11ec-912e-6e24649026a6.exe
  2⤵
  PID:3104
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdf2d90-9595-11ec-912f-6e24649026a6.exe
  2⤵
  PID:3112
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cddce00-9595-11ec-911e-6e24649026a6.exe
  2⤵
  PID:3120
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdf2d90-9595-11ec-9130-6e24649026a6.exe
  2⤵
  PID:3128
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdf54a0-9595-11ec-9130-6e24649026a6.exe
  2⤵
  PID:3136
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdf54a0-9595-11ec-9133-6e24649026a6.exe
  2⤵
  PID:3144
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdf7bb0-9595-11ec-9133-6e24649026a6.exe
  2⤵
  PID:3152
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdf7bb0-9595-11ec-9134-6e24649026a6.exe
  2⤵
  PID:3160
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdf7bb0-9595-11ec-9135-6e24649026a6.exe
  2⤵
  PID:3168
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdfa2c0-9595-11ec-9138-6e24649026a6.exe
  2⤵
  PID:3176
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdfc9d0-9595-11ec-9138-6e24649026a6.exe
  2⤵
  PID:3184
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdff0e0-9595-11ec-9139-6e24649026a6.exe
  2⤵
  PID:3192
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce017f0-9595-11ec-9139-6e24649026a6.exe
  2⤵
  PID:3200
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cddce00-9595-11ec-911c-6e24649026a6.exe
  2⤵
  PID:3208
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce03f00-9595-11ec-913a-6e24649026a6.exe
  2⤵
  PID:3216
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce10250-9595-11ec-9144-6e24649026a6.exe
  2⤵
  PID:3224
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce213c0-9595-11ec-9149-6e24649026a6.exe
  2⤵
  PID:3232
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce23ad0-9595-11ec-9149-6e24649026a6.exe
  2⤵
  PID:3240
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce261e0-9595-11ec-914a-6e24649026a6.exe
  2⤵
  PID:3248
- C:\Users\Admin\AppData\Local\Temp\6caf0570-9595-11ec-90f0-6e24649026a6.exe
  6caf0570-9595-11ec-90f0-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\OWOW64WW.cab"
  2⤵
  - Executes dropped EXE
  PID:3256
- C:\Users\Admin\AppData\Local\Temp\6cbc8a60-9595-11ec-90f4-6e24649026a6.exe
  6cbc8a60-9595-11ec-90f4-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\ProPlusWW.xml"
  2⤵
  PID:3300
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce288f0-9595-11ec-914a-6e24649026a6.exe
  2⤵
  PID:3360
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce2b000-9595-11ec-914c-6e24649026a6.exe
  2⤵
  PID:3368
- C:\Users\Admin\AppData\Local\Temp\6cb7f680-9595-11ec-90f2-6e24649026a6.exe
  6cb7f680-9595-11ec-90f2-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\Office64WW.xml"
  2⤵
  - Executes dropped EXE
  PID:3388
- C:\Users\Admin\AppData\Local\Temp\6cbcb170-9595-11ec-90f5-6e24649026a6.exe
  6cbcb170-9595-11ec-90f5-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\ProPsWW2.cab"
  2⤵
  - Executes dropped EXE
  PID:3424
- C:\Users\Admin\AppData\Local\Temp\6cb86bb0-9595-11ec-90f2-6e24649026a6.exe
  6cb86bb0-9595-11ec-90f2-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Network Persistent State"
  2⤵
  PID:3556
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdf7bb0-9595-11ec-9136-6e24649026a6.exe
  2⤵
  PID:3600
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce2d710-9595-11ec-914d-6e24649026a6.exe
  2⤵
  PID:3620
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce2fe20-9595-11ec-914e-6e24649026a6.exe
  2⤵
  PID:3644
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce39a60-9595-11ec-9153-6e24649026a6.exe
  2⤵
  PID:3660
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce34c40-9595-11ec-9153-6e24649026a6.exe
  2⤵
  PID:3668
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce40f90-9595-11ec-9155-6e24649026a6.exe
  2⤵
  PID:3684
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce4abd0-9595-11ec-915b-6e24649026a6.exe
  2⤵
  PID:3700
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce54810-9595-11ec-915f-6e24649026a6.exe
  2⤵
  PID:3716
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce6a7a0-9595-11ec-9166-6e24649026a6.exe
  2⤵
  PID:3740
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce6ceb0-9595-11ec-9166-6e24649026a6.exe
  2⤵
  PID:3756
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce6f5c0-9595-11ec-9169-6e24649026a6.exe
  2⤵
  PID:3772
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce6a7a0-9595-11ec-9165-6e24649026a6.exe
  2⤵
  PID:3788
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce743e0-9595-11ec-916d-6e24649026a6.exe
  2⤵
  PID:3804
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce76af0-9595-11ec-9172-6e24649026a6.exe
  2⤵
  PID:3820
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdfa2c0-9595-11ec-9137-6e24649026a6.exe
  2⤵
  PID:3836
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce34c40-9595-11ec-9152-6e24649026a6.exe
  2⤵
  PID:3860
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce7e020-9595-11ec-9179-6e24649026a6.exe
  2⤵
  PID:3876
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce7e020-9595-11ec-917e-6e24649026a6.exe
  2⤵
  PID:3892
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce80730-9595-11ec-9181-6e24649026a6.exe
  2⤵
  PID:3908
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce80730-9595-11ec-9189-6e24649026a6.exe
  2⤵
  PID:3924
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce80730-9595-11ec-9184-6e24649026a6.exe
  2⤵
  PID:3948
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce918a0-9595-11ec-918b-6e24649026a6.exe
  2⤵
  PID:3964
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce93fb0-9595-11ec-918c-6e24649026a6.exe
  2⤵
  PID:3980
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce93fb0-9595-11ec-918d-6e24649026a6.exe
  2⤵
  PID:3972
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce8f190-9595-11ec-918a-6e24649026a6.exe
  2⤵
  PID:4024
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce918a0-9595-11ec-918c-6e24649026a6.exe
  2⤵
  PID:3956
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce966c0-9595-11ec-9191-6e24649026a6.exe
  2⤵
  PID:4032
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce7b910-9595-11ec-9178-6e24649026a6.exe
  2⤵
  PID:4056
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce9dbf0-9595-11ec-9196-6e24649026a6.exe
  2⤵
  PID:4072
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea0300-9595-11ec-9198-6e24649026a6.exe
  2⤵
  PID:4080
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce9b4e0-9595-11ec-9192-6e24649026a6.exe
  2⤵
  PID:4064
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce9dbf0-9595-11ec-9198-6e24649026a6.exe
  2⤵
  PID:4088
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cde4330-9595-11ec-9126-6e24649026a6.exe
  2⤵
  PID:1668
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce918a0-9595-11ec-918a-6e24649026a6.exe
  2⤵
  PID:1672
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce966c0-9595-11ec-918f-6e24649026a6.exe
  2⤵
  PID:4048
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce743e0-9595-11ec-916b-6e24649026a6.exe
  2⤵
  PID:652
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce7e020-9595-11ec-917a-6e24649026a6.exe
  2⤵
  PID:1492
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce98dd0-9595-11ec-9192-6e24649026a6.exe
  2⤵
  PID:4040
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce85550-9595-11ec-9189-6e24649026a6.exe
  2⤵
  PID:3940
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce80730-9595-11ec-9188-6e24649026a6.exe
  2⤵
  PID:3932
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce80730-9595-11ec-9187-6e24649026a6.exe
  2⤵
  PID:3916
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce9b4e0-9595-11ec-9196-6e24649026a6.exe
  2⤵
  PID:272
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce80730-9595-11ec-9180-6e24649026a6.exe
  2⤵
  PID:3900
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce80730-9595-11ec-917f-6e24649026a6.exe
  2⤵
  PID:3884
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea2a10-9595-11ec-919e-6e24649026a6.exe
  2⤵
  PID:520
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce1ecb0-9595-11ec-9149-6e24649026a6.exe
  2⤵
  PID:3868
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea5120-9595-11ec-919f-6e24649026a6.exe
  2⤵
  PID:884
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce79200-9595-11ec-9178-6e24649026a6.exe
  2⤵
  PID:3852
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea2a10-9595-11ec-919c-6e24649026a6.exe
  2⤵
  PID:588
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce79200-9595-11ec-9175-6e24649026a6.exe
  2⤵
  PID:3844
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea7830-9595-11ec-919f-6e24649026a6.exe
  2⤵
  PID:1720
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce76af0-9595-11ec-9174-6e24649026a6.exe
  2⤵
  PID:3828
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce743e0-9595-11ec-9171-6e24649026a6.exe
  2⤵
  PID:3812
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce71cd0-9595-11ec-916a-6e24649026a6.exe
  2⤵
  PID:3796
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce71cd0-9595-11ec-9169-6e24649026a6.exe
  2⤵
  PID:3780
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce6ceb0-9595-11ec-9168-6e24649026a6.exe
  2⤵
  PID:3764
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea7830-9595-11ec-91a2-6e24649026a6.exe
  2⤵
  PID:1812
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce68090-9595-11ec-9163-6e24649026a6.exe
  2⤵
  PID:3748
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce60b60-9595-11ec-9163-6e24649026a6.exe
  2⤵
  PID:3732
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea9f40-9595-11ec-91a6-6e24649026a6.exe
  2⤵
  PID:1792
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea9f40-9595-11ec-91a5-6e24649026a6.exe
  2⤵
  PID:1724
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce68090-9595-11ec-9164-6e24649026a6.exe
  2⤵
  PID:3724
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdfa2c0-9595-11ec-9136-6e24649026a6.exe
  2⤵
  PID:3708
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea9f40-9595-11ec-91a4-6e24649026a6.exe
  2⤵
  PID:1060
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceac650-9595-11ec-91a6-6e24649026a6.exe
  2⤵
  PID:1940
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceaed60-9595-11ec-91aa-6e24649026a6.exe
  2⤵
  PID:1952
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceb1470-9595-11ec-91ae-6e24649026a6.exe
  2⤵
  PID:784
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceb3b80-9595-11ec-91af-6e24649026a6.exe
  2⤵
  PID:3264
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceb6290-9595-11ec-91af-6e24649026a6.exe
  2⤵
  - Executes dropped EXE
  PID:3080
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceb89a0-9595-11ec-91b4-6e24649026a6.exe
  2⤵
  PID:2384
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceb6290-9595-11ec-91b3-6e24649026a6.exe
  2⤵
  PID:2408
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cebb0b0-9595-11ec-91b4-6e24649026a6.exe
  2⤵
  PID:2424
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cebfed0-9595-11ec-91bb-6e24649026a6.exe
  2⤵
  PID:2460
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cebd7c0-9595-11ec-91ba-6e24649026a6.exe
  2⤵
  PID:2488
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cebfed0-9595-11ec-91bc-6e24649026a6.exe
  2⤵
  PID:2508
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cec25e0-9595-11ec-91bc-6e24649026a6.exe
  2⤵
  PID:2484
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cec25e0-9595-11ec-91bd-6e24649026a6.exe
  2⤵
  PID:2520
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cec7400-9595-11ec-91c0-6e24649026a6.exe
  2⤵
  PID:2528
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cec7400-9595-11ec-91c1-6e24649026a6.exe
  2⤵
  PID:3092
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cecc220-9595-11ec-91c2-6e24649026a6.exe
  2⤵
  PID:2552
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cec9b10-9595-11ec-91c1-6e24649026a6.exe
  2⤵
  PID:2600
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ced1040-9595-11ec-91c7-6e24649026a6.exe
  2⤵
  PID:2624
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cecc220-9595-11ec-91c4-6e24649026a6.exe
  2⤵
  PID:2644
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ced8570-9595-11ec-91cf-6e24649026a6.exe
  2⤵
  PID:2688
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cedac80-9595-11ec-91cf-6e24649026a6.exe
  2⤵
  PID:2700
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cee6fd0-9595-11ec-91d3-6e24649026a6.exe
  2⤵
  PID:2800
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cedd390-9595-11ec-91d1-6e24649026a6.exe
  2⤵
  PID:2736
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cee48c0-9595-11ec-91d2-6e24649026a6.exe
  2⤵
  PID:2888
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cee96e0-9595-11ec-91d6-6e24649026a6.exe
  2⤵
  PID:2912
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cee6fd0-9595-11ec-91d2-6e24649026a6.exe
  2⤵
  PID:2908
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceee500-9595-11ec-91d9-6e24649026a6.exe
  2⤵
  PID:3332
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceee500-9595-11ec-91db-6e24649026a6.exe
  2⤵
  PID:2928
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cef3320-9595-11ec-91df-6e24649026a6.exe
  2⤵
  PID:2848
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cef5a30-9595-11ec-91e0-6e24649026a6.exe
  2⤵
  PID:2832
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cef3320-9595-11ec-91de-6e24649026a6.exe
  2⤵
  PID:2992
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cef8140-9595-11ec-91e4-6e24649026a6.exe
  2⤵
  PID:3012
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cefa850-9595-11ec-91e4-6e24649026a6.exe
  2⤵
  PID:2760
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cef5a30-9595-11ec-91e2-6e24649026a6.exe
  2⤵
  PID:2820
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cef0c10-9595-11ec-91dc-6e24649026a6.exe
  2⤵
  PID:2960
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceebdf0-9595-11ec-91d9-6e24649026a6.exe
  2⤵
  PID:2716
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceebdf0-9595-11ec-91d6-6e24649026a6.exe
  2⤵
  PID:3336
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cee96e0-9595-11ec-91d3-6e24649026a6.exe
  2⤵
  PID:2724
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cefcf60-9595-11ec-91e5-6e24649026a6.exe
  2⤵
  PID:3060
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cefcf60-9595-11ec-91e6-6e24649026a6.exe
  2⤵
  PID:888
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cedac80-9595-11ec-91d0-6e24649026a6.exe
  2⤵
  PID:3316
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ced5e60-9595-11ec-91cb-6e24649026a6.exe
  2⤵
  PID:2676
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cefa850-9595-11ec-91e5-6e24649026a6.exe
  2⤵
  PID:1220
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceff670-9595-11ec-91e8-6e24649026a6.exe
  2⤵
  PID:3004
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceff670-9595-11ec-91e7-6e24649026a6.exe
  2⤵
  PID:2748
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf04490-9595-11ec-91e9-6e24649026a6.exe
  2⤵
  PID:2968
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf01d80-9595-11ec-91e9-6e24649026a6.exe
  2⤵
  PID:2936
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf01d80-9595-11ec-91e8-6e24649026a6.exe
  2⤵
  PID:2840
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cefcf60-9595-11ec-91e7-6e24649026a6.exe
  2⤵
  PID:2904
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf04490-9595-11ec-91ea-6e24649026a6.exe
  2⤵
  PID:2828
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf092b0-9595-11ec-91ed-6e24649026a6.exe
  2⤵
  PID:2868
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf107e0-9595-11ec-91f5-6e24649026a6.exe
  2⤵
  PID:2744
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf0b9c0-9595-11ec-91f0-6e24649026a6.exe
  2⤵
  PID:2836
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf15600-9595-11ec-91f8-6e24649026a6.exe
  2⤵
  PID:1756
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf12ef0-9595-11ec-91f5-6e24649026a6.exe
  2⤵
  PID:3052
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cceb2d0-9595-11ec-90fa-6e24649026a6.exe
  2⤵
  PID:1752
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf15600-9595-11ec-91fb-6e24649026a6.exe
  2⤵
  PID:2784
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf21950-9595-11ec-9205-6e24649026a6.exe
  2⤵
  PID:3068
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf26770-9595-11ec-920b-6e24649026a6.exe
  2⤵
  PID:3252
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf2b590-9595-11ec-920d-6e24649026a6.exe
  2⤵
  PID:3168
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf3c700-9595-11ec-9216-6e24649026a6.exe
  2⤵
  PID:3164
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cbc6350-9595-11ec-90f4-6e24649026a6.exe
  2⤵
  - Executes dropped EXE
  PID:3300
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc05af0-9595-11ec-90f6-6e24649026a6.exe
  2⤵
  PID:3184
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ccc68e0-9595-11ec-90f9-6e24649026a6.exe
  2⤵
  PID:3364
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf46340-9595-11ec-9218-6e24649026a6.exe
  2⤵
  PID:3116
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc6c390-9595-11ec-90f8-6e24649026a6.exe
  2⤵
  PID:3992
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ccf4f10-9595-11ec-90fc-6e24649026a6.exe
  2⤵
  PID:3560
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc60040-9595-11ec-90f7-6e24649026a6.exe
  2⤵
  PID:3744
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc9d0d0-9595-11ec-90f8-6e24649026a6.exe
  2⤵
  PID:3724
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cca9420-9595-11ec-90f9-6e24649026a6.exe
  2⤵
  PID:3360
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ccb5770-9595-11ec-90f9-6e24649026a6.exe
  2⤵
  PID:4000
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ccb0950-9595-11ec-90f9-6e24649026a6.exe
  2⤵
  PID:3628
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce08d20-9595-11ec-913d-6e24649026a6.exe
  2⤵
  PID:3692
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd67b00-9595-11ec-910b-6e24649026a6.exe
  2⤵
  PID:3580
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce0db40-9595-11ec-9140-6e24649026a6.exe
  2⤵
  PID:3344
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce10250-9595-11ec-9142-6e24649026a6.exe
  2⤵
  PID:3548
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdd0ab0-9595-11ec-9117-6e24649026a6.exe
  2⤵
  PID:3552
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd9af50-9595-11ec-9116-6e24649026a6.exe
  2⤵
  PID:3620
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ccd7a50-9595-11ec-90f9-6e24649026a6.exe
  2⤵
  PID:3740
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdc4760-9595-11ec-9117-6e24649026a6.exe
  2⤵
  PID:3208
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd828b0-9595-11ec-9114-6e24649026a6.exe
  2⤵
  - Executes dropped EXE
  PID:3556
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc84a30-9595-11ec-90f8-6e24649026a6.exe
  2⤵
  PID:3584
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd7b380-9595-11ec-910f-6e24649026a6.exe
  2⤵
  PID:3144
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd9fd70-9595-11ec-9116-6e24649026a6.exe
  2⤵
  PID:3176
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ccf00f0-9595-11ec-90fc-6e24649026a6.exe
  2⤵
  PID:3728
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd346b0-9595-11ec-9101-6e24649026a6.exe
  2⤵
  PID:3616
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc9f7e0-9595-11ec-90f8-6e24649026a6.exe
  2⤵
  PID:3520
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cccde10-9595-11ec-90f9-6e24649026a6.exe
  2⤵
  PID:3484
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf48a50-9595-11ec-9218-6e24649026a6.exe
  2⤵
  PID:3632
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cce3da0-9595-11ec-90fa-6e24649026a6.exe
  2⤵
  PID:3988
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ccd2c30-9595-11ec-90f9-6e24649026a6.exe
  2⤵
  PID:4004
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc8bf60-9595-11ec-90f8-6e24649026a6.exe
  2⤵
  PID:3624
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc22fb0-9595-11ec-90f6-6e24649026a6.exe
  2⤵
  PID:3368
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cbfe5c0-9595-11ec-90f6-6e24649026a6.exe
  2⤵
  PID:3244
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf3ee10-9595-11ec-9218-6e24649026a6.exe
  2⤵
  PID:3228
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc11e40-9595-11ec-90f6-6e24649026a6.exe
  2⤵
  PID:3160
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc1e190-9595-11ec-90f6-6e24649026a6.exe
  2⤵
  PID:3128
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cbd4db0-9595-11ec-90f6-6e24649026a6.exe
  2⤵
  PID:3248
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cbc3c40-9595-11ec-90f3-6e24649026a6.exe
  2⤵
  PID:2984
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf32ac0-9595-11ec-9215-6e24649026a6.exe
  2⤵
  PID:1260
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf2dca0-9595-11ec-9213-6e24649026a6.exe
  2⤵
  PID:3416
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf2b590-9595-11ec-920e-6e24649026a6.exe
  2⤵
  PID:3420
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf28e80-9595-11ec-920c-6e24649026a6.exe
  2⤵
  PID:3172
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf26770-9595-11ec-9209-6e24649026a6.exe
  2⤵
  PID:3124
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf28e80-9595-11ec-920b-6e24649026a6.exe
  2⤵
  PID:3152
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf24060-9595-11ec-9208-6e24649026a6.exe
  2⤵
  PID:3236
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf21950-9595-11ec-9208-6e24649026a6.exe
  2⤵
  PID:3140
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf1f240-9595-11ec-9205-6e24649026a6.exe
  2⤵
  PID:3220
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf1a420-9595-11ec-9200-6e24649026a6.exe
  2⤵
  PID:1156
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf1a420-9595-11ec-91ff-6e24649026a6.exe
  2⤵
  PID:2900
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf1a420-9595-11ec-91fe-6e24649026a6.exe
  2⤵
  PID:3304
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf1a420-9595-11ec-91fd-6e24649026a6.exe
  2⤵
  PID:3384
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf17d10-9595-11ec-91fd-6e24649026a6.exe
  2⤵
  PID:2988
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf15600-9595-11ec-91fa-6e24649026a6.exe
  2⤵
  PID:2860
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf12ef0-9595-11ec-91f7-6e24649026a6.exe
  2⤵
  PID:3056
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf0e0d0-9595-11ec-91f4-6e24649026a6.exe
  2⤵
  PID:2808
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cef8140-9595-11ec-91e3-6e24649026a6.exe
  2⤵
  PID:1108
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ced8570-9595-11ec-91cc-6e24649026a6.exe
  2⤵
  PID:2652
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ced1040-9595-11ec-91ca-6e24649026a6.exe
  2⤵
  PID:2628
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ced1040-9595-11ec-91c8-6e24649026a6.exe
  2⤵
  PID:2664
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cece930-9595-11ec-91c6-6e24649026a6.exe
  2⤵
  PID:2616
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cec4cf0-9595-11ec-91c0-6e24649026a6.exe
  2⤵
  PID:2588
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cec4cf0-9595-11ec-91bd-6e24649026a6.exe
  2⤵
  PID:2584
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cebb0b0-9595-11ec-91b6-6e24649026a6.exe
  2⤵
  PID:2500
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceb89a0-9595-11ec-91b3-6e24649026a6.exe
  2⤵
  PID:2392
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceb1470-9595-11ec-91af-6e24649026a6.exe
  2⤵
  PID:3084
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceac650-9595-11ec-91aa-6e24649026a6.exe
  2⤵
  PID:616
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce436a0-9595-11ec-9156-6e24649026a6.exe
  2⤵
  PID:3692
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce40f90-9595-11ec-9156-6e24649026a6.exe
  2⤵
  PID:3676
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce34c40-9595-11ec-9151-6e24649026a6.exe
  2⤵
  PID:3652
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce2fe20-9595-11ec-914f-6e24649026a6.exe
  2⤵
  PID:3636
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce2b000-9595-11ec-914d-6e24649026a6.exe
  2⤵
  PID:3628
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce288f0-9595-11ec-914c-6e24649026a6.exe
  2⤵
  PID:3612
- C:\Users\Admin\AppData\Local\Temp\6cbc3c40-9595-11ec-90f2-6e24649026a6.exe
  6cbc3c40-9595-11ec-90f2-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\PidGenX.dll"
  2⤵
  - Executes dropped EXE
  PID:3580
- C:\Users\Admin\AppData\Local\Temp\6cbcd880-9595-11ec-90f5-6e24649026a6.exe
  6cbcd880-9595-11ec-90f5-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\Setup.xml"
  2⤵
  - Executes dropped EXE
  PID:3504
- C:\Users\Admin\AppData\Local\Temp\6caf0570-9595-11ec-90f1-6e24649026a6.exe
  6caf0570-9595-11ec-90f1-6e24649026a6.exe C:\\vcredist2010_x64.log.html
  2⤵
  - Executes dropped EXE
  PID:3480
- C:\Users\Admin\AppData\Local\Temp\6cb9cb40-9595-11ec-90f2-6e24649026a6.exe
  6cb9cb40-9595-11ec-90f2-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Platform Notifications\CURRENT"
  2⤵
  - Executes dropped EXE
  PID:3448
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce08d20-9595-11ec-913a-6e24649026a6.exe
  2⤵
  PID:3036
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd67b00-9595-11ec-910c-6e24649026a6.exe
  2⤵
  PID:2576
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce0db40-9595-11ec-9141-6e24649026a6.exe
  2⤵
  PID:2564
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd40a00-9595-11ec-9105-6e24649026a6.exe
  2⤵
  PID:2560
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce19e90-9595-11ec-9149-6e24649026a6.exe
  2⤵
  PID:3756
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd54280-9595-11ec-9108-6e24649026a6.exe
  2⤵
  PID:4108
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce1c5a0-9595-11ec-9149-6e24649026a6.exe
  2⤵
  PID:4124
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce484c0-9595-11ec-915a-6e24649026a6.exe
  2⤵
  PID:4140
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce436a0-9595-11ec-9157-6e24649026a6.exe
  2⤵
  PID:4164
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce4d2e0-9595-11ec-915e-6e24649026a6.exe
  2⤵
  PID:4188
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cece930-9595-11ec-91c7-6e24649026a6.exe
  2⤵
  PID:4204
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf1f240-9595-11ec-9200-6e24649026a6.exe
  2⤵
  PID:4228
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf1f240-9595-11ec-9203-6e24649026a6.exe
  2⤵
  PID:4220
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf092b0-9595-11ec-91ee-6e24649026a6.exe
  2⤵
  PID:4212
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce5e450-9595-11ec-9161-6e24649026a6.exe
  2⤵
  PID:4196
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce45db0-9595-11ec-9157-6e24649026a6.exe
  2⤵
  PID:4180
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce08d20-9595-11ec-913c-6e24649026a6.exe
  2⤵
  PID:4172
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce17780-9595-11ec-9148-6e24649026a6.exe
  2⤵
  PID:4156
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd62ce0-9595-11ec-910a-6e24649026a6.exe
  2⤵
  PID:4148
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd5b7b0-9595-11ec-910a-6e24649026a6.exe
  2⤵
  PID:4132
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce4abd0-9595-11ec-915c-6e24649026a6.exe
  2⤵
  PID:4116
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce17780-9595-11ec-9147-6e24649026a6.exe
  2⤵
  PID:4100
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce08d20-9595-11ec-913b-6e24649026a6.exe
  2⤵
  PID:3296
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cca4600-9595-11ec-90f9-6e24649026a6.exe
  2⤵
  PID:3292
- C:\Users\Admin\AppData\Local\Temp\6cd7b380-9595-11ec-9110-6e24649026a6.exe
  6cd7b380-9595-11ec-9110-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Microsoft\Internet Explorer\Tiles\pin-2845162440\msapplication.xml"
  2⤵
  - Executes dropped EXE
  PID:4236
- C:\Users\Admin\AppData\Local\Temp\6cd171f0-9595-11ec-9101-6e24649026a6.exe
  6cd171f0-9595-11ec-9101-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Proof.en\Proof.msi"
  2⤵
  - Executes dropped EXE
  PID:4260
- C:\Users\Admin\AppData\Local\Temp\6cc69c80-9595-11ec-90f8-6e24649026a6.exe
  6cc69c80-9595-11ec-90f8-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0016-0409-0000-0000000FF1CE}-C\ExcelMUI.xml"
  2⤵
  - Executes dropped EXE
  PID:4312
- C:\Users\Admin\AppData\Local\Temp\6cb33b90-9595-11ec-90f2-6e24649026a6.exe
  6cb33b90-9595-11ec-90f2-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Local Storage\leveldb\LOCK"
  2⤵
  - Executes dropped EXE
  PID:4348
- C:\Users\Admin\AppData\Local\Temp\6cb362a0-9595-11ec-90f2-6e24649026a6.exe
  6cb362a0-9595-11ec-90f2-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Local Storage\leveldb\LOG"
  2⤵
  - Executes dropped EXE
  PID:4380
- C:\Users\Admin\AppData\Local\Temp\6cc64e60-9595-11ec-90f7-6e24649026a6.exe
  6cc64e60-9595-11ec-90f7-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0016-0409-0000-0000000FF1CE}-C\ExcelLR.cab"
  2⤵
  - Executes dropped EXE
  PID:4436
- C:\Users\Admin\AppData\Local\Temp\6cbc8a60-9595-11ec-90f5-6e24649026a6.exe
  6cbc8a60-9595-11ec-90f5-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\ProPsWW.cab"
  2⤵
  - Executes dropped EXE
  PID:4428
- C:\Users\Admin\AppData\Local\Temp\6cb31480-9595-11ec-90f1-6e24649026a6.exe
  6cb31480-9595-11ec-90f1-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\Office64WW.msi"
  2⤵
  - Executes dropped EXE
  PID:4404
- C:\Users\Admin\AppData\Local\Temp\6cc60040-9595-11ec-90f6-6e24649026a6.exe
  6cc60040-9595-11ec-90f6-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\setup.exe"
  2⤵
  - Executes dropped EXE
  PID:4448
- C:\Users\Admin\AppData\Local\Temp\6cb6be00-9595-11ec-90f2-6e24649026a6.exe
  6cb6be00-9595-11ec-90f2-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Local Storage\leveldb\MANIFEST-000001"
  2⤵
  - Executes dropped EXE
  PID:4456
- C:\Users\Admin\AppData\Local\Temp\6cbb2ad0-9595-11ec-90f2-6e24649026a6.exe
  6cbb2ad0-9595-11ec-90f2-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Platform Notifications\LOCK"
  2⤵
  - Executes dropped EXE
  PID:4472
- C:\Users\Admin\AppData\Local\Temp\6cd828b0-9595-11ec-9115-6e24649026a6.exe
  6cd828b0-9595-11ec-9115-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-00BA-0409-0000-0000000FF1CE}-C\GrooveMUI.msi"
  2⤵
  - Executes dropped EXE
  PID:4488
- C:\Users\Admin\AppData\Local\Temp\6cb31480-9595-11ec-90f2-6e24649026a6.exe
  6cb31480-9595-11ec-90f2-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Local Storage\leveldb\CURRENT"
  2⤵
  - Executes dropped EXE
  PID:4480
- C:\Users\Admin\AppData\Local\Temp\6cd28360-9595-11ec-9101-6e24649026a6.exe
  6cd28360-9595-11ec-9101-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Proof.en\Proof.xml"
  2⤵
  - Executes dropped EXE
  PID:4520
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc38f40-9595-11ec-90f6-6e24649026a6.exe
  2⤵
  PID:4624
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce10250-9595-11ec-9143-6e24649026a6.exe
  2⤵
  PID:4616
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceaed60-9595-11ec-91ad-6e24649026a6.exe
  2⤵
  PID:4644
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cece930-9595-11ec-91c4-6e24649026a6.exe
  2⤵
  PID:4652
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf2dca0-9595-11ec-9210-6e24649026a6.exe
  2⤵
  PID:4660
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf2b590-9595-11ec-920f-6e24649026a6.exe
  2⤵
  PID:4668
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce12960-9595-11ec-9145-6e24649026a6.exe
  2⤵
  PID:4676
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce39a60-9595-11ec-9155-6e24649026a6.exe
  2⤵
  PID:4684
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce6ceb0-9595-11ec-9167-6e24649026a6.exe
  2⤵
  PID:4692
- C:\Users\Admin\AppData\Local\Temp\6ce32530-9595-11ec-9151-6e24649026a6.exe
  6ce32530-9595-11ec-9151-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\6BADA8974A10C4BD62CC921D13E43B18_711ED44619924BA6DC33E69F97E7FF63
  2⤵
  - Executes dropped EXE
  PID:4700
- C:\Users\Admin\AppData\Local\Temp\6ce80730-9595-11ec-9183-6e24649026a6.exe
  6ce80730-9595-11ec-9183-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile23.bmp"
  2⤵
  - Executes dropped EXE
  PID:4716
- C:\Users\Admin\AppData\Local\Temp\6ce484c0-9595-11ec-9159-6e24649026a6.exe
  6ce484c0-9595-11ec-9159-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\94308059B57B3142E455B38A6EB92015
  2⤵
  - Executes dropped EXE
  PID:4708
- C:\Users\Admin\AppData\Local\Temp\6cde4330-9595-11ec-9121-6e24649026a6.exe
  6cde4330-9595-11ec-9121-6e24649026a6.exe C:\\ProgramData\Microsoft\OFFICE\AssetLibrary.ico
  2⤵
  - Executes dropped EXE
  PID:4732
- C:\Users\Admin\AppData\Local\Temp\6ce10250-9595-11ec-9145-6e24649026a6.exe
  6ce10250-9595-11ec-9145-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Device\{8702d817-5aad-4674-9ef3-4d3decd87120}\background.png"
  2⤵
  - Executes dropped EXE
  PID:4740
- C:\Users\Admin\AppData\Local\Temp\6cc64e60-9595-11ec-90f8-6e24649026a6.exe
  6cc64e60-9595-11ec-90f8-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Top Sites"
  2⤵
  - Executes dropped EXE
  PID:4760
- C:\Users\Admin\AppData\Local\Temp\6ce7b910-9595-11ec-9179-6e24649026a6.exe
  6ce7b910-9595-11ec-9179-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Platform Notifications\CURRENT"
  2⤵
  - Executes dropped EXE
  PID:4768
- C:\Users\Admin\AppData\Local\Temp\6ce6f5c0-9595-11ec-9168-6e24649026a6.exe
  6ce6f5c0-9595-11ec-9168-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\94308059B57B3142E455B38A6EB92015
  2⤵
  - Executes dropped EXE
  PID:4724
- C:\Users\Admin\AppData\Local\Temp\6ce82e40-9595-11ec-9189-6e24649026a6.exe
  6ce82e40-9595-11ec-9189-6e24649026a6.exe C:\\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ryugmcli.default-release\SecurityPreloadState.txt
  2⤵
  - Executes dropped EXE
  PID:4788
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdf2d90-9595-11ec-912e-6e24649026a6.exe
  2⤵
  PID:4796
- C:\Users\Admin\AppData\Local\Temp\6ce93fb0-9595-11ec-918e-6e24649026a6.exe
  6ce93fb0-9595-11ec-918e-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile32.bmp"
  2⤵
  - Executes dropped EXE
  PID:4804
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf1cb30-9595-11ec-9200-6e24649026a6.exe
  2⤵
  PID:4820
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cc7d500-9595-11ec-90f8-6e24649026a6.exe
  2⤵
  PID:4828
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdf54a0-9595-11ec-9131-6e24649026a6.exe
  2⤵
  PID:4888
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf0b9c0-9595-11ec-91ee-6e24649026a6.exe
  2⤵
  PID:4880
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceee500-9595-11ec-91da-6e24649026a6.exe
  2⤵
  PID:4840
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf3ee10-9595-11ec-9217-6e24649026a6.exe
  2⤵
  PID:4812
- C:\Users\Admin\AppData\Local\Temp\6cea5120-9595-11ec-919e-6e24649026a6.exe
  6cea5120-9595-11ec-919e-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile43.bmp"
  2⤵
  - Executes dropped EXE
  PID:4908
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce261e0-9595-11ec-9149-6e24649026a6.exe
  2⤵
  PID:4928
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ccc41d0-9595-11ec-90f9-6e24649026a6.exe
  2⤵
  PID:4956
- C:\Users\Admin\AppData\Local\Temp\6ced3750-9595-11ec-91ca-6e24649026a6.exe
  6ced3750-9595-11ec-91ca-6e24649026a6.exe C:\\Users\Admin\Music\HideSet.dll
  2⤵
  - Executes dropped EXE
  PID:4980
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cebd7c0-9595-11ec-91b8-6e24649026a6.exe
  2⤵
  PID:5004
- C:\Users\Admin\AppData\Local\Temp\6cea0300-9595-11ec-9199-6e24649026a6.exe
  6cea0300-9595-11ec-9199-6e24649026a6.exe C:\\Users\Admin\Documents\MountConfirm.xps
  2⤵
  - Executes dropped EXE
  PID:4992
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf24060-9595-11ec-9209-6e24649026a6.exe
  2⤵
  PID:5040
- C:\Users\Admin\AppData\Local\Temp\6ceaed60-9595-11ec-91ac-6e24649026a6.exe
  6ceaed60-9595-11ec-91ac-6e24649026a6.exe "C:\\ProgramData\Package Cache\{5740BD44-B58D-321A-AFC0-6D3D4556DD6C}v12.0.40660\packages\vcRuntimeAdditional_amd64\vc_runtimeAdditional_x64.msi"
  2⤵
  - Executes dropped EXE
  PID:5048
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf06ba0-9595-11ec-91ed-6e24649026a6.exe
  2⤵
  PID:5068
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce8f190-9595-11ec-9189-6e24649026a6.exe
  2⤵
  PID:5076
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cebfed0-9595-11ec-91ba-6e24649026a6.exe
  2⤵
  PID:5084
- C:\Users\Admin\AppData\Local\Temp\6cf04490-9595-11ec-91eb-6e24649026a6.exe
  6cf04490-9595-11ec-91eb-6e24649026a6.exe C:\\Users\Admin\Recent
  2⤵
  - Executes dropped EXE
  PID:5092
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdeb860-9595-11ec-912d-6e24649026a6.exe
  2⤵
  PID:5100
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce0b430-9595-11ec-9140-6e24649026a6.exe
  2⤵
  PID:5108
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce4d2e0-9595-11ec-915d-6e24649026a6.exe
  2⤵
  PID:1044
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdeb860-9595-11ec-912c-6e24649026a6.exe
  2⤵
  PID:2928
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd96130-9595-11ec-9115-6e24649026a6.exe
  2⤵
  PID:2724
- C:\Users\Admin\AppData\Local\Temp\6cf06ba0-9595-11ec-91eb-6e24649026a6.exe
  6cf06ba0-9595-11ec-91eb-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Login Data-journal"
  2⤵
  - Executes dropped EXE
  PID:2848
- C:\Users\Admin\AppData\Local\Temp\6cf17d10-9595-11ec-91fc-6e24649026a6.exe
  6cf17d10-9595-11ec-91fc-6e24649026a6.exe C:\\Users\Default\NetHood
  2⤵
  - Executes dropped EXE
  PID:2888
- C:\Users\Admin\AppData\Local\Temp\6cf3c700-9595-11ec-9217-6e24649026a6.exe
  6cf3c700-9595-11ec-9217-6e24649026a6.exe "C:\\Users\Public\Pictures\Sample Pictures\Penguins.jpg"
  2⤵
  - Executes dropped EXE
  PID:3352
- C:\Users\Admin\AppData\Local\Temp\6cf0e0d0-9595-11ec-91f5-6e24649026a6.exe
  6cf0e0d0-9595-11ec-91f5-6e24649026a6.exe "C:\\Users\Default\AppData\Local\Temporary Internet Files"
  2⤵
  - Executes dropped EXE
  PID:3348
- C:\Users\Admin\AppData\Local\Temp\6cef0c10-9595-11ec-91de-6e24649026a6.exe
  6cef0c10-9595-11ec-91de-6e24649026a6.exe C:\\Users\Admin\Pictures\DebugRestore.jpg
  2⤵
  - Executes dropped EXE
  PID:3432
- C:\Users\Admin\AppData\Local\Temp\6cc67570-9595-11ec-90f8-6e24649026a6.exe
  6cc67570-9595-11ec-90f8-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0016-0409-0000-0000000FF1CE}-C\ExcelMUI.msi"
  2⤵
  - Executes dropped EXE
  PID:3444
- C:\Users\Admin\AppData\Local\Temp\6ce08d20-9595-11ec-913e-6e24649026a6.exe
  6ce08d20-9595-11ec-913e-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Temporary Internet Files"
  2⤵
  - Executes dropped EXE
  PID:3768
- C:\Users\Admin\AppData\Local\Temp\6cf32ac0-9595-11ec-9216-6e24649026a6.exe
  6cf32ac0-9595-11ec-9216-6e24649026a6.exe "C:\\Users\Public\Pictures\Sample Pictures\Lighthouse.jpg"
  2⤵
  - Executes dropped EXE
  PID:3488
- C:\Users\Admin\AppData\Local\Temp\6cf2dca0-9595-11ec-9215-6e24649026a6.exe
  6cf2dca0-9595-11ec-9215-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\GPUCache\data_2"
  2⤵
  - Executes dropped EXE
  PID:3608
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce484c0-9595-11ec-9157-6e24649026a6.exe
  2⤵
  PID:3732
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf2dca0-9595-11ec-9214-6e24649026a6.exe
  2⤵
  PID:3748
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce80730-9595-11ec-917e-6e24649026a6.exe
  2⤵
  PID:4044
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce32530-9595-11ec-9150-6e24649026a6.exe
  2⤵
  PID:4040
- C:\Users\Admin\AppData\Local\Temp\6ce0b430-9595-11ec-913e-6e24649026a6.exe
  6ce0b430-9595-11ec-913e-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\background.png"
  2⤵
  - Executes dropped EXE
  PID:4268
- C:\Users\Admin\AppData\Local\Temp\6cbcd880-9595-11ec-90f6-6e24649026a6.exe
  6cbcd880-9595-11ec-90f6-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\ose.exe"
  2⤵
  - Executes dropped EXE
  PID:3864
- C:\Users\Admin\AppData\Local\Temp\6cc6eaa0-9595-11ec-90f8-6e24649026a6.exe
  6cc6eaa0-9595-11ec-90f8-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0016-0409-0000-0000000FF1CE}-C\Setup.xml"
  2⤵
  - Executes dropped EXE
  PID:4028
- C:\Users\Admin\AppData\Local\Temp\6cda99b0-9595-11ec-9116-6e24649026a6.exe
  6cda99b0-9595-11ec-9116-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\ce_T151c2VyQ29udGV4dElkPTUsYSw=
  2⤵
  - Executes dropped EXE
  PID:3956
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce98dd0-9595-11ec-9191-6e24649026a6.exe
  2⤵
  PID:4072
- C:\Users\Admin\AppData\Local\Temp\6cca4600-9595-11ec-90f8-6e24649026a6.exe
  6cca4600-9595-11ec-90f8-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0018-0409-0000-0000000FF1CE}-C\PptLR.cab"
  2⤵
  - Executes dropped EXE
  PID:760
- C:\Users\Admin\AppData\Local\Temp\6cca1ef0-9595-11ec-90f8-6e24649026a6.exe
  6cca1ef0-9595-11ec-90f8-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0018-0409-0000-0000000FF1CE}-C\PowerPointMUI.xml"
  2⤵
  - Executes dropped EXE
  PID:3816
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce15070-9595-11ec-9145-6e24649026a6.exe
  2⤵
  PID:3672
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cedd390-9595-11ec-91d0-6e24649026a6.exe
  2⤵
  PID:3684
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce56f20-9595-11ec-9161-6e24649026a6.exe
  2⤵
  PID:3656
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cebd7c0-9595-11ec-91b7-6e24649026a6.exe
  2⤵
  PID:1940
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce79200-9595-11ec-9177-6e24649026a6.exe
  2⤵
  PID:752
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf15600-9595-11ec-91f9-6e24649026a6.exe
  2⤵
  PID:2524
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce17780-9595-11ec-9146-6e24649026a6.exe
  2⤵
  PID:2648
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce17780-9595-11ec-9145-6e24649026a6.exe
  2⤵
  PID:2620
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cef5a30-9595-11ec-91e3-6e24649026a6.exe
  2⤵
  PID:2556
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cedd390-9595-11ec-91d2-6e24649026a6.exe
  2⤵
  PID:2504
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdeb860-9595-11ec-9127-6e24649026a6.exe
  2⤵
  PID:2476
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea2a10-9595-11ec-919d-6e24649026a6.exe
  2⤵
  PID:2728
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce19e90-9595-11ec-9148-6e24649026a6.exe
  2⤵
  PID:2412
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cef0c10-9595-11ec-91dd-6e24649026a6.exe
  2⤵
  PID:2528
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cec4cf0-9595-11ec-91bf-6e24649026a6.exe
  2⤵
  PID:1792
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce60b60-9595-11ec-9161-6e24649026a6.exe
  2⤵
  PID:3828
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea0300-9595-11ec-919a-6e24649026a6.exe
  2⤵
  PID:3888
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf0e0d0-9595-11ec-91f2-6e24649026a6.exe
  2⤵
  PID:520
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea7830-9595-11ec-91a1-6e24649026a6.exe
  2⤵
  PID:3940
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceb1470-9595-11ec-91ad-6e24649026a6.exe
  2⤵
  PID:3796
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf0e0d0-9595-11ec-91f1-6e24649026a6.exe
  2⤵
  PID:3812
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce7e020-9595-11ec-917c-6e24649026a6.exe
  2⤵
  PID:3668
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce2fe20-9595-11ec-914d-6e24649026a6.exe
  2⤵
  PID:2460
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce80730-9595-11ec-9185-6e24649026a6.exe
  2⤵
  PID:2588
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cecc220-9595-11ec-91c1-6e24649026a6.exe
  2⤵
  PID:2624
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce9b4e0-9595-11ec-9193-6e24649026a6.exe
  2⤵
  PID:2652
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce32530-9595-11ec-914f-6e24649026a6.exe
  2⤵
  PID:2424
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce6a7a0-9595-11ec-9164-6e24649026a6.exe
  2⤵
  PID:2520
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce288f0-9595-11ec-914b-6e24649026a6.exe
  2⤵
  PID:3316
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea0300-9595-11ec-919b-6e24649026a6.exe
  2⤵
  PID:4256
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce743e0-9595-11ec-9170-6e24649026a6.exe
  2⤵
  PID:4252
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce743e0-9595-11ec-916e-6e24649026a6.exe
  2⤵
  PID:3936
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce0b430-9595-11ec-913f-6e24649026a6.exe
  2⤵
  PID:3664
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce484c0-9595-11ec-9158-6e24649026a6.exe
  2⤵
  PID:3904
- C:\Users\Admin\AppData\Local\Temp\6ccf00f0-9595-11ec-90fb-6e24649026a6.exe
  6ccf00f0-9595-11ec-90fb-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-001A-0409-0000-0000000FF1CE}-C\OutlookMUI.msi"
  2⤵
  - Executes dropped EXE
  PID:3660
- C:\Users\Admin\AppData\Local\Temp\6cd394d0-9595-11ec-9102-6e24649026a6.exe
  6cd394d0-9595-11ec-9102-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Proof.es\Proof.msi"
  2⤵
  - Executes dropped EXE
  PID:3840
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce743e0-9595-11ec-916f-6e24649026a6.exe
  2⤵
  PID:4036
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce79200-9595-11ec-9174-6e24649026a6.exe
  2⤵
  PID:4032
- C:\Users\Admin\AppData\Local\Temp\6cd08790-9595-11ec-90fe-6e24649026a6.exe
  6cd08790-9595-11ec-90fe-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-001B-0409-0000-0000000FF1CE}-C\WordMUI.msi"
  2⤵
  - Executes dropped EXE
  PID:3776
- C:\Users\Admin\AppData\Local\Temp\6cd171f0-9595-11ec-9100-6e24649026a6.exe
  6cd171f0-9595-11ec-9100-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Proof.en\Proof.cab"
  2⤵
  - Executes dropped EXE
  PID:3984
- C:\Users\Admin\AppData\Local\Temp\6cd08790-9595-11ec-90fd-6e24649026a6.exe
  6cd08790-9595-11ec-90fd-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-001B-0409-0000-0000000FF1CE}-C\WordLR.cab"
  2⤵
  - Executes dropped EXE
  PID:3772
- C:\Users\Admin\AppData\Local\Temp\6ce54810-9595-11ec-9161-6e24649026a6.exe
  6ce54810-9595-11ec-9161-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\3C3948BE6E525B8A8CEE9FAC91C9E392_7A0EF9A6B71F8BD440FF79468695184C
  2⤵
  - Executes dropped EXE
  PID:3788
- C:\Users\Admin\AppData\Local\Temp\6ce60b60-9595-11ec-9162-6e24649026a6.exe
  6ce60b60-9595-11ec-9162-6e24649026a6.exe C:\\ProgramData\Microsoft\OFFICE\MySite.ico
  2⤵
  - Executes dropped EXE
  PID:3948
- C:\Users\Admin\AppData\Local\Temp\6cd19900-9595-11ec-9101-6e24649026a6.exe
  6cd19900-9595-11ec-9101-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\ShaderCache\GPUCache\data_2"
  2⤵
  - Executes dropped EXE
  PID:4052
- C:\Users\Admin\AppData\Local\Temp\6cd394d0-9595-11ec-9103-6e24649026a6.exe
  6cd394d0-9595-11ec-9103-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Proof.es\Proof.xml"
  2⤵
  - Executes dropped EXE
  PID:4048
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce76af0-9595-11ec-9173-6e24649026a6.exe
  2⤵
  PID:968
- C:\Users\Admin\AppData\Local\Temp\6cd394d0-9595-11ec-9105-6e24649026a6.exe
  6cd394d0-9595-11ec-9105-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\chrome_shutdown_ms.txt"
  2⤵
  - Executes dropped EXE
  PID:4304
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce743e0-9595-11ec-916c-6e24649026a6.exe
  2⤵
  PID:3272
- C:\Users\Admin\AppData\Local\Temp\6ccba590-9595-11ec-90f9-6e24649026a6.exe
  6ccba590-9595-11ec-90f9-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\GrShaderCache\GPUCache\data_1"
  2⤵
  PID:2612
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce4abd0-9595-11ec-915a-6e24649026a6.exe
  2⤵
  PID:2512
- C:\Users\Admin\AppData\Local\Temp\6ce54810-9595-11ec-9160-6e24649026a6.exe
  6ce54810-9595-11ec-9160-6e24649026a6.exe C:\\ProgramData\Microsoft\OFFICE\MySharePoints.ico
  2⤵
  PID:3012
- C:\Users\Admin\AppData\Local\Temp\6cd394d0-9595-11ec-9104-6e24649026a6.exe
  6cd394d0-9595-11ec-9104-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\ShaderCache\GPUCache\index"
  2⤵
  PID:2644
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf21950-9595-11ec-9206-6e24649026a6.exe
  2⤵
  PID:1724
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce54810-9595-11ec-915e-6e24649026a6.exe
  2⤵
  PID:3824
- C:\Users\Admin\AppData\Local\Temp\6cd08790-9595-11ec-9100-6e24649026a6.exe
  6cd08790-9595-11ec-9100-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\ShaderCache\GPUCache\data_1"
  2⤵
  PID:3088
- C:\Users\Admin\AppData\Local\Temp\6cd4cd50-9595-11ec-9106-6e24649026a6.exe
  6cd4cd50-9595-11ec-9106-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Microsoft\Feeds Cache\4HKVW8NZ\fwlink[2]"
  2⤵
  PID:3820
- C:\Users\Admin\AppData\Local\Temp\6cd801a0-9595-11ec-9111-6e24649026a6.exe
  6cd801a0-9595-11ec-9111-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-00A1-0409-0000-0000000FF1CE}-C\OneNoteMUI.xml"
  2⤵
  PID:4084
- C:\Users\Admin\AppData\Local\Temp\6ccf2800-9595-11ec-90fc-6e24649026a6.exe
  6ccf2800-9595-11ec-90fc-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-001A-0409-0000-0000000FF1CE}-C\OutlookMUI.xml"
  2⤵
  PID:4296
- C:\Users\Admin\AppData\Local\Temp\6cd7b380-9595-11ec-910e-6e24649026a6.exe
  6cd7b380-9595-11ec-910e-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0044-0409-0000-0000000FF1CE}-C\Setup.xml"
  2⤵
  PID:2872
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce10250-9595-11ec-9141-6e24649026a6.exe
  2⤵
  PID:2924
- C:\Users\Admin\AppData\Local\Temp\6cd6c920-9595-11ec-910c-6e24649026a6.exe
  6cd6c920-9595-11ec-910c-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0044-0409-0000-0000000FF1CE}-C\InfoPathMUI.msi"
  2⤵
  PID:3760
- C:\Users\Admin\AppData\Local\Temp\6cd43110-9595-11ec-9105-6e24649026a6.exe
  6cd43110-9595-11ec-9105-6e24649026a6.exe C:\\Users\Admin\AppData\Local\History
  2⤵
  PID:2568
- C:\Users\Admin\AppData\Local\Temp\6cce3da0-9595-11ec-90f9-6e24649026a6.exe
  6cce3da0-9595-11ec-90f9-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0019-0409-0000-0000000FF1CE}-C\Setup.xml"
  2⤵
  PID:1696
- C:\Users\Admin\AppData\Local\Temp\6ccf4f10-9595-11ec-90fd-6e24649026a6.exe
  6ccf4f10-9595-11ec-90fd-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-001B-0409-0000-0000000FF1CE}-C\Setup.xml"
  2⤵
  PID:3156
- C:\Users\Admin\AppData\Local\Temp\6cd828b0-9595-11ec-9113-6e24649026a6.exe
  6cd828b0-9595-11ec-9113-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-00A1-0409-0000-0000000FF1CE}-C\Setup.xml"
  2⤵
  PID:3048
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cd08790-9595-11ec-90ff-6e24649026a6.exe
  2⤵
  PID:2548
- C:\Users\Admin\AppData\Local\Temp\6cceb2d0-9595-11ec-90fb-6e24649026a6.exe
  6cceb2d0-9595-11ec-90fb-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-001A-0409-0000-0000000FF1CE}-C\OutlkLR.cab"
  2⤵
  PID:3104
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceac650-9595-11ec-91a7-6e24649026a6.exe
  2⤵
  PID:2952
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce39a60-9595-11ec-9154-6e24649026a6.exe
  2⤵
  PID:3544
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce79200-9595-11ec-9176-6e24649026a6.exe
  2⤵
  PID:2772
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce4d2e0-9595-11ec-915c-6e24649026a6.exe
  2⤵
  PID:3212
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce743e0-9595-11ec-916a-6e24649026a6.exe
  2⤵
  PID:3388
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdff0e0-9595-11ec-9138-6e24649026a6.exe
  2⤵
  PID:3676
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce76af0-9595-11ec-9171-6e24649026a6.exe
  2⤵
  PID:3148
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce7e020-9595-11ec-917b-6e24649026a6.exe
  2⤵
  PID:4152
- C:\Users\Admin\AppData\Local\Temp\6cd3e2f0-9595-11ec-9105-6e24649026a6.exe
  6cd3e2f0-9595-11ec-9105-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Proof.fr\Proof.cab"
  2⤵
  PID:4016
- C:\Users\Admin\AppData\Local\Temp\6cd54280-9595-11ec-9107-6e24649026a6.exe
  6cd54280-9595-11ec-9107-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Proof.fr\Proof.xml"
  2⤵
  PID:4136
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce9b4e0-9595-11ec-9195-6e24649026a6.exe
  2⤵
  PID:3504
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce966c0-9595-11ec-918e-6e24649026a6.exe
  2⤵
  PID:3224
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce7e020-9595-11ec-917d-6e24649026a6.exe
  2⤵
  PID:3240
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ced8570-9595-11ec-91cb-6e24649026a6.exe
  2⤵
  PID:3708
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce80730-9595-11ec-9186-6e24649026a6.exe
  2⤵
  PID:4284
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce80730-9595-11ec-9182-6e24649026a6.exe
  2⤵
  PID:2836
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cdf54a0-9595-11ec-9132-6e24649026a6.exe
  2⤵
  PID:2560
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce03f00-9595-11ec-9139-6e24649026a6.exe
  2⤵
  PID:3036
- C:\Users\Admin\AppData\Local\Temp\6cd6c920-9595-11ec-910e-6e24649026a6.exe
  6cd6c920-9595-11ec-910e-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Microsoft\Internet Explorer\Recovery\High\Last Active\RecoveryStore.{A8FAD860-5837-11EC-9DAB-5E852A8E65EC}.dat"
  2⤵
  PID:3168
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceebdf0-9595-11ec-91d8-6e24649026a6.exe
  2⤵
  PID:2808
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce9dbf0-9595-11ec-9197-6e24649026a6.exe
  2⤵
  PID:3344
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce966c0-9595-11ec-9190-6e24649026a6.exe
  2⤵
  PID:4196
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf1f240-9595-11ec-9204-6e24649026a6.exe
  2⤵
  PID:3184
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf06ba0-9595-11ec-91ec-6e24649026a6.exe
  2⤵
  PID:3624
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cee96e0-9595-11ec-91d4-6e24649026a6.exe
  2⤵
  PID:3740
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cec4cf0-9595-11ec-91be-6e24649026a6.exe
  2⤵
  PID:4132
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf1f240-9595-11ec-9201-6e24649026a6.exe
  2⤵
  PID:2904
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceebdf0-9595-11ec-91d7-6e24649026a6.exe
  2⤵
  PID:3216
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cee96e0-9595-11ec-91d5-6e24649026a6.exe
  2⤵
  PID:2828
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cecc220-9595-11ec-91c3-6e24649026a6.exe
  2⤵
  PID:2868
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ced1040-9595-11ec-91c9-6e24649026a6.exe
  2⤵
  PID:3520
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ced3750-9595-11ec-91cb-6e24649026a6.exe
  2⤵
  PID:2840
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cef5a30-9595-11ec-91df-6e24649026a6.exe
  2⤵
  PID:1752
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf12ef0-9595-11ec-91f6-6e24649026a6.exe
  2⤵
  PID:3008
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceaed60-9595-11ec-91ab-6e24649026a6.exe
  2⤵
  PID:2784
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf12ef0-9595-11ec-91f8-6e24649026a6.exe
  2⤵
  PID:3004
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceb6290-9595-11ec-91b0-6e24649026a6.exe
  2⤵
  PID:2748
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea9f40-9595-11ec-91a3-6e24649026a6.exe
  2⤵
  PID:4180
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cebd7c0-9595-11ec-91b6-6e24649026a6.exe
  2⤵
  PID:4212
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceb6290-9595-11ec-91b1-6e24649026a6.exe
  2⤵
  PID:3612
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ce9b4e0-9595-11ec-9194-6e24649026a6.exe
  2⤵
  PID:3204
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea7830-9595-11ec-91a0-6e24649026a6.exe
  2⤵
  PID:2916
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea2a10-9595-11ec-919b-6e24649026a6.exe
  2⤵
  PID:3448
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf2b590-9595-11ec-920c-6e24649026a6.exe
  2⤵
  PID:3648
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cece930-9595-11ec-91c5-6e24649026a6.exe
  2⤵
  PID:3712
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf2dca0-9595-11ec-9212-6e24649026a6.exe
  2⤵
  PID:4020
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cebd7c0-9595-11ec-91b9-6e24649026a6.exe
  2⤵
  PID:3996
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf1f240-9595-11ec-9202-6e24649026a6.exe
  2⤵
  PID:3604
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cea9f40-9595-11ec-91a2-6e24649026a6.exe
  2⤵
  PID:3508
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf2dca0-9595-11ec-9211-6e24649026a6.exe
  2⤵
  PID:3232
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceb6290-9595-11ec-91b2-6e24649026a6.exe
  2⤵
  PID:4112
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceac650-9595-11ec-91a8-6e24649026a6.exe
  2⤵
  PID:3376
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ceac650-9595-11ec-91a9-6e24649026a6.exe
  2⤵
  PID:4128
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cef0c10-9595-11ec-91db-6e24649026a6.exe
  2⤵
  PID:3392
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cebb0b0-9595-11ec-91b5-6e24649026a6.exe
  2⤵
  PID:4208
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ced8570-9595-11ec-91cd-6e24649026a6.exe
  2⤵
  PID:3200
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6ced8570-9595-11ec-91ce-6e24649026a6.exe
  2⤵
  PID:3196
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cef5a30-9595-11ec-91e1-6e24649026a6.exe
  2⤵
  PID:3192
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf17d10-9595-11ec-91fb-6e24649026a6.exe
  2⤵
  PID:4220
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf0b9c0-9595-11ec-91ef-6e24649026a6.exe
  2⤵
  PID:3244
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf2dca0-9595-11ec-920f-6e24649026a6.exe
  2⤵
  PID:2988
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf0e0d0-9595-11ec-91f0-6e24649026a6.exe
  2⤵
  PID:3236
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf0e0d0-9595-11ec-91f3-6e24649026a6.exe
  2⤵
  PID:3728
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf26770-9595-11ec-920a-6e24649026a6.exe
  2⤵
  PID:3144
- C:\Windows\system32\cmd.exe
  cmd /c copy C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe 6cf21950-9595-11ec-9207-6e24649026a6.exe
  2⤵
  PID:3360
- C:\Users\Admin\AppData\Local\Temp\6cd801a0-9595-11ec-9113-6e24649026a6.exe
  6cd801a0-9595-11ec-9113-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Microsoft\Internet Explorer\brndlog.txt"
  2⤵
  PID:4000
- C:\Users\Admin\AppData\Local\Temp\6cd93a20-9595-11ec-9115-6e24649026a6.exe
  6cd93a20-9595-11ec-9115-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-00BA-0409-0000-0000000FF1CE}-C\Setup.xml"
  2⤵
  PID:3208
- C:\Users\Admin\AppData\Local\Temp\6cd5dec0-9595-11ec-910a-6e24649026a6.exe
  6cd5dec0-9595-11ec-910a-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Proofing.xml"
  2⤵
  PID:3248
- C:\Users\Admin\AppData\Local\Temp\6cdf7bb0-9595-11ec-9135-6e24649026a6.exe
  6cdf7bb0-9595-11ec-9135-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0117-0409-0000-0000000FF1CE}-C\AccessMUISet.xml"
  2⤵
  PID:1156
- C:\Users\Admin\AppData\Local\Temp\6cdf7bb0-9595-11ec-9133-6e24649026a6.exe
  6cdf7bb0-9595-11ec-9133-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Temp\dd_NDP472-KB4054530-x86-x64-AllOS-ENU_decompression_log.txt
  2⤵
  PID:3580
- C:\Users\Admin\AppData\Local\Temp\6cde4330-9595-11ec-9125-6e24649026a6.exe
  6cde4330-9595-11ec-9125-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\entries\C4483C658D2353FC3956D815B401B6561FFA153E
  2⤵
  PID:3296
- C:\Users\Admin\AppData\Local\Temp\6cddce00-9595-11ec-911f-6e24649026a6.exe
  6cddce00-9595-11ec-911f-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\entries\9A9411FBCE3F9BC1C6C0609CD7A17DED156807F9
  2⤵
  PID:3172
- C:\Users\Admin\AppData\Local\Temp\6cd801a0-9595-11ec-9112-6e24649026a6.exe
  6cd801a0-9595-11ec-9112-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-00A1-0409-0000-0000000FF1CE}-C\OnoteLR.cab"
  2⤵
  PID:3556
- C:\Users\Admin\AppData\Local\Temp\6cd6c920-9595-11ec-910d-6e24649026a6.exe
  6cd6c920-9595-11ec-910d-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0044-0409-0000-0000000FF1CE}-C\InfoPathMUI.xml"
  2⤵
  PID:4336
- C:\Users\Admin\AppData\Local\Temp\6cddce00-9595-11ec-911a-6e24649026a6.exe
  6cddce00-9595-11ec-911a-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\branding.xml"
  2⤵
  PID:4540
- C:\Users\Admin\AppData\Local\Temp\6cde4330-9595-11ec-9124-6e24649026a6.exe
  6cde4330-9595-11ec-9124-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\pss10r.chm"
  2⤵
  PID:4464
- C:\Users\Admin\AppData\Local\Temp\6cddce00-9595-11ec-911e-6e24649026a6.exe
  6cddce00-9595-11ec-911e-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\entries\63F48F4F7F1BC3195F5AB831F9794F3DBA2D30E1
  2⤵
  PID:4624
- C:\Users\Admin\AppData\Local\Temp\6ce03f00-9595-11ec-913a-6e24649026a6.exe
  6ce03f00-9595-11ec-913a-6e24649026a6.exe C:\\ProgramData\Favorites
  2⤵
  PID:4384
- C:\Users\Admin\AppData\Local\Temp\6cd9af50-9595-11ec-9115-6e24649026a6.exe
  6cd9af50-9595-11ec-9115-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\1033\dwintl20.dll"
  2⤵
  PID:4476
- C:\Users\Admin\AppData\Local\Temp\6cdac0c0-9595-11ec-9116-6e24649026a6.exe
  6cdac0c0-9595-11ec-9116-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\OfficeLR.cab"
  2⤵
  PID:4644
- C:\Users\Admin\AppData\Local\Temp\6cdeb860-9595-11ec-912b-6e24649026a6.exe
  6cdeb860-9595-11ec-912b-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0116-0409-1000-0000000FF1CE}-C\Office64MUISet.msi"
  2⤵
  PID:4664
- C:\Users\Admin\AppData\Local\Temp\6cd346b0-9595-11ec-9102-6e24649026a6.exe
  6cd346b0-9595-11ec-9102-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Proof.es\Proof.cab"
  2⤵
  PID:4680
- C:\Users\Admin\AppData\Local\Temp\6cde6a40-9595-11ec-9127-6e24649026a6.exe
  6cde6a40-9595-11ec-9127-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\entries\D3A3F23A18269EE9C5F4474085FE7DA5B04EDBEE
  2⤵
  PID:4356
- C:\Users\Admin\AppData\Local\Temp\6cdac0c0-9595-11ec-9117-6e24649026a6.exe
  6cdac0c0-9595-11ec-9117-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\OfficeMUI.msi"
  2⤵
  PID:4364
- C:\Users\Admin\AppData\Local\Temp\6cde4330-9595-11ec-9123-6e24649026a6.exe
  6cde4330-9595-11ec-9123-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\entries\B555235EB5230B93242A83F624CFE5AF42CB966B
  2⤵
  PID:4816
- C:\Users\Admin\AppData\Local\Temp\6cd876d0-9595-11ec-9115-6e24649026a6.exe
  6cd876d0-9595-11ec-9115-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Microsoft\Internet Explorer\imagestore\7w612sw\imagestore.dat"
  2⤵
  PID:4776
- C:\Users\Admin\AppData\Local\Temp\6cd54280-9595-11ec-9109-6e24649026a6.exe
  6cd54280-9595-11ec-9109-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Microsoft\Feeds Cache\DSVD0N50\fwlink[2]"
  2⤵
  PID:4884
- C:\Users\Admin\AppData\Local\Temp\6cddce00-9595-11ec-911d-6e24649026a6.exe
  6cddce00-9595-11ec-911d-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\entries\5D2AEA6AB2AB7A9920048B5B589F28ECEB54147A
  2⤵
  PID:4948
- C:\Users\Admin\AppData\Local\Temp\6cd89de0-9595-11ec-9115-6e24649026a6.exe
  6cd89de0-9595-11ec-9115-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-00BA-0409-0000-0000000FF1CE}-C\GrooveMUI.xml"
  2⤵
  PID:4940
- C:\Users\Admin\AppData\Local\Temp\6cdf7bb0-9595-11ec-9134-6e24649026a6.exe
  6cdf7bb0-9595-11ec-9134-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0117-0409-0000-0000000FF1CE}-C\AccessMUISet.msi"
  2⤵
  PID:4904
- C:\Users\Admin\AppData\Local\Temp\6cdda6f0-9595-11ec-9119-6e24649026a6.exe
  6cdda6f0-9595-11ec-9119-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\Setup.xml"
  2⤵
  PID:5044
- C:\Users\Admin\AppData\Local\Temp\6cde6a40-9595-11ec-9126-6e24649026a6.exe
  6cde6a40-9595-11ec-9126-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\entries\C842707B3A9C965FEB616279A73D00AEB1FE45FE
  2⤵
  PID:5080
- C:\Users\Admin\AppData\Local\Temp\6ce261e0-9595-11ec-914a-6e24649026a6.exe
  6ce261e0-9595-11ec-914a-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\ringtones.ico"
  2⤵
  PID:5000
- C:\Users\Admin\AppData\Local\Temp\6cdd0ab0-9595-11ec-9118-6e24649026a6.exe
  6cdd0ab0-9595-11ec-9118-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\entries\1BBC7759CBC162CA4A6DD44B4D4454193297867E
  2⤵
  PID:4328
- C:\Users\Admin\AppData\Local\Temp\6cde4330-9595-11ec-9122-6e24649026a6.exe
  6cde4330-9595-11ec-9122-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\entries\AEA5CF7114714145CBD9DC7C6B20B4FAA948B08D
  2⤵
  PID:5084
- C:\Users\Admin\AppData\Local\Temp\6cd4cd50-9595-11ec-9107-6e24649026a6.exe
  6cd4cd50-9595-11ec-9107-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Microsoft\Feeds Cache\AE02W23T\fwlink[1]"
  2⤵
  PID:5100
- C:\Users\Admin\AppData\Local\Temp\6cd43110-9595-11ec-9106-6e24649026a6.exe
  6cd43110-9595-11ec-9106-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Microsoft\Feeds Cache\4HKVW8NZ\fwlink[1]"
  2⤵
  PID:2980
- C:\Users\Admin\AppData\Local\Temp\6cdf2d90-9595-11ec-9130-6e24649026a6.exe
  6cdf2d90-9595-11ec-9130-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Temp\FXSAPIDebugLogFile.txt
  2⤵
  PID:2928
- C:\Users\Admin\AppData\Local\Temp\6cde1c20-9595-11ec-9121-6e24649026a6.exe
  6cde1c20-9595-11ec-9121-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\osetupui.dll"
  2⤵
  PID:3572
- C:\Users\Admin\AppData\Local\Temp\6cdeb860-9595-11ec-912a-6e24649026a6.exe
  6cdeb860-9595-11ec-912a-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0116-0409-1000-0000000FF1CE}-C\Office64MUI.xml"
  2⤵
  PID:4876
- C:\Users\Admin\AppData\Local\Temp\6cdeb860-9595-11ec-9129-6e24649026a6.exe
  6cdeb860-9595-11ec-9129-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\entries\D5BC452939704CF03FAA88DD0293A32A53B79166
  2⤵
  PID:4420
- C:\Users\Admin\AppData\Local\Temp\6cdfc9d0-9595-11ec-9138-6e24649026a6.exe
  6cdfc9d0-9595-11ec-9138-6e24649026a6.exe "C:\\ProgramData\Application Data"
  2⤵
  PID:3576
- C:\Users\Admin\AppData\Local\Temp\6cdda6f0-9595-11ec-9118-6e24649026a6.exe
  6cdda6f0-9595-11ec-9118-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\OfficeMUISet.xml"
  2⤵
  PID:3748
- C:\Users\Admin\AppData\Local\Temp\6cdf54a0-9595-11ec-9130-6e24649026a6.exe
  6cdf54a0-9595-11ec-9130-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0117-0409-0000-0000000FF1CE}-C\Access.en-us\AccessMUI.xml"
  2⤵
  PID:4484
- C:\Users\Admin\AppData\Local\Temp\6cd62ce0-9595-11ec-910b-6e24649026a6.exe
  6cd62ce0-9595-11ec-910b-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Microsoft\Feeds Cache\container.dat"
  2⤵
  PID:4868
- C:\Users\Admin\AppData\Local\Temp\6ce213c0-9595-11ec-9149-6e24649026a6.exe
  6ce213c0-9595-11ec-9149-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\netfol.ico"
  2⤵
  PID:812
- C:\Users\Admin\AppData\Local\Temp\6cdf0680-9595-11ec-912e-6e24649026a6.exe
  6cdf0680-9595-11ec-912e-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0117-0409-0000-0000000FF1CE}-C\Access.en-us\AccLR.cab"
  2⤵
  PID:4516
- C:\Users\Admin\AppData\Local\Temp\6cdeb860-9595-11ec-912e-6e24649026a6.exe
  6cdeb860-9595-11ec-912e-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe
  2⤵
  - Suspicious behavior: RenamesItself
  PID:4508
- C:\Users\Admin\AppData\Local\Temp\6cddce00-9595-11ec-911b-6e24649026a6.exe
  6cddce00-9595-11ec-911b-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\entries\340A10D652987DF5E54312E31F5C22F6E8DBA574
  2⤵
  PID:5060
- C:\Users\Admin\AppData\Local\Temp\6cddf510-9595-11ec-911f-6e24649026a6.exe
  6cddf510-9595-11ec-911f-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\dwdcw20.dll"
  2⤵
  PID:5064
- C:\Users\Admin\AppData\Local\Temp\6cdda6f0-9595-11ec-911a-6e24649026a6.exe
  6cdda6f0-9595-11ec-911a-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\entries\2BF26D07E908AEF2A6E2C2BF13D790BDE604017B
  2⤵
  PID:5016
- C:\Users\Admin\AppData\Local\Temp\6cd7b380-9595-11ec-9111-6e24649026a6.exe
  6cd7b380-9595-11ec-9111-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Microsoft\Internet Explorer\Tiles\pin9728060290\msapplication.xml"
  2⤵
  PID:4072
- C:\Users\Admin\AppData\Local\Temp\6cdeb860-9595-11ec-9128-6e24649026a6.exe
  6cdeb860-9595-11ec-9128-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0116-0409-1000-0000000FF1CE}-C\Office64MUI.msi"
  2⤵
  PID:4448
- C:\Users\Admin\AppData\Local\Temp\6cd5b7b0-9595-11ec-9109-6e24649026a6.exe
  6cd5b7b0-9595-11ec-9109-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Proofing.msi"
  2⤵
  PID:288
- C:\Users\Admin\AppData\Local\Temp\6cde1c20-9595-11ec-9120-6e24649026a6.exe
  6cde1c20-9595-11ec-9120-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\msvcr90.dll"
  2⤵
  PID:3408
- C:\Users\Admin\AppData\Local\Temp\6cde1c20-9595-11ec-911f-6e24649026a6.exe
  6cde1c20-9595-11ec-911f-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\dwtrig20.exe"
  2⤵
  PID:3400
- C:\Users\Admin\AppData\Local\Temp\6ce017f0-9595-11ec-9139-6e24649026a6.exe
  6ce017f0-9595-11ec-9139-6e24649026a6.exe C:\\ProgramData\Desktop
  2⤵
  PID:3432
- C:\Users\Admin\AppData\Local\Temp\6ce40f90-9595-11ec-9156-6e24649026a6.exe
  6ce40f90-9595-11ec-9156-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\7423F88C7F265F0DEFC08EA88C3BDE45_D975BBA8033175C8D112023D8A7A8AD6
  2⤵
  PID:3784
- C:\Users\Admin\AppData\Local\Temp\6ce288f0-9595-11ec-914a-6e24649026a6.exe
  6ce288f0-9595-11ec-914a-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\settings.ico"
  2⤵
  PID:4752
- C:\Users\Admin\AppData\Local\Temp\6ce23ad0-9595-11ec-9149-6e24649026a6.exe
  6ce23ad0-9595-11ec-9149-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\pictures.ico"
  2⤵
  PID:4756
- C:\Users\Admin\AppData\Local\Temp\6cdfa2c0-9595-11ec-9136-6e24649026a6.exe
  6cdfa2c0-9595-11ec-9136-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0117-0409-0000-0000000FF1CE}-C\Setup.xml"
  2⤵
  PID:4848
- C:\Users\Admin\AppData\Local\Temp\6cdf2d90-9595-11ec-912f-6e24649026a6.exe
  6cdf2d90-9595-11ec-912f-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0117-0409-0000-0000000FF1CE}-C\Access.en-us\AccessMUI.msi"
  2⤵
  PID:4852
- C:\Users\Admin\AppData\Local\Temp\6cdff0e0-9595-11ec-9139-6e24649026a6.exe
  6cdff0e0-9595-11ec-9139-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Temp\dd_wcf_CA_smci_20211208_144732_062.txt
  2⤵
  PID:2456
- C:\Users\Admin\AppData\Local\Temp\6ce2d710-9595-11ec-914d-6e24649026a6.exe
  6ce2d710-9595-11ec-914d-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\wmp.ico"
  2⤵
  PID:3956
- C:\Users\Admin\AppData\Local\Temp\6cdfa2c0-9595-11ec-9138-6e24649026a6.exe
  6cdfa2c0-9595-11ec-9138-6e24649026a6.exe C:\\ProgramData\Adobe\Updater6\AdobeESDGlobalApps.xml
  2⤵
  PID:1492
- C:\Users\Admin\AppData\Local\Temp\6ce10250-9595-11ec-9144-6e24649026a6.exe
  6ce10250-9595-11ec-9144-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\superbar.png"
  2⤵
  PID:2848
- C:\Users\Admin\AppData\Local\Temp\6cdf7bb0-9595-11ec-9136-6e24649026a6.exe
  6cdf7bb0-9595-11ec-9136-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Temp\dd_SetupUtility.txt
  2⤵
  PID:5024
- C:\Users\Admin\AppData\Local\Temp\6ce2b000-9595-11ec-914c-6e24649026a6.exe
  6ce2b000-9595-11ec-914c-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\sync.ico"
  2⤵
  PID:4996
- C:\Users\Admin\AppData\Local\Temp\6cdf54a0-9595-11ec-9133-6e24649026a6.exe
  6cdf54a0-9595-11ec-9133-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Temp\Microsoft .NET Framework 4.7.2 Setup_20211208_144704667.html"
  2⤵
  PID:4924
- C:\Users\Admin\AppData\Local\Temp\6ce2b000-9595-11ec-914d-6e24649026a6.exe
  6ce2b000-9595-11ec-914d-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\tasks.xml"
  2⤵
  PID:1940
- C:\Users\Admin\AppData\Local\Temp\6ce6a7a0-9595-11ec-9166-6e24649026a6.exe
  6ce6a7a0-9595-11ec-9166-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\7423F88C7F265F0DEFC08EA88C3BDE45_D975BBA8033175C8D112023D8A7A8AD6
  2⤵
  PID:4028
- C:\Users\Admin\AppData\Local\Temp\6ce288f0-9595-11ec-914c-6e24649026a6.exe
  6ce288f0-9595-11ec-914c-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\6BADA8974A10C4BD62CC921D13E43B18_1DC6D7385EA816C957BA2B715AC5C442
  2⤵
  PID:668
- C:\Users\Admin\AppData\Local\Temp\6ce2fe20-9595-11ec-914e-6e24649026a6.exe
  6ce2fe20-9595-11ec-914e-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\en-US\resource.xml"
  2⤵
  PID:2504
- C:\Users\Admin\AppData\Local\Temp\6ce436a0-9595-11ec-9156-6e24649026a6.exe
  6ce436a0-9595-11ec-9156-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\scan_property.ico"
  2⤵
  PID:3940
- C:\Users\Admin\AppData\Local\Temp\6ce68090-9595-11ec-9164-6e24649026a6.exe
  6ce68090-9595-11ec-9164-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\6BADA8974A10C4BD62CC921D13E43B18_1DC6D7385EA816C957BA2B715AC5C442
  2⤵
  PID:3536
- C:\Users\Admin\AppData\Local\Temp\6cddce00-9595-11ec-911c-6e24649026a6.exe
  6cddce00-9595-11ec-911c-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\entries\4903E7ABE348ED39D98D1C844FB81A906D5ECA16
  2⤵
  PID:2508
- C:\Users\Admin\AppData\Local\Temp\6ce6ceb0-9595-11ec-9166-6e24649026a6.exe
  6ce6ceb0-9595-11ec-9166-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\7B2238AACCEDC3F1FFE8E7EB5F575EC9
  2⤵
  PID:2460
- C:\Users\Admin\AppData\Local\Temp\6ceee500-9595-11ec-91db-6e24649026a6.exe
  6ceee500-9595-11ec-91db-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\GPUCache\data_0"
  2⤵
  PID:2700
- C:\Users\Admin\AppData\Local\Temp\6cee96e0-9595-11ec-91d3-6e24649026a6.exe
  6cee96e0-9595-11ec-91d3-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cookies-journal"
  2⤵
  PID:4088
- C:\Users\Admin\AppData\Local\Temp\6cef3320-9595-11ec-91df-6e24649026a6.exe
  6cef3320-9595-11ec-91df-6e24649026a6.exe C:\\Users\Admin\Pictures\DismountCompare.jpg
  2⤵
  PID:3936
- C:\Users\Admin\AppData\Local\Temp\6cee48c0-9595-11ec-91d2-6e24649026a6.exe
  6cee48c0-9595-11ec-91d2-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Code Cache\wasm\index-dir\the-real-index"
  2⤵
  PID:3976
- C:\Users\Admin\AppData\Local\Temp\6ce7e020-9595-11ec-917a-6e24649026a6.exe
  6ce7e020-9595-11ec-917a-6e24649026a6.exe C:\\Users\Admin\AppData\Roaming\Adobe\Acrobat\9.0\SharedDataEvents
  2⤵
  PID:2520
- C:\Users\Admin\AppData\Local\Temp\6ce918a0-9595-11ec-918a-6e24649026a6.exe
  6ce918a0-9595-11ec-918a-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile29.bmp"
  2⤵
  PID:3816
- C:\Users\Admin\AppData\Local\Temp\6ceee500-9595-11ec-91d9-6e24649026a6.exe
  6ceee500-9595-11ec-91d9-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Favicons"
  2⤵
  PID:4036
- C:\Users\Admin\AppData\Local\Temp\6cee6fd0-9595-11ec-91d2-6e24649026a6.exe
  6cee6fd0-9595-11ec-91d2-6e24649026a6.exe C:\\Users\Admin\Music\UninstallUndo.ico
  2⤵
  PID:2976
- C:\Users\Admin\AppData\Local\Temp\6ce60b60-9595-11ec-9163-6e24649026a6.exe
  6ce60b60-9595-11ec-9163-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\696F3DE637E6DE85B458996D49D759AD
  2⤵
  PID:3852
- C:\Users\Admin\AppData\Local\Temp\6ce6ceb0-9595-11ec-9168-6e24649026a6.exe
  6ce6ceb0-9595-11ec-9168-6e24649026a6.exe C:\\ProgramData\Microsoft\OfficeSoftwareProtectionPlatform\Cache\cache.dat
  2⤵
  PID:2660
- C:\Users\Admin\AppData\Local\Temp\6ce98dd0-9595-11ec-9192-6e24649026a6.exe
  6ce98dd0-9595-11ec-9192-6e24649026a6.exe C:\\Users\Admin\Desktop\RestoreClear.exe
  2⤵
  PID:2548
- C:\Users\Admin\AppData\Local\Temp\6ce68090-9595-11ec-9163-6e24649026a6.exe
  6ce68090-9595-11ec-9163-6e24649026a6.exe C:\\ProgramData\Microsoft\OFFICE\SharePointPortalSite.ico
  2⤵
  PID:2912
- C:\Users\Admin\AppData\Local\Temp\6ce80730-9595-11ec-9189-6e24649026a6.exe
  6ce80730-9595-11ec-9189-6e24649026a6.exe C:\\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ryugmcli.default-release\AlternateServices.txt
  2⤵
  PID:3868
- C:\Users\Admin\AppData\Local\Temp\6ce34c40-9595-11ec-9152-6e24649026a6.exe
  6ce34c40-9595-11ec-9152-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\ja-JP\resource.xml"
  2⤵
  PID:3964
- C:\Users\Admin\AppData\Local\Temp\6ce8f190-9595-11ec-918a-6e24649026a6.exe
  6ce8f190-9595-11ec-918a-6e24649026a6.exe C:\\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ryugmcli.default-release\pluginreg.dat
  2⤵
  PID:4232
- C:\Users\Admin\AppData\Local\Temp\6ce80730-9595-11ec-9181-6e24649026a6.exe
  6ce80730-9595-11ec-9181-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile21.bmp"
  2⤵
  PID:1548
- C:\Users\Admin\AppData\Local\Temp\6ce7e020-9595-11ec-917e-6e24649026a6.exe
  6ce7e020-9595-11ec-917e-6e24649026a6.exe C:\\Users\Admin\AppData\Roaming\Microsoft\Protect\S-1-5-21-2329389628-4064185017-3901522362-1000\Preferred
  2⤵
  PID:3680
- C:\Users\Admin\AppData\Local\Temp\6ce918a0-9595-11ec-918c-6e24649026a6.exe
  6ce918a0-9595-11ec-918c-6e24649026a6.exe "C:\\Users\Admin\Application Data"
  2⤵
  PID:3148
- C:\Users\Admin\AppData\Local\Temp\6ceaed60-9595-11ec-91aa-6e24649026a6.exe
  6ceaed60-9595-11ec-91aa-6e24649026a6.exe C:\\Users\Admin\Downloads\FormatPing.xlsx
  2⤵
  PID:3516
- C:\Users\Admin\AppData\Local\Temp\6ce7b910-9595-11ec-9178-6e24649026a6.exe
  6ce7b910-9595-11ec-9178-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Sun\Java\jdk1.7.0_80_x64\sz170800.cab
  2⤵
  PID:4304
- C:\Users\Admin\AppData\Local\Temp\6ce7e020-9595-11ec-9179-6e24649026a6.exe
  6ce7e020-9595-11ec-9179-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile18.bmp"
  2⤵
  PID:4228
- C:\Users\Admin\AppData\Local\Temp\6ceac650-9595-11ec-91a6-6e24649026a6.exe
  6ceac650-9595-11ec-91a6-6e24649026a6.exe C:\\Users\Admin\Downloads\EditMeasure.doc
  2⤵
  PID:3428
- C:\Users\Admin\AppData\Local\Temp\6cea7830-9595-11ec-91a2-6e24649026a6.exe
  6cea7830-9595-11ec-91a2-6e24649026a6.exe C:\\Users\Admin\Documents\These.docx
  2⤵
  PID:3948
- C:\Users\Admin\AppData\Local\Temp\6ce9dbf0-9595-11ec-9196-6e24649026a6.exe
  6ce9dbf0-9595-11ec-9196-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile36.bmp"
  2⤵
  PID:2604
- C:\Users\Admin\AppData\Local\Temp\6ceb3b80-9595-11ec-91af-6e24649026a6.exe
  6ceb3b80-9595-11ec-91af-6e24649026a6.exe C:\\Users\Admin\Downloads\SearchDebug.sql
  2⤵
  PID:2484
- C:\Users\Admin\AppData\Local\Temp\6ce4abd0-9595-11ec-915b-6e24649026a6.exe
  6ce4abd0-9595-11ec-915b-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\E0F5C59F9FA661F6F4C50B87FEF3A15A
  2⤵
  PID:4060
- C:\Users\Admin\AppData\Local\Temp\6cea9f40-9595-11ec-91a6-6e24649026a6.exe
  6cea9f40-9595-11ec-91a6-6e24649026a6.exe C:\\Users\Admin\Downloads\DebugComplete.avi
  2⤵
  PID:3800
- C:\Users\Admin\AppData\Local\Temp\6ce54810-9595-11ec-915f-6e24649026a6.exe
  6ce54810-9595-11ec-915f-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\37C951188967C8EB88D99893D9D191FE
  2⤵
  PID:4068
- C:\Users\Admin\AppData\Local\Temp\6ce743e0-9595-11ec-9171-6e24649026a6.exe
  6ce743e0-9595-11ec-9171-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile12.bmp"
  2⤵
  PID:3756
- C:\Users\Admin\AppData\Local\Temp\6ce34c40-9595-11ec-9153-6e24649026a6.exe
  6ce34c40-9595-11ec-9153-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\print_pref.ico"
  2⤵
  PID:4164
- C:\Users\Admin\AppData\Local\Temp\6cea2a10-9595-11ec-919e-6e24649026a6.exe
  6cea2a10-9595-11ec-919e-6e24649026a6.exe "C:\\Users\Admin\Documents\My Pictures"
  2⤵
  PID:3512
- C:\Users\Admin\AppData\Local\Temp\6ce71cd0-9595-11ec-916a-6e24649026a6.exe
  6ce71cd0-9595-11ec-916a-6e24649026a6.exe C:\\ProgramData\Microsoft\RAC\StateData\RacMetaData.dat
  2⤵
  PID:3480
- C:\Users\Admin\AppData\Local\Temp\6ceb89a0-9595-11ec-91b4-6e24649026a6.exe
  6ceb89a0-9595-11ec-91b4-6e24649026a6.exe "C:\\ProgramData\Package Cache\{CF2BEA3C-26EA-32F8-AA9B-331F7E34BA97}v11.0.61030\packages\vcRuntimeMinimum_amd64\cab1.cab"
  2⤵
  PID:4176
- C:\Users\Admin\AppData\Local\Temp\6ced1040-9595-11ec-91c8-6e24649026a6.exe
  6ced1040-9595-11ec-91c8-6e24649026a6.exe C:\\Users\Admin\Music\ExportRequest.iso
  2⤵
  PID:2844
- C:\Users\Admin\AppData\Local\Temp\6ceb6290-9595-11ec-91af-6e24649026a6.exe
  6ceb6290-9595-11ec-91af-6e24649026a6.exe "C:\\ProgramData\Package Cache\{CB0836EC-B072-368D-82B2-D3470BF95707}v12.0.40660\packages\vcRuntimeMinimum_amd64\vc_runtimeMinimum_x64.msi"
  2⤵
  PID:3340
- C:\Users\Admin\AppData\Local\Temp\6cebfed0-9595-11ec-91bb-6e24649026a6.exe
  6cebfed0-9595-11ec-91bb-6e24649026a6.exe "C:\\ProgramData\Package Cache\{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}\vcredist_x64.exe"
  2⤵
  PID:3004
- C:\Users\Admin\AppData\Local\Temp\6cec4cf0-9595-11ec-91c0-6e24649026a6.exe
  6cec4cf0-9595-11ec-91c0-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Application Data"
  2⤵
  PID:3344
- C:\Users\Admin\AppData\Local\Temp\6ced8570-9595-11ec-91cc-6e24649026a6.exe
  6ced8570-9595-11ec-91cc-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Platform Notifications\LOG"
  2⤵
  PID:2868
- C:\Users\Admin\AppData\Local\Temp\6cebb0b0-9595-11ec-91b4-6e24649026a6.exe
  6cebb0b0-9595-11ec-91b4-6e24649026a6.exe "C:\\Users\Admin\Favorites\Links for United States\USA.gov.url"
  2⤵
  PID:3612
- C:\Users\Admin\AppData\Local\Temp\6ce85550-9595-11ec-9189-6e24649026a6.exe
  6ce85550-9595-11ec-9189-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile28.bmp"
  2⤵
  PID:3624
- C:\Users\Admin\AppData\Local\Temp\6ce76af0-9595-11ec-9174-6e24649026a6.exe
  6ce76af0-9595-11ec-9174-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile14.bmp"
  2⤵
  PID:3184
- C:\Users\Admin\AppData\Local\Temp\6cec9b10-9595-11ec-91c1-6e24649026a6.exe
  6cec9b10-9595-11ec-91c1-6e24649026a6.exe "C:\\Users\Admin\Favorites\Microsoft Websites\Microsoft At Home.url"
  2⤵
  PID:3164
- C:\Users\Admin\AppData\Local\Temp\6cedac80-9595-11ec-91cf-6e24649026a6.exe
  6cedac80-9595-11ec-91cf-6e24649026a6.exe C:\\Users\Admin\Music\ResetApprove.iso
  2⤵
  PID:1752
- C:\Users\Admin\AppData\Local\Temp\6ce40f90-9595-11ec-9155-6e24649026a6.exe
  6ce40f90-9595-11ec-9155-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\scan_.ico"
  2⤵
  PID:2920
- C:\Users\Admin\AppData\Local\Temp\6ce79200-9595-11ec-9175-6e24649026a6.exe
  6ce79200-9595-11ec-9175-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Sun\Java\jdk1.7.0_80_x64\st170800.cab
  2⤵
  PID:4380
- C:\Users\Admin\AppData\Local\Temp\6ce9dbf0-9595-11ec-9198-6e24649026a6.exe
  6ce9dbf0-9595-11ec-9198-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile38.bmp"
  2⤵
  PID:1756
- C:\Users\Admin\AppData\Local\Temp\6cec7400-9595-11ec-91c0-6e24649026a6.exe
  6cec7400-9595-11ec-91c0-6e24649026a6.exe "C:\\Users\Admin\Favorites\Microsoft Websites\IE site on Microsoft.com.url"
  2⤵
  PID:4112
- C:\Users\Admin\AppData\Local\Temp\6ce2fe20-9595-11ec-914f-6e24649026a6.exe
  6ce2fe20-9595-11ec-914f-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\es-ES\resource.xml"
  2⤵
  PID:4240
- C:\Users\Admin\AppData\Local\Temp\6cebfed0-9595-11ec-91bc-6e24649026a6.exe
  6cebfed0-9595-11ec-91bc-6e24649026a6.exe "C:\\ProgramData\Package Cache\{ef6b00ec-13e1-4c25-9064-b2f383cb8412}\vcredist_x64.exe"
  2⤵
  PID:4308
- C:\Users\Admin\AppData\Local\Temp\6ce93fb0-9595-11ec-918d-6e24649026a6.exe
  6ce93fb0-9595-11ec-918d-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile31.bmp"
  2⤵
  PID:1648
- C:\Users\Admin\AppData\Local\Temp\6ce34c40-9595-11ec-9151-6e24649026a6.exe
  6ce34c40-9595-11ec-9151-6e24649026a6.exe C:\\ProgramData\Microsoft\OFFICE\DocumentRepository.ico
  2⤵
  PID:2688
- C:\Users\Admin\AppData\Local\Temp\6ce71cd0-9595-11ec-9169-6e24649026a6.exe
  6ce71cd0-9595-11ec-9169-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\C0018BB1B5834735BFA60CD063B31956
  2⤵
  PID:3820
- C:\Users\Admin\AppData\Local\Temp\6ced1040-9595-11ec-91c7-6e24649026a6.exe
  6ced1040-9595-11ec-91c7-6e24649026a6.exe C:\\Users\Admin\Music\ExportClear.jpg
  2⤵
  PID:3048
- C:\Users\Admin\AppData\Local\Temp\6cea2a10-9595-11ec-919c-6e24649026a6.exe
  6cea2a10-9595-11ec-919c-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile42.bmp"
  2⤵
  PID:3092
- C:\Users\Admin\AppData\Local\Temp\6cedac80-9595-11ec-91d0-6e24649026a6.exe
  6cedac80-9595-11ec-91d0-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Code Cache\js\index-dir\the-real-index"
  2⤵
  PID:1928
- C:\Users\Admin\AppData\Local\Temp\6ce80730-9595-11ec-917f-6e24649026a6.exe
  6ce80730-9595-11ec-917f-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile20.bmp"
  2⤵
  PID:4292
- C:\Users\Admin\AppData\Local\Temp\6cec25e0-9595-11ec-91bd-6e24649026a6.exe
  6cec25e0-9595-11ec-91bd-6e24649026a6.exe "C:\\ProgramData\Package Cache\{f4220b74-9edd-4ded-bc8b-0342c1e164d8}\VC_redist.x64.exe"
  2⤵
  PID:2996
- C:\Users\Admin\AppData\Local\Temp\6cef5a30-9595-11ec-91e0-6e24649026a6.exe
  6cef5a30-9595-11ec-91e0-6e24649026a6.exe C:\\Users\Admin\Pictures\MeasureUnregister.png
  2⤵
  PID:2760
- C:\Users\Admin\AppData\Local\Temp\6ce39a60-9595-11ec-9153-6e24649026a6.exe
  6ce39a60-9595-11ec-9153-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\7396C420A8E1BC1DA97F1AF0D10BAD21
  2⤵
  PID:1356
- C:\Users\Admin\AppData\Local\Temp\6ce80730-9595-11ec-9187-6e24649026a6.exe
  6ce80730-9595-11ec-9187-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile26.bmp"
  2⤵
  PID:3760
- C:\Users\Admin\AppData\Local\Temp\6cdfa2c0-9595-11ec-9137-6e24649026a6.exe
  6cdfa2c0-9595-11ec-9137-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Temp\dd_vcredistMSI1E30.txt
  2⤵
  PID:4136
- C:\Users\Admin\AppData\Local\Temp\6ce80730-9595-11ec-9180-6e24649026a6.exe
  6ce80730-9595-11ec-9180-6e24649026a6.exe C:\\Users\Admin\AppData\Roaming\Microsoft\Protect\S-1-5-21-2329389628-4064185017-3901522362-1000\a0f702f3-b920-4375-8ea1-f1f995ba9783
  2⤵
  PID:4740
- C:\Users\Admin\AppData\Local\Temp\6ce1ecb0-9595-11ec-9149-6e24649026a6.exe
  6ce1ecb0-9595-11ec-9149-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\60E31627FDA0A46932B0E5948949F2A5
  2⤵
  PID:3772
- C:\Users\Admin\AppData\Local\Temp\6ce6f5c0-9595-11ec-9169-6e24649026a6.exe
  6ce6f5c0-9595-11ec-9169-6e24649026a6.exe C:\\ProgramData\Microsoft\OfficeSoftwareProtectionPlatform\tokens.dat
  2⤵
  PID:2408
- C:\Users\Admin\AppData\Local\Temp\6cedd390-9595-11ec-91d1-6e24649026a6.exe
  6cedd390-9595-11ec-91d1-6e24649026a6.exe C:\\Users\Admin\Music\TraceConvertTo.avi
  2⤵
  PID:3116
- C:\Users\Admin\AppData\Local\Temp\6ce80730-9595-11ec-9188-6e24649026a6.exe
  6ce80730-9595-11ec-9188-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile27.bmp"
  2⤵
  PID:4040
- C:\Users\Admin\AppData\Local\Temp\6ce93fb0-9595-11ec-918c-6e24649026a6.exe
  6ce93fb0-9595-11ec-918c-6e24649026a6.exe C:\\Users\Admin\Contacts\Admin.contact
  2⤵
  PID:3880
- C:\Users\Admin\AppData\Local\Temp\6ce918a0-9595-11ec-918b-6e24649026a6.exe
  6ce918a0-9595-11ec-918b-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile30.bmp"
  2⤵
  PID:4980
- C:\Users\Admin\AppData\Local\Temp\6ce743e0-9595-11ec-916b-6e24649026a6.exe
  6ce743e0-9595-11ec-916b-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\F0ACCF77CDCBFF39F6191887F6D2D357
  2⤵
  PID:4340
- C:\Users\Admin\AppData\Local\Temp\6ce80730-9595-11ec-9184-6e24649026a6.exe
  6ce80730-9595-11ec-9184-6e24649026a6.exe "C:\\Users\Admin\AppData\Roaming\Mozilla\Firefox\Crash Reports\InstallTime20200403170909"
  2⤵
  PID:4360
- C:\Users\Admin\AppData\Local\Temp\6ce966c0-9595-11ec-9191-6e24649026a6.exe
  6ce966c0-9595-11ec-9191-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile34.bmp"
  2⤵
  PID:2744
- C:\Users\Admin\AppData\Local\Temp\6cecc220-9595-11ec-91c2-6e24649026a6.exe
  6cecc220-9595-11ec-91c2-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\data_0"
  2⤵
  PID:4832
- C:\Users\Admin\AppData\Local\Temp\6cea5120-9595-11ec-919f-6e24649026a6.exe
  6cea5120-9595-11ec-919f-6e24649026a6.exe "C:\\Users\Admin\Documents\My Videos"
  2⤵
  PID:5112
- C:\Users\Admin\AppData\Local\Temp\6cea7830-9595-11ec-919f-6e24649026a6.exe
  6cea7830-9595-11ec-919f-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile44.bmp"
  2⤵
  PID:4912
- C:\Users\Admin\AppData\Local\Temp\6cebd7c0-9595-11ec-91ba-6e24649026a6.exe
  6cebd7c0-9595-11ec-91ba-6e24649026a6.exe "C:\\Users\Admin\Favorites\MSN Websites\MSN.url"
  2⤵
  PID:5100
- C:\Users\Admin\AppData\Local\Temp\6ce6a7a0-9595-11ec-9165-6e24649026a6.exe
  6ce6a7a0-9595-11ec-9165-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\7396C420A8E1BC1DA97F1AF0D10BAD21
  2⤵
  PID:5056
- C:\Users\Admin\AppData\Local\Temp\6cec7400-9595-11ec-91c1-6e24649026a6.exe
  6cec7400-9595-11ec-91c1-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Crashpad\metadata"
  2⤵
  PID:2740
- C:\Users\Admin\AppData\Local\Temp\6ceac650-9595-11ec-91aa-6e24649026a6.exe
  6ceac650-9595-11ec-91aa-6e24649026a6.exe "C:\\ProgramData\Package Cache\{37B8F9C7-03FB-3253-8781-2517C99D7C00}v11.0.61030\packages\vcRuntimeAdditional_amd64\vc_runtimeAdditional_x64.msi"
  2⤵
  PID:4044
- C:\Users\Admin\AppData\Local\Temp\6ce79200-9595-11ec-9178-6e24649026a6.exe
  6ce79200-9595-11ec-9178-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile17.bmp"
  2⤵
  PID:3248
- C:\Users\Admin\AppData\Local\Temp\6cea9f40-9595-11ec-91a5-6e24649026a6.exe
  6cea9f40-9595-11ec-91a5-6e24649026a6.exe C:\\Users\Admin\Downloads\CompareRemove.sql
  2⤵
  PID:1784
- C:\Users\Admin\AppData\Local\Temp\6cecc220-9595-11ec-91c4-6e24649026a6.exe
  6cecc220-9595-11ec-91c4-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\data_2"
  2⤵
  PID:5048
- C:\Users\Admin\AppData\Local\Temp\6cc11e40-9595-11ec-90f6-6e24649026a6.exe
  6cc11e40-9595-11ec-90f6-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Session Storage\MANIFEST-000001"
  2⤵
  PID:4452
- C:\Users\Admin\AppData\Local\Temp\6ce743e0-9595-11ec-916d-6e24649026a6.exe
  6ce743e0-9595-11ec-916d-6e24649026a6.exe "C:\\Users\Admin\AppData\LocalLow\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico"
  2⤵
  PID:5036
- C:\Users\Admin\AppData\Local\Temp\6ced5e60-9595-11ec-91cb-6e24649026a6.exe
  6ced5e60-9595-11ec-91cb-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Code Cache\js\index"
  2⤵
  PID:4620
- C:\Users\Admin\AppData\Local\Temp\6ced1040-9595-11ec-91ca-6e24649026a6.exe
  6ced1040-9595-11ec-91ca-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000001"
  2⤵
  PID:4520
- C:\Users\Admin\AppData\Local\Temp\6ce966c0-9595-11ec-918f-6e24649026a6.exe
  6ce966c0-9595-11ec-918f-6e24649026a6.exe C:\\Users\Admin\Desktop\ConnectWrite.gif
  2⤵
  PID:4616
- C:\Users\Admin\AppData\Local\Temp\6cef3320-9595-11ec-91de-6e24649026a6.exe
  6cef3320-9595-11ec-91de-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\GPUCache\data_1"
  2⤵
  PID:3724
- C:\Users\Admin\AppData\Local\Temp\6cef5a30-9595-11ec-91e2-6e24649026a6.exe
  6cef5a30-9595-11ec-91e2-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\GPUCache\data_3"
  2⤵
  PID:4140
- C:\Users\Admin\AppData\Local\Temp\6cee6fd0-9595-11ec-91d3-6e24649026a6.exe
  6cee6fd0-9595-11ec-91d3-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cookies"
  2⤵
  PID:3832
- C:\Users\Admin\AppData\Local\Temp\6cef0c10-9595-11ec-91dc-6e24649026a6.exe
  6cef0c10-9595-11ec-91dc-6e24649026a6.exe C:\\Users\Admin\Pictures\ConfirmCompress.png
  2⤵
  PID:4932
- C:\Users\Admin\AppData\Local\Temp\6cebb0b0-9595-11ec-91b6-6e24649026a6.exe
  6cebb0b0-9595-11ec-91b6-6e24649026a6.exe "C:\\ProgramData\Package Cache\{F7CAC7DF-3524-4C2D-A7DB-E16140A3D5E6}v14.21.27702\packages\vcRuntimeMinimum_amd64\cab1.cab"
  2⤵
  PID:4580
- C:\Users\Admin\AppData\Local\Temp\6cde4330-9595-11ec-9126-6e24649026a6.exe
  6cde4330-9595-11ec-9126-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\setup.chm"
  2⤵
  PID:3748
- C:\Users\Admin\AppData\Local\Temp\6ce9b4e0-9595-11ec-9196-6e24649026a6.exe
  6ce9b4e0-9595-11ec-9196-6e24649026a6.exe C:\\Users\Admin\Documents\EnterFind.html
  2⤵
  PID:4876
- C:\Users\Admin\AppData\Local\Temp\6ced8570-9595-11ec-91cf-6e24649026a6.exe
  6ced8570-9595-11ec-91cf-6e24649026a6.exe C:\\Users\Admin\Music\RegisterSync.contact
  2⤵
  PID:4356
- C:\Users\Admin\AppData\Local\Temp\6ceb1470-9595-11ec-91af-6e24649026a6.exe
  6ceb1470-9595-11ec-91af-6e24649026a6.exe "C:\\ProgramData\Package Cache\{CB0836EC-B072-368D-82B2-D3470BF95707}v12.0.40660\packages\vcRuntimeMinimum_amd64\cab1.cab"
  2⤵
  PID:3580
- C:\Users\Admin\AppData\Local\Temp\6cf2dca0-9595-11ec-9213-6e24649026a6.exe
  6cf2dca0-9595-11ec-9213-6e24649026a6.exe "C:\\Users\Public\Pictures\Sample Pictures\Koala.jpg"
  2⤵
  PID:3732
- C:\Users\Admin\AppData\Local\Temp\6cec4cf0-9595-11ec-91bd-6e24649026a6.exe
  6cec4cf0-9595-11ec-91bd-6e24649026a6.exe "C:\\Users\Admin\Favorites\Microsoft Websites\IE Add-on site.url"
  2⤵
  PID:4632
- C:\Users\Admin\AppData\Local\Temp\6cece930-9595-11ec-91c6-6e24649026a6.exe
  6cece930-9595-11ec-91c6-6e24649026a6.exe "C:\\Users\Admin\Local Settings"
  2⤵
  PID:4672
- C:\Users\Admin\AppData\Local\Temp\6ceebdf0-9595-11ec-91d6-6e24649026a6.exe
  6ceebdf0-9595-11ec-91d6-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extension State\MANIFEST-000001"
  2⤵
  PID:4988
- C:\Users\Admin\AppData\Local\Temp\6cec25e0-9595-11ec-91bc-6e24649026a6.exe
  6cec25e0-9595-11ec-91bc-6e24649026a6.exe "C:\\Users\Admin\Favorites\MSN Websites\MSNBC News.url"
  2⤵
  PID:3404
- C:\Users\Admin\AppData\Local\Temp\6cef8140-9595-11ec-91e4-6e24649026a6.exe
  6cef8140-9595-11ec-91e4-6e24649026a6.exe C:\\Users\Admin\Pictures\Wallpaper.jpg
  2⤵
  PID:4468
- C:\Users\Admin\AppData\Local\Temp\6cefcf60-9595-11ec-91e5-6e24649026a6.exe
  6cefcf60-9595-11ec-91e5-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Google Profile.ico"
  2⤵
  PID:4660
- C:\Users\Admin\AppData\Local\Temp\6ceb6290-9595-11ec-91b3-6e24649026a6.exe
  6ceb6290-9595-11ec-91b3-6e24649026a6.exe "C:\\Users\Admin\Favorites\Links\Web Slice Gallery.url"
  2⤵
  PID:4544
- C:\Users\Admin\AppData\Local\Temp\6cea9f40-9595-11ec-91a4-6e24649026a6.exe
  6cea9f40-9595-11ec-91a4-6e24649026a6.exe "C:\\ProgramData\Package Cache\{12578975-C765-4BDF-8DDC-3284BC0E855F}v14.21.27702\packages\vcRuntimeAdditional_amd64\cab1.cab"
  2⤵
  PID:4548
- C:\Users\Admin\AppData\Local\Temp\6cea0300-9595-11ec-9198-6e24649026a6.exe
  6cea0300-9595-11ec-9198-6e24649026a6.exe C:\\Users\Admin\Documents\Files.docx
  2⤵
  PID:4316
- C:\Users\Admin\AppData\Local\Temp\6ce76af0-9595-11ec-9172-6e24649026a6.exe
  6ce76af0-9595-11ec-9172-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Sun\Java\jdk1.7.0_80_x64\sj170800.cab
  2⤵
  PID:4656
- C:\Users\Admin\AppData\Local\Temp\6ce17780-9595-11ec-9148-6e24649026a6.exe
  6ce17780-9595-11ec-9148-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\4A9377E7E528F7E56B69A81C500ABC24
  2⤵
  PID:5044
- C:\Users\Admin\AppData\Local\Temp\6cf32ac0-9595-11ec-9215-6e24649026a6.exe
  6cf32ac0-9595-11ec-9215-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\GPUCache\data_3"
  2⤵
  PID:3500
- C:\Users\Admin\AppData\Local\Temp\6ce08d20-9595-11ec-913a-6e24649026a6.exe
  6ce08d20-9595-11ec-913a-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Temp\dd_wcf_CA_smci_20211208_144733_045.txt
  2⤵
  PID:4540
- C:\Users\Admin\AppData\Local\Temp\6ceb1470-9595-11ec-91ae-6e24649026a6.exe
  6ceb1470-9595-11ec-91ae-6e24649026a6.exe C:\\Users\Admin\Downloads\RestoreCopy.cfg
  2⤵
  PID:4812
- C:\Users\Admin\AppData\Local\Temp\6cf15600-9595-11ec-91f8-6e24649026a6.exe
  6cf15600-9595-11ec-91f8-6e24649026a6.exe "C:\\Users\Default\Documents\My Pictures"
  2⤵
  PID:4448
- C:\Users\Admin\AppData\Local\Temp\6cf04490-9595-11ec-91ea-6e24649026a6.exe
  6cf04490-9595-11ec-91ea-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Login Data"
  2⤵
  PID:4364
- C:\Users\Admin\AppData\Local\Temp\6cef8140-9595-11ec-91e3-6e24649026a6.exe
  6cef8140-9595-11ec-91e3-6e24649026a6.exe C:\\Users\Admin\Pictures\UnprotectSubmit.jpg
  2⤵
  PID:4076
- C:\Users\Admin\AppData\Local\Temp\6ccd7a50-9595-11ec-90f9-6e24649026a6.exe
  6ccd7a50-9595-11ec-90f9-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\GrShaderCache\GPUCache\index"
  2⤵
  PID:3400
- C:\Users\Admin\AppData\Local\Temp\6cefcf60-9595-11ec-91e7-6e24649026a6.exe
  6cefcf60-9595-11ec-91e7-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\History-journal"
  2⤵
  PID:4748
- C:\Users\Admin\AppData\Local\Temp\6cd40a00-9595-11ec-9105-6e24649026a6.exe
  6cd40a00-9595-11ec-9105-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Proof.fr\Proof.msi"
  2⤵
  PID:4952
- C:\Users\Admin\AppData\Local\Temp\6cf3ee10-9595-11ec-9218-6e24649026a6.exe
  6cf3ee10-9595-11ec-9218-6e24649026a6.exe "C:\\Users\Public\Recorded TV\Sample Media\win7_scenic-demoshort_raw.wtv"
  2⤵
  PID:3956
- C:\Users\Admin\AppData\Local\Temp\6ce5e450-9595-11ec-9161-6e24649026a6.exe
  6ce5e450-9595-11ec-9161-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\4A9377E7E528F7E56B69A81C500ABC24
  2⤵
  PID:4772
- C:\Users\Admin\AppData\Local\Temp\6ce0db40-9595-11ec-9141-6e24649026a6.exe
  6ce0db40-9595-11ec-9141-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\overlay.png"
  2⤵
  PID:5028
- C:\Users\Admin\AppData\Local\Temp\6cf0b9c0-9595-11ec-91f0-6e24649026a6.exe
  6cf0b9c0-9595-11ec-91f0-6e24649026a6.exe C:\\Users\Default\AppData\Local\History
  2⤵
  PID:4996
- C:\Users\Admin\AppData\Local\Temp\6ce436a0-9595-11ec-9157-6e24649026a6.exe
  6ce436a0-9595-11ec-9157-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\scan_settings.ico"
  2⤵
  PID:4852
- C:\Users\Admin\AppData\Local\Temp\6ce17780-9595-11ec-9147-6e24649026a6.exe
  6ce17780-9595-11ec-9147-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\es-ES\resource.xml"
  2⤵
  PID:2504
- C:\Users\Admin\AppData\Local\Temp\6cbc6350-9595-11ec-90f4-6e24649026a6.exe
  6cbc6350-9595-11ec-90f4-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Platform Notifications\MANIFEST-000001"
  2⤵
  PID:5024
- C:\Users\Admin\AppData\Local\Temp\6cd7b380-9595-11ec-910f-6e24649026a6.exe
  6cd7b380-9595-11ec-910f-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-00A1-0409-0000-0000000FF1CE}-C\OneNoteMUI.msi"
  2⤵
  PID:4752
- C:\Users\Admin\AppData\Local\Temp\6cd9fd70-9595-11ec-9116-6e24649026a6.exe
  6cd9fd70-9595-11ec-9116-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\DW20.EXE"
  2⤵
  PID:4724
- C:\Users\Admin\AppData\Local\Temp\6cf1a420-9595-11ec-91ff-6e24649026a6.exe
  6cf1a420-9595-11ec-91ff-6e24649026a6.exe C:\\Users\Default\Recent
  2⤵
  PID:3100
- C:\Users\Admin\AppData\Local\Temp\6cf3c700-9595-11ec-9216-6e24649026a6.exe
  6cf3c700-9595-11ec-9216-6e24649026a6.exe C:\\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ryugmcli.default-release\SiteSecurityServiceState.txt
  2⤵
  PID:3812
- C:\Users\Admin\AppData\Local\Temp\6cf26770-9595-11ec-9209-6e24649026a6.exe
  6cf26770-9595-11ec-9209-6e24649026a6.exe "C:\\Users\Public\Music\Sample Music\Kalimba.mp3"
  2⤵
  PID:3444
- C:\Users\Admin\AppData\Local\Temp\6cf46340-9595-11ec-9218-6e24649026a6.exe
  6cf46340-9595-11ec-9218-6e24649026a6.exe "C:\\Users\Public\Videos\Sample Videos\Wildlife.wmv"
  2⤵
  PID:3596
- C:\Users\Admin\AppData\Local\Temp\6cc8bf60-9595-11ec-90f8-6e24649026a6.exe
  6cc8bf60-9595-11ec-90f8-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Visited Links"
  2⤵
  PID:1988
- C:\Users\Admin\AppData\Local\Temp\6cf48a50-9595-11ec-9218-6e24649026a6.exe
  6cf48a50-9595-11ec-9218-6e24649026a6.exe C:\\vcredist2010_x64.log-MSI_vc_red.msi.txt
  2⤵
  PID:3408
- C:\Users\Admin\AppData\Local\Temp\6ce10250-9595-11ec-9142-6e24649026a6.exe
  6ce10250-9595-11ec-9142-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\3C3948BE6E525B8A8CEE9FAC91C9E392_7A0EF9A6B71F8BD440FF79468695184C
  2⤵
  PID:3700
- C:\Users\Admin\AppData\Local\Temp\6cdd0ab0-9595-11ec-9117-6e24649026a6.exe
  6cdd0ab0-9595-11ec-9117-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\OfficeMUISet.msi"
  2⤵
  PID:2424
- C:\Users\Admin\AppData\Local\Temp\6cd828b0-9595-11ec-9114-6e24649026a6.exe
  6cd828b0-9595-11ec-9114-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-00BA-0409-0000-0000000FF1CE}-C\GrooveLR.cab"
  2⤵
  PID:3536
- C:\Users\Admin\AppData\Local\Temp\6cf2b590-9595-11ec-920d-6e24649026a6.exe
  6cf2b590-9595-11ec-920d-6e24649026a6.exe "C:\\Users\Public\Pictures\Sample Pictures\Chrysanthemum.jpg"
  2⤵
  PID:3920
- C:\Users\Admin\AppData\Local\Temp\6cd5b7b0-9595-11ec-910a-6e24649026a6.exe
  6cd5b7b0-9595-11ec-910a-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Microsoft\Feeds Cache\VU6HH54M\fwlink[1]"
  2⤵
  PID:3668
- C:\Users\Admin\AppData\Local\Temp\6cee96e0-9595-11ec-91d6-6e24649026a6.exe
  6cee96e0-9595-11ec-91d6-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extension State\LOG"
  2⤵
  PID:2384
- C:\Users\Admin\AppData\Local\Temp\6cefcf60-9595-11ec-91e6-6e24649026a6.exe
  6cefcf60-9595-11ec-91e6-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\History"
  2⤵
  PID:2600
- C:\Users\Admin\AppData\Local\Temp\6cbd4db0-9595-11ec-90f6-6e24649026a6.exe
  6cbd4db0-9595-11ec-90f6-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Session Storage\LOCK"
  2⤵
  PID:2736
- C:\Users\Admin\AppData\Local\Temp\6cf28e80-9595-11ec-920b-6e24649026a6.exe
  6cf28e80-9595-11ec-920b-6e24649026a6.exe "C:\\Users\Public\Music\Sample Music\Maid with the Flaxen Hair.mp3"
  2⤵
  PID:2976
- C:\Users\Admin\AppData\Local\Temp\6ce08d20-9595-11ec-913d-6e24649026a6.exe
  6ce08d20-9595-11ec-913d-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Temp\ose00000.exe
  2⤵
  PID:3272
- C:\Users\Admin\AppData\Local\Temp\6cf24060-9595-11ec-9208-6e24649026a6.exe
  6cf24060-9595-11ec-9208-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Site Characteristics Database\LOG"
  2⤵
  PID:4152
- C:\Users\Admin\AppData\Local\Temp\6cbfe5c0-9595-11ec-90f6-6e24649026a6.exe
  6cbfe5c0-9595-11ec-90f6-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\osetup.dll"
  2⤵
  PID:4184
- C:\Users\Admin\AppData\Local\Temp\6cf28e80-9595-11ec-920c-6e24649026a6.exe
  6cf28e80-9595-11ec-920c-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Code Cache\js\index-dir\the-real-index"
  2⤵
  PID:2568
- C:\Users\Admin\AppData\Local\Temp\6ce45db0-9595-11ec-9157-6e24649026a6.exe
  6ce45db0-9595-11ec-9157-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\tasks.xml"
  2⤵
  PID:2560
- C:\Users\Admin\AppData\Local\Temp\6ceebdf0-9595-11ec-91d9-6e24649026a6.exe
  6ceebdf0-9595-11ec-91d9-6e24649026a6.exe C:\\Users\Admin\NTUSER.DAT
  2⤵
  PID:3224
- C:\Users\Admin\AppData\Local\Temp\6cf01d80-9595-11ec-91e8-6e24649026a6.exe
  6cf01d80-9595-11ec-91e8-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\leveldb\LOCK"
  2⤵
  PID:4100
- C:\Users\Admin\AppData\Local\Temp\6cce3da0-9595-11ec-90fa-6e24649026a6.exe
  6cce3da0-9595-11ec-90fa-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Last Version"
  2⤵
  PID:2512
- C:\Users\Admin\AppData\Local\Temp\6ce1c5a0-9595-11ec-9149-6e24649026a6.exe
  6ce1c5a0-9595-11ec-9149-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\ja-JP\resource.xml"
  2⤵
  PID:3680
- C:\Users\Admin\AppData\Local\Temp\6cf1f240-9595-11ec-9200-6e24649026a6.exe
  6cf1f240-9595-11ec-9200-6e24649026a6.exe "C:\\Users\Default\Start Menu"
  2⤵
  PID:2676
- C:\Users\Admin\AppData\Local\Temp\6cca9420-9595-11ec-90f9-6e24649026a6.exe
  6cca9420-9595-11ec-90f9-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0018-0409-0000-0000000FF1CE}-C\Setup.xml"
  2⤵
  PID:3160
- C:\Users\Admin\AppData\Local\Temp\6cefa850-9595-11ec-91e4-6e24649026a6.exe
  6cefa850-9595-11ec-91e4-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\GPUCache\index"
  2⤵
  PID:3372
- C:\Users\Admin\AppData\Local\Temp\6ce9b4e0-9595-11ec-9192-6e24649026a6.exe
  6ce9b4e0-9595-11ec-9192-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile35.bmp"
  2⤵
  PID:760
- C:\Users\Admin\AppData\Local\Temp\6cf26770-9595-11ec-920b-6e24649026a6.exe
  6cf26770-9595-11ec-920b-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Code Cache\js\index"
  2⤵
  PID:4048
- C:\Users\Admin\AppData\Local\Temp\6cc60040-9595-11ec-90f7-6e24649026a6.exe
  6cc60040-9595-11ec-90f7-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001"
  2⤵
  PID:3136
- C:\Users\Admin\AppData\Local\Temp\6ccc68e0-9595-11ec-90f9-6e24649026a6.exe
  6ccc68e0-9595-11ec-90f9-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\GrShaderCache\GPUCache\data_2"
  2⤵
  PID:3212
- C:\Users\Admin\AppData\Local\Temp\6ceff670-9595-11ec-91e8-6e24649026a6.exe
  6ceff670-9595-11ec-91e8-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\leveldb\CURRENT"
  2⤵
  PID:3280
- C:\Users\Admin\AppData\Local\Temp\6ce19e90-9595-11ec-9149-6e24649026a6.exe
  6ce19e90-9595-11ec-9149-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\fr-FR\resource.xml"
  2⤵
  PID:2572
- C:\Users\Admin\AppData\Local\Temp\6cd67b00-9595-11ec-910c-6e24649026a6.exe
  6cd67b00-9595-11ec-910c-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Microsoft\Internet Explorer\IECompatData\iecompatdata.xml"
  2⤵
  PID:3024
- C:\Users\Admin\AppData\Local\Temp\6cf1a420-9595-11ec-9200-6e24649026a6.exe
  6cf1a420-9595-11ec-9200-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Session Storage\LOG"
  2⤵
  PID:2644
- C:\Users\Admin\AppData\Local\Temp\6cefa850-9595-11ec-91e5-6e24649026a6.exe
  6cefa850-9595-11ec-91e5-6e24649026a6.exe C:\\Users\Admin\Pictures\WatchExport.jpg
  2⤵
  PID:4148
- C:\Users\Admin\AppData\Local\Temp\6cd62ce0-9595-11ec-910a-6e24649026a6.exe
  6cd62ce0-9595-11ec-910a-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Setup.xml"
  2⤵
  PID:3792
- C:\Users\Admin\AppData\Local\Temp\6cc84a30-9595-11ec-90f8-6e24649026a6.exe
  6cc84a30-9595-11ec-90f8-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0018-0409-0000-0000000FF1CE}-C\PowerPointMUI.msi"
  2⤵
  PID:2548
- C:\Users\Admin\AppData\Local\Temp\6cf15600-9595-11ec-91fa-6e24649026a6.exe
  6cf15600-9595-11ec-91fa-6e24649026a6.exe "C:\\Users\Default\Local Settings"
  2⤵
  PID:4224
- C:\Users\Admin\AppData\Local\Temp\6ce4d2e0-9595-11ec-915e-6e24649026a6.exe
  6ce4d2e0-9595-11ec-915e-6e24649026a6.exe C:\\ProgramData\Microsoft\Network\Downloader\qmgr1.dat
  2⤵
  PID:3676
- C:\Users\Admin\AppData\Local\Temp\6cc22fb0-9595-11ec-90f6-6e24649026a6.exe
  6cc22fb0-9595-11ec-90f6-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK"
  2⤵
  PID:3124
- C:\Users\Admin\AppData\Local\Temp\6ccb0950-9595-11ec-90f9-6e24649026a6.exe
  6ccb0950-9595-11ec-90f9-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\GrShaderCache\GPUCache\data_0"
  2⤵
  PID:3424
- C:\Users\Admin\AppData\Local\Temp\6cdc4760-9595-11ec-9117-6e24649026a6.exe
  6cdc4760-9595-11ec-9117-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\OfficeMUI.xml"
  2⤵
  PID:3448
- C:\Users\Admin\AppData\Local\Temp\6ce484c0-9595-11ec-915a-6e24649026a6.exe
  6ce484c0-9595-11ec-915a-6e24649026a6.exe C:\\ProgramData\Microsoft\IdentityCRL\ppcrlui.dll
  2⤵
  PID:3520
- C:\Users\Admin\AppData\Local\Temp\6cf12ef0-9595-11ec-91f5-6e24649026a6.exe
  6cf12ef0-9595-11ec-91f5-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences"
  2⤵
  PID:3004
- C:\Users\Admin\AppData\Local\Temp\6cccde10-9595-11ec-90f9-6e24649026a6.exe
  6cccde10-9595-11ec-90f9-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0019-0409-0000-0000000FF1CE}-C\PublisherMUI.xml"
  2⤵
  PID:3188
- C:\Users\Admin\AppData\Local\Temp\6cc1e190-9595-11ec-90f6-6e24649026a6.exe
  6cc1e190-9595-11ec-90f6-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT"
  2⤵
  PID:4020
- C:\Users\Admin\AppData\Local\Temp\6cd9af50-9595-11ec-9116-6e24649026a6.exe
  6cd9af50-9595-11ec-9116-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\GPUCache\index"
  2⤵
  PID:3360
- C:\Users\Admin\AppData\Local\Temp\6cf1a420-9595-11ec-91fd-6e24649026a6.exe
  6cf1a420-9595-11ec-91fd-6e24649026a6.exe C:\\Users\Default\PrintHood
  2⤵
  PID:4208
- C:\Users\Admin\AppData\Local\Temp\6cece930-9595-11ec-91c7-6e24649026a6.exe
  6cece930-9595-11ec-91c7-6e24649026a6.exe C:\\Users\Admin\Music\ConvertReceive.pptx
  2⤵
  PID:4196
- C:\Users\Admin\AppData\Local\Temp\6cf0e0d0-9595-11ec-91f4-6e24649026a6.exe
  6cf0e0d0-9595-11ec-91f4-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Reporting and NEL"
  2⤵
  PID:4128
- C:\Users\Admin\AppData\Local\Temp\6cf092b0-9595-11ec-91ee-6e24649026a6.exe
  6cf092b0-9595-11ec-91ee-6e24649026a6.exe C:\\Users\Admin\Templates
  2⤵
  PID:276
- C:\Users\Admin\AppData\Local\Temp\6cf107e0-9595-11ec-91f5-6e24649026a6.exe
  6cf107e0-9595-11ec-91f5-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Reporting and NEL-journal"
  2⤵
  PID:3728
- C:\Users\Admin\AppData\Local\Temp\6cc05af0-9595-11ec-90f6-6e24649026a6.exe
  6cc05af0-9595-11ec-90f6-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Session Storage\LOG"
  2⤵
  PID:3196
- C:\Users\Admin\AppData\Local\Temp\6ce08d20-9595-11ec-913b-6e24649026a6.exe
  6ce08d20-9595-11ec-913b-6e24649026a6.exe C:\\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\6d14e4b1d8ca773bab785d1be032546e_3bd845b8-ce6a-4337-9974-31490196462a
  2⤵
  PID:952
- C:\Users\Admin\AppData\Local\Temp\6ce08d20-9595-11ec-913c-6e24649026a6.exe
  6ce08d20-9595-11ec-913c-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Temp\jawshtml.html
  2⤵
  PID:2712
- C:\Users\Admin\AppData\Local\Temp\6cf1a420-9595-11ec-91fe-6e24649026a6.exe
  6cf1a420-9595-11ec-91fe-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Session Storage\LOCK"
  2⤵
  PID:2872
- C:\Users\Admin\AppData\Local\Temp\6cf1f240-9595-11ec-9203-6e24649026a6.exe
  6cf1f240-9595-11ec-9203-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Sessions\Tabs_13283449312169600"
  2⤵
  PID:2940
- C:\Users\Admin\AppData\Local\Temp\6ccd2c30-9595-11ec-90f9-6e24649026a6.exe
  6ccd2c30-9595-11ec-90f9-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\GrShaderCache\GPUCache\data_3"
  2⤵
  PID:1668
- C:\Users\Admin\AppData\Local\Temp\6cf15600-9595-11ec-91fb-6e24649026a6.exe
  6cf15600-9595-11ec-91fb-6e24649026a6.exe "C:\\Users\Default\My Documents"
  2⤵
  PID:4080
- C:\Users\Admin\AppData\Local\Temp\6ceb89a0-9595-11ec-91b3-6e24649026a6.exe
  6ceb89a0-9595-11ec-91b3-6e24649026a6.exe "C:\\Users\Admin\Favorites\Links for United States\GobiernoUSA.gov.url"
  2⤵
  PID:272
- C:\Users\Admin\AppData\Local\Temp\6ccf00f0-9595-11ec-90fc-6e24649026a6.exe
  6ccf00f0-9595-11ec-90fc-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\ShaderCache\GPUCache\data_0"
  2⤵
  PID:1576
- C:\Users\Admin\AppData\Local\Temp\6cceb2d0-9595-11ec-90fa-6e24649026a6.exe
  6cceb2d0-9595-11ec-90fa-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Local State"
  2⤵
  PID:3000
- C:\Users\Admin\AppData\Local\Temp\6cf21950-9595-11ec-9205-6e24649026a6.exe
  6cf21950-9595-11ec-9205-6e24649026a6.exe C:\\Users\Default\Templates
  2⤵
  PID:3088
- C:\Users\Admin\AppData\Local\Temp\6cf21950-9595-11ec-9208-6e24649026a6.exe
  6cf21950-9595-11ec-9208-6e24649026a6.exe "C:\\Users\Public\Documents\My Pictures"
  2⤵
  PID:3820
- C:\Users\Admin\AppData\Local\Temp\6cf12ef0-9595-11ec-91f7-6e24649026a6.exe
  6cf12ef0-9595-11ec-91f7-6e24649026a6.exe C:\\Users\Default\Cookies
  2⤵
  PID:2756
- C:\Users\Admin\AppData\Local\Temp\6cbc3c40-9595-11ec-90f3-6e24649026a6.exe
  6cbc3c40-9595-11ec-90f3-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Platform Notifications\LOG"
  2⤵
  PID:3252
- C:\Users\Admin\AppData\Local\Temp\6cf092b0-9595-11ec-91ed-6e24649026a6.exe
  6cf092b0-9595-11ec-91ed-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Media History"
  2⤵
  PID:3628
- C:\Users\Admin\AppData\Local\Temp\6cc9d0d0-9595-11ec-90f8-6e24649026a6.exe
  6cc9d0d0-9595-11ec-90f8-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Web Data"
  2⤵
  PID:4116
- C:\Users\Admin\AppData\Local\Temp\6cc9f7e0-9595-11ec-90f8-6e24649026a6.exe
  6cc9f7e0-9595-11ec-90f8-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Web Data-journal"
  2⤵
  PID:4200
- C:\Users\Admin\AppData\Local\Temp\6cf01d80-9595-11ec-91e9-6e24649026a6.exe
  6cf01d80-9595-11ec-91e9-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\leveldb\LOG"
  2⤵
  PID:812
- C:\Users\Admin\AppData\Local\Temp\6ce4abd0-9595-11ec-915c-6e24649026a6.exe
  6ce4abd0-9595-11ec-915c-6e24649026a6.exe C:\\ProgramData\Microsoft\Network\Downloader\qmgr0.dat
  2⤵
  PID:4500
- C:\Users\Admin\AppData\Local\Temp\6cf1f240-9595-11ec-9205-6e24649026a6.exe
  6cf1f240-9595-11ec-9205-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Site Characteristics Database\LOCK"
  2⤵
  PID:3880
- C:\Users\Admin\AppData\Local\Temp\6cca4600-9595-11ec-90f9-6e24649026a6.exe
  6cca4600-9595-11ec-90f9-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\First Run"
  2⤵
  PID:3560
- C:\Users\Admin\AppData\Local\Temp\6ccb5770-9595-11ec-90f9-6e24649026a6.exe
  6ccb5770-9595-11ec-90f9-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0019-0409-0000-0000000FF1CE}-C\PubLR.cab"
  2⤵
  PID:1356
- C:\Users\Admin\AppData\Local\Temp\6cd54280-9595-11ec-9108-6e24649026a6.exe
  6cd54280-9595-11ec-9108-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Microsoft\Feeds Cache\DSVD0N50\fwlink[1]"
  2⤵
  PID:3208
- C:\Users\Admin\AppData\Local\Temp\6cf17d10-9595-11ec-91fd-6e24649026a6.exe
  6cf17d10-9595-11ec-91fd-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Session Storage\CURRENT"
  2⤵
  PID:4844
- C:\Users\Admin\AppData\Local\Temp\6cd346b0-9595-11ec-9101-6e24649026a6.exe
  6cd346b0-9595-11ec-9101-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\ShaderCache\GPUCache\data_3"
  2⤵
  PID:4840
- C:\Users\Admin\AppData\Local\Temp\6cc6c390-9595-11ec-90f8-6e24649026a6.exe
  6cc6c390-9595-11ec-90f8-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Top Sites-journal"
  2⤵
  PID:4456
- C:\Users\Admin\AppData\Local\Temp\6cf2b590-9595-11ec-920e-6e24649026a6.exe
  6cf2b590-9595-11ec-920e-6e24649026a6.exe "C:\\Users\Public\Pictures\Sample Pictures\Desert.jpg"
  2⤵
  PID:4460
- C:\Users\Admin\AppData\Local\Temp\6cd67b00-9595-11ec-910b-6e24649026a6.exe
  6cd67b00-9595-11ec-910b-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0044-0409-0000-0000000FF1CE}-C\InfLR.cab"
  2⤵
  PID:4960
- C:\Users\Admin\AppData\Local\Temp\6cf04490-9595-11ec-91e9-6e24649026a6.exe
  6cf04490-9595-11ec-91e9-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\leveldb\MANIFEST-000001"
  2⤵
  PID:4928
- C:\Users\Admin\AppData\Local\Temp\6ccf4f10-9595-11ec-90fc-6e24649026a6.exe
  6ccf4f10-9595-11ec-90fc-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-001A-0409-0000-0000000FF1CE}-C\Setup.xml"
  2⤵
  PID:5008
- C:\Users\Admin\AppData\Local\Temp\6ceff670-9595-11ec-91e7-6e24649026a6.exe
  6ceff670-9595-11ec-91e7-6e24649026a6.exe C:\\Users\Admin\PrintHood
  2⤵
  PID:2408
- C:\Users\Admin\AppData\Local\Temp\6ce0db40-9595-11ec-9140-6e24649026a6.exe
  6ce0db40-9595-11ec-9140-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\1E11E75149C17A93653DA7DC0B8CF53F_8F360D4ACE5D7CEC2FF3EF4F09601250
  2⤵
  PID:4872
- C:\Users\Admin\AppData\Local\Temp\6cc38f40-9595-11ec-90f6-6e24649026a6.exe
  6cc38f40-9595-11ec-90f6-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG"
  2⤵
  PID:3068
- C:\Users\Admin\AppData\Local\Temp\6ce10250-9595-11ec-9143-6e24649026a6.exe
  6ce10250-9595-11ec-9143-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\3C3948BE6E525B8A8CEE9FAC91C9E392_F70553637B9F26717122C4DAFA3ADB11
  2⤵
  PID:4396
- C:\Users\Admin\AppData\Local\Temp\6ceaed60-9595-11ec-91ad-6e24649026a6.exe
  6ceaed60-9595-11ec-91ad-6e24649026a6.exe C:\\Users\Admin\Downloads\MeasureInitialize.xps
  2⤵
  PID:4628
- C:\Users\Admin\AppData\Local\Temp\6cece930-9595-11ec-91c4-6e24649026a6.exe
  6cece930-9595-11ec-91c4-6e24649026a6.exe "C:\\Users\Admin\Favorites\Microsoft Websites\Microsoft At Work.url"
  2⤵
  PID:5048
- C:\Users\Admin\AppData\Local\Temp\6cf2dca0-9595-11ec-9210-6e24649026a6.exe
  6cf2dca0-9595-11ec-9210-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\GPUCache\data_0"
  2⤵
  PID:2576
- C:\Users\Admin\AppData\Local\Temp\6ce12960-9595-11ec-9145-6e24649026a6.exe
  6ce12960-9595-11ec-9145-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Device\{8702d817-5aad-4674-9ef3-4d3decd87120}\behavior.xml"
  2⤵
  PID:3484
- C:\Users\Admin\AppData\Local\Temp\6cf2b590-9595-11ec-920f-6e24649026a6.exe
  6cf2b590-9595-11ec-920f-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Code Cache\wasm\index"
  2⤵
  PID:4900
- C:\Users\Admin\AppData\Local\Temp\6ce6ceb0-9595-11ec-9167-6e24649026a6.exe
  6ce6ceb0-9595-11ec-9167-6e24649026a6.exe C:\\ProgramData\Microsoft\OFFICE\SharePointTeamSite.ico
  2⤵
  PID:4860
- C:\Users\Admin\AppData\Local\Temp\6ce39a60-9595-11ec-9155-6e24649026a6.exe
  6ce39a60-9595-11ec-9155-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\print_queue.ico"
  2⤵
  PID:5004
- C:\Users\Admin\AppData\Local\Temp\6ceee500-9595-11ec-91da-6e24649026a6.exe
  6ceee500-9595-11ec-91da-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Favicons-journal"
  2⤵
  PID:4896
- C:\Users\Admin\AppData\Local\Temp\6cf3ee10-9595-11ec-9217-6e24649026a6.exe
  6cf3ee10-9595-11ec-9217-6e24649026a6.exe "C:\\Users\Public\Pictures\Sample Pictures\Tulips.jpg"
  2⤵
  PID:3944
- C:\Users\Admin\AppData\Local\Temp\6cdf54a0-9595-11ec-9131-6e24649026a6.exe
  6cdf54a0-9595-11ec-9131-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0117-0409-0000-0000000FF1CE}-C\Access.en-us\branding.xml"
  2⤵
  PID:5052
- C:\Users\Admin\AppData\Local\Temp\6ce261e0-9595-11ec-9149-6e24649026a6.exe
  6ce261e0-9595-11ec-9149-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\resource.xml"
  2⤵
  PID:3168
- C:\Users\Admin\AppData\Local\Temp\6cebd7c0-9595-11ec-91b8-6e24649026a6.exe
  6cebd7c0-9595-11ec-91b8-6e24649026a6.exe "C:\\Users\Admin\Favorites\MSN Websites\MSN Money.url"
  2⤵
  PID:4464
- C:\Users\Admin\AppData\Local\Temp\6cf0b9c0-9595-11ec-91ee-6e24649026a6.exe
  6cf0b9c0-9595-11ec-91ee-6e24649026a6.exe "C:\\Users\All Users"
  2⤵
  PID:5060
- C:\Users\Admin\AppData\Local\Temp\6cf24060-9595-11ec-9209-6e24649026a6.exe
  6cf24060-9595-11ec-9209-6e24649026a6.exe "C:\\Users\Public\Documents\My Videos"
  2⤵
  PID:4884
- C:\Users\Admin\AppData\Local\Temp\6cc7d500-9595-11ec-90f8-6e24649026a6.exe
  6cc7d500-9595-11ec-90f8-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\TransportSecurity"
  2⤵
  PID:2928
- C:\Users\Admin\AppData\Local\Temp\6cf1cb30-9595-11ec-9200-6e24649026a6.exe
  6cf1cb30-9595-11ec-9200-6e24649026a6.exe C:\\Users\Default\SendTo
  2⤵
  PID:4828
- C:\Users\Admin\AppData\Local\Temp\6cdf2d90-9595-11ec-912e-6e24649026a6.exe
  6cdf2d90-9595-11ec-912e-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Temp\Admin.bmp
  2⤵
  PID:4248
- C:\Users\Admin\AppData\Local\Temp\6ccc41d0-9595-11ec-90f9-6e24649026a6.exe
  6ccc41d0-9595-11ec-90f9-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0019-0409-0000-0000000FF1CE}-C\PublisherMUI.msi"
  2⤵
  PID:4536
- C:\Users\Admin\AppData\Local\Temp\6ce8f190-9595-11ec-9189-6e24649026a6.exe
  6ce8f190-9595-11ec-9189-6e24649026a6.exe C:\\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ryugmcli.default-release\pkcs11.txt
  2⤵
  PID:5088
- C:\Users\Admin\AppData\Local\Temp\6cf06ba0-9595-11ec-91ed-6e24649026a6.exe
  6cf06ba0-9595-11ec-91ed-6e24649026a6.exe "C:\\Users\Admin\Start Menu"
  2⤵
  PID:4268
- C:\Users\Admin\AppData\Local\Temp\6cebfed0-9595-11ec-91ba-6e24649026a6.exe
  6cebfed0-9595-11ec-91ba-6e24649026a6.exe "C:\\ProgramData\Package Cache\{F7CAC7DF-3524-4C2D-A7DB-E16140A3D5E6}v14.21.27702\packages\vcRuntimeMinimum_amd64\vc_runtimeMinimum_x64.msi"
  2⤵
  PID:4692
- C:\Users\Admin\AppData\Local\Temp\6cdeb860-9595-11ec-912d-6e24649026a6.exe
  6cdeb860-9595-11ec-912d-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0116-0409-1000-0000000FF1CE}-C\Setup.xml"
  2⤵
  PID:2888
- C:\Users\Admin\AppData\Local\Temp\6ce0b430-9595-11ec-9140-6e24649026a6.exe
  6ce0b430-9595-11ec-9140-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\device.png"
  2⤵
  PID:4108
- C:\Users\Admin\AppData\Local\Temp\6cdeb860-9595-11ec-912c-6e24649026a6.exe
  6cdeb860-9595-11ec-912c-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0116-0409-1000-0000000FF1CE}-C\Office64MUISet.xml"
  2⤵
  PID:4660
- C:\Users\Admin\AppData\Local\Temp\6ce4d2e0-9595-11ec-915d-6e24649026a6.exe
  6ce4d2e0-9595-11ec-915d-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\F90F18257CBB4D84216AC1E1F3BB2C76
  2⤵
  PID:4316
- C:\Users\Admin\AppData\Local\Temp\6cd96130-9595-11ec-9115-6e24649026a6.exe
  6cd96130-9595-11ec-9115-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\ryugmcli.default-release\cache2\ce_T151c2VyQ29udGV4dElkPTUs
  2⤵
  PID:5044
- C:\Users\Admin\AppData\Local\Temp\6cf2dca0-9595-11ec-9214-6e24649026a6.exe
  6cf2dca0-9595-11ec-9214-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\GPUCache\data_1"
  2⤵
  PID:3352
- C:\Users\Admin\AppData\Local\Temp\6ce32530-9595-11ec-9150-6e24649026a6.exe
  6ce32530-9595-11ec-9150-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\fr-FR\resource.xml"
  2⤵
  PID:3500
- C:\Users\Admin\AppData\Local\Temp\6ce56f20-9595-11ec-9161-6e24649026a6.exe
  6ce56f20-9595-11ec-9161-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\3C3948BE6E525B8A8CEE9FAC91C9E392_F70553637B9F26717122C4DAFA3ADB11
  2⤵
  PID:3440
- C:\Users\Admin\AppData\Local\Temp\6ce98dd0-9595-11ec-9191-6e24649026a6.exe
  6ce98dd0-9595-11ec-9191-6e24649026a6.exe C:\\Users\Admin\Desktop\MeasureEdit.wma
  2⤵
  PID:5028
- C:\Users\Admin\AppData\Local\Temp\6ce484c0-9595-11ec-9157-6e24649026a6.exe
  6ce484c0-9595-11ec-9157-6e24649026a6.exe C:\\ProgramData\Microsoft\IdentityCRL\ppcrlconfig.dll
  2⤵
  PID:4700
- C:\Users\Admin\AppData\Local\Temp\6cedd390-9595-11ec-91d0-6e24649026a6.exe
  6cedd390-9595-11ec-91d0-6e24649026a6.exe C:\\Users\Admin\Music\SendImport.dll
  2⤵
  PID:1940
- C:\Users\Admin\AppData\Local\Temp\6ce80730-9595-11ec-917e-6e24649026a6.exe
  6ce80730-9595-11ec-917e-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile19.bmp"
  2⤵
  PID:5032
- C:\Users\Admin\AppData\Local\Temp\6ce79200-9595-11ec-9177-6e24649026a6.exe
  6ce79200-9595-11ec-9177-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile16.bmp"
  2⤵
  PID:3884
- C:\Users\Admin\AppData\Local\Temp\6ce15070-9595-11ec-9145-6e24649026a6.exe
  6ce15070-9595-11ec-9145-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Device\{8702d817-5aad-4674-9ef3-4d3decd87120}\watermark.png"
  2⤵
  PID:4384
- C:\Users\Admin\AppData\Local\Temp\6cf15600-9595-11ec-91f9-6e24649026a6.exe
  6cf15600-9595-11ec-91f9-6e24649026a6.exe "C:\\Users\Default\Documents\My Videos"
  2⤵
  PID:3972
- C:\Users\Admin\AppData\Local\Temp\6cebd7c0-9595-11ec-91b7-6e24649026a6.exe
  6cebd7c0-9595-11ec-91b7-6e24649026a6.exe "C:\\Users\Admin\Favorites\MSN Websites\MSN Entertainment.url"
  2⤵
  PID:4056
- C:\Users\Admin\AppData\Local\Temp\6ce17780-9595-11ec-9146-6e24649026a6.exe
  6ce17780-9595-11ec-9146-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\en-US\resource.xml"
  2⤵
  PID:4836
- C:\Users\Admin\AppData\Local\Temp\6ce17780-9595-11ec-9145-6e24649026a6.exe
  6ce17780-9595-11ec-9145-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\de-DE\resource.xml"
  2⤵
  PID:4560
- C:\Users\Admin\AppData\Local\Temp\6cedd390-9595-11ec-91d2-6e24649026a6.exe
  6cedd390-9595-11ec-91d2-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Code Cache\wasm\index"
  2⤵
  PID:3916
- C:\Users\Admin\AppData\Local\Temp\6ce19e90-9595-11ec-9148-6e24649026a6.exe
  6ce19e90-9595-11ec-9148-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\folder.ico"
  2⤵
  PID:2480
- C:\Users\Admin\AppData\Local\Temp\6cea2a10-9595-11ec-919d-6e24649026a6.exe
  6cea2a10-9595-11ec-919d-6e24649026a6.exe "C:\\Users\Admin\Documents\My Music"
  2⤵
  PID:2800
- C:\Users\Admin\AppData\Local\Temp\6ceb1470-9595-11ec-91ad-6e24649026a6.exe
  6ceb1470-9595-11ec-91ad-6e24649026a6.exe C:\\Users\Admin\Downloads\RenameBlock.ico
  2⤵
  PID:3948
- C:\Users\Admin\AppData\Local\Temp\6cea7830-9595-11ec-91a1-6e24649026a6.exe
  6cea7830-9595-11ec-91a1-6e24649026a6.exe C:\\Users\Admin\Documents\Recently.docx
  2⤵
  PID:4648
- C:\Users\Admin\AppData\Local\Temp\6ce60b60-9595-11ec-9161-6e24649026a6.exe
  6ce60b60-9595-11ec-9161-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\60E31627FDA0A46932B0E5948949F2A5
  2⤵
  PID:4304
- C:\Users\Admin\AppData\Local\Temp\6cdeb860-9595-11ec-9127-6e24649026a6.exe
  6cdeb860-9595-11ec-9127-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-0116-0409-1000-0000000FF1CE}-C\OWOW64LR.cab"
  2⤵
  PID:3860
- C:\Users\Admin\AppData\Local\Temp\6cef5a30-9595-11ec-91e3-6e24649026a6.exe
  6cef5a30-9595-11ec-91e3-6e24649026a6.exe C:\\Users\Admin\Pictures\UnblockWait.png
  2⤵
  PID:752
- C:\Users\Admin\AppData\Local\Temp\6cef0c10-9595-11ec-91dd-6e24649026a6.exe
  6cef0c10-9595-11ec-91dd-6e24649026a6.exe C:\\Users\Admin\Pictures\DebugInitialize.gif
  2⤵
  PID:2532
- C:\Users\Admin\AppData\Local\Temp\6cea0300-9595-11ec-919a-6e24649026a6.exe
  6cea0300-9595-11ec-919a-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile39.bmp"
  2⤵
  PID:3504
- C:\Users\Admin\AppData\Local\Temp\6cec4cf0-9595-11ec-91bf-6e24649026a6.exe
  6cec4cf0-9595-11ec-91bf-6e24649026a6.exe C:\\ProgramData\Templates
  2⤵
  PID:3456
- C:\Users\Admin\AppData\Local\Temp\6cf0e0d0-9595-11ec-91f1-6e24649026a6.exe
  6cf0e0d0-9595-11ec-91f1-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Network Persistent State"
  2⤵
  PID:2832
- C:\Users\Admin\AppData\Local\Temp\6cf0e0d0-9595-11ec-91f2-6e24649026a6.exe
  6cf0e0d0-9595-11ec-91f2-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Platform Notifications\MANIFEST-000001"
  2⤵
  PID:1988
- C:\Users\Admin\AppData\Local\Temp\6ce7e020-9595-11ec-917c-6e24649026a6.exe
  6ce7e020-9595-11ec-917c-6e24649026a6.exe C:\\Users\Admin\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2329389628-4064185017-3901522362-1000\0f5007522459c86e95ffcc62f32308f1_3bd845b8-ce6a-4337-9974-31490196462a
  2⤵
  PID:2588
- C:\Users\Admin\AppData\Local\Temp\6ce2fe20-9595-11ec-914d-6e24649026a6.exe
  6ce2fe20-9595-11ec-914d-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\de-DE\resource.xml"
  2⤵
  PID:3912
- C:\Users\Admin\AppData\Local\Temp\6ce484c0-9595-11ec-9158-6e24649026a6.exe
  6ce484c0-9595-11ec-9158-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\7B2238AACCEDC3F1FFE8E7EB5F575EC9
  2⤵
  PID:4728
- C:\Users\Admin\AppData\Local\Temp\6cea0300-9595-11ec-919b-6e24649026a6.exe
  6cea0300-9595-11ec-919b-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile40.bmp"
  2⤵
  PID:2620
- C:\Users\Admin\AppData\Local\Temp\6ce80730-9595-11ec-9185-6e24649026a6.exe
  6ce80730-9595-11ec-9185-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile24.bmp"
  2⤵
  PID:3460
- C:\Users\Admin\AppData\Local\Temp\6ce6a7a0-9595-11ec-9164-6e24649026a6.exe
  6ce6a7a0-9595-11ec-9164-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\6BADA8974A10C4BD62CC921D13E43B18_711ED44619924BA6DC33E69F97E7FF63
  2⤵
  PID:968
- C:\Users\Admin\AppData\Local\Temp\6ce0b430-9595-11ec-913f-6e24649026a6.exe
  6ce0b430-9595-11ec-913f-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\behavior.xml"
  2⤵
  PID:2648
- C:\Users\Admin\AppData\Local\Temp\6ce743e0-9595-11ec-916e-6e24649026a6.exe
  6ce743e0-9595-11ec-916e-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Admin.dat"
  2⤵
  PID:4092
- C:\Users\Admin\AppData\Local\Temp\6ce9b4e0-9595-11ec-9193-6e24649026a6.exe
  6ce9b4e0-9595-11ec-9193-6e24649026a6.exe C:\\Users\Admin\Desktop\UpdateSubmit.rtf
  2⤵
  PID:4440
- C:\Users\Admin\AppData\Local\Temp\6ce743e0-9595-11ec-9170-6e24649026a6.exe
  6ce743e0-9595-11ec-9170-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile11.bmp"
  2⤵
  PID:4232
- C:\Users\Admin\AppData\Local\Temp\6ce32530-9595-11ec-914f-6e24649026a6.exe
  6ce32530-9595-11ec-914f-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\folder.ico"
  2⤵
  PID:3988
- C:\Users\Admin\AppData\Local\Temp\6ce288f0-9595-11ec-914b-6e24649026a6.exe
  6ce288f0-9595-11ec-914b-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\696F3DE637E6DE85B458996D49D759AD
  2⤵
  PID:3840
- C:\Users\Admin\AppData\Local\Temp\6ce743e0-9595-11ec-916f-6e24649026a6.exe
  6ce743e0-9595-11ec-916f-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile10.bmp"
  2⤵
  PID:4100
- C:\Users\Admin\AppData\Local\Temp\6cecc220-9595-11ec-91c1-6e24649026a6.exe
  6cecc220-9595-11ec-91c1-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Crashpad\settings.dat"
  2⤵
  PID:3600
- C:\Users\Admin\AppData\Local\Temp\6ce79200-9595-11ec-9174-6e24649026a6.exe
  6ce79200-9595-11ec-9174-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Sun\Java\jdk1.7.0_80_x64\ss170800.cab
  2⤵
  PID:4064
- C:\Users\Admin\AppData\Local\Temp\6ce4abd0-9595-11ec-915a-6e24649026a6.exe
  6ce4abd0-9595-11ec-915a-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\C0018BB1B5834735BFA60CD063B31956
  2⤵
  PID:3716
- C:\Users\Admin\AppData\Local\Temp\6ce743e0-9595-11ec-916c-6e24649026a6.exe
  6ce743e0-9595-11ec-916c-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\F90F18257CBB4D84216AC1E1F3BB2C76
  2⤵
  PID:1500
- C:\Users\Admin\AppData\Local\Temp\6cf21950-9595-11ec-9206-6e24649026a6.exe
  6cf21950-9595-11ec-9206-6e24649026a6.exe "C:\\Users\Default User"
  2⤵
  PID:3796
- C:\Users\Admin\AppData\Local\Temp\6ce76af0-9595-11ec-9173-6e24649026a6.exe
  6ce76af0-9595-11ec-9173-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile13.bmp"
  2⤵
  PID:3836
- C:\Users\Admin\AppData\Local\Temp\6ce54810-9595-11ec-915e-6e24649026a6.exe
  6ce54810-9595-11ec-915e-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\1E11E75149C17A93653DA7DC0B8CF53F_8F360D4ACE5D7CEC2FF3EF4F09601250
  2⤵
  PID:1720
- C:\Users\Admin\AppData\Local\Temp\6ce10250-9595-11ec-9141-6e24649026a6.exe
  6ce10250-9595-11ec-9141-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\37C951188967C8EB88D99893D9D191FE
  2⤵
  PID:3468
- C:\Users\Admin\AppData\Local\Temp\6cd08790-9595-11ec-90ff-6e24649026a6.exe
  6cd08790-9595-11ec-90ff-6e24649026a6.exe "C:\\MSOCache\All Users\{90140000-001B-0409-0000-0000000FF1CE}-C\WordMUI.xml"
  2⤵
  PID:4752
- C:\Users\Admin\AppData\Local\Temp\6ce79200-9595-11ec-9176-6e24649026a6.exe
  6ce79200-9595-11ec-9176-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile15.bmp"
  2⤵
  PID:4068
- C:\Users\Admin\AppData\Local\Temp\6ceac650-9595-11ec-91a7-6e24649026a6.exe
  6ceac650-9595-11ec-91a7-6e24649026a6.exe "C:\\ProgramData\Package Cache\{12578975-C765-4BDF-8DDC-3284BC0E855F}v14.21.27702\packages\vcRuntimeAdditional_amd64\vc_runtimeAdditional_x64.msi"
  2⤵
  PID:3852
- C:\Users\Admin\AppData\Local\Temp\6ce4d2e0-9595-11ec-915c-6e24649026a6.exe
  6ce4d2e0-9595-11ec-915c-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\F0ACCF77CDCBFF39F6191887F6D2D357
  2⤵
  PID:3756
- C:\Users\Admin\AppData\Local\Temp\6ce743e0-9595-11ec-916a-6e24649026a6.exe
  6ce743e0-9595-11ec-916a-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\E0F5C59F9FA661F6F4C50B87FEF3A15A
  2⤵
  PID:3292
- C:\Users\Admin\AppData\Local\Temp\6cdff0e0-9595-11ec-9138-6e24649026a6.exe
  6cdff0e0-9595-11ec-9138-6e24649026a6.exe C:\\Users\Admin\AppData\Local\Temp\dd_vcredistUI1E30.txt
  2⤵
  PID:3736
- C:\Users\Admin\AppData\Local\Temp\6ce7e020-9595-11ec-917b-6e24649026a6.exe
  6ce7e020-9595-11ec-917b-6e24649026a6.exe C:\\Users\Admin\AppData\Roaming\InvokeSplit.gif
  2⤵
  PID:2552
- C:\Users\Admin\AppData\Local\Temp\6ce39a60-9595-11ec-9154-6e24649026a6.exe
  6ce39a60-9595-11ec-9154-6e24649026a6.exe "C:\\ProgramData\Microsoft\Device Stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\print_property.ico"
  2⤵
  PID:3792
- C:\Users\Admin\AppData\Local\Temp\6ce76af0-9595-11ec-9171-6e24649026a6.exe
  6ce76af0-9595-11ec-9171-6e24649026a6.exe C:\\Users\Admin\AppData\LocalLow\Sun\Java\jdk1.7.0_80_x64\jdk1.7.0_80.msi
  2⤵
  PID:3008
- C:\Users\Admin\AppData\Local\Temp\6ced8570-9595-11ec-91cb-6e24649026a6.exe
  6ced8570-9595-11ec-91cb-6e24649026a6.exe C:\\Users\Admin\Music\InstallRegister.gif
  2⤵
  PID:2916
- C:\Users\Admin\AppData\Local\Temp\6ce966c0-9595-11ec-918e-6e24649026a6.exe
  6ce966c0-9595-11ec-918e-6e24649026a6.exe C:\\Users\Admin\Cookies
  2⤵
  PID:3108
- C:\Users\Admin\AppData\Local\Temp\6ce80730-9595-11ec-9182-6e24649026a6.exe
  6ce80730-9595-11ec-9182-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile22.bmp"
  2⤵
  PID:3968
- C:\Users\Admin\AppData\Local\Temp\6ce9b4e0-9595-11ec-9195-6e24649026a6.exe
  6ce9b4e0-9595-11ec-9195-6e24649026a6.exe C:\\Users\Admin\Documents\Are.docx
  2⤵
  PID:3936
- C:\Users\Admin\AppData\Local\Temp\6cdf54a0-9595-11ec-9132-6e24649026a6.exe
  6cdf54a0-9595-11ec-9132-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Temp\Microsoft .NET Framework 4.7.2 Setup_20211208_144704667-MSI_netfx_Full_x64.msi.txt"
  2⤵
  PID:3520
- C:\Users\Admin\AppData\Local\Temp\6ce03f00-9595-11ec-9139-6e24649026a6.exe
  6ce03f00-9595-11ec-9139-6e24649026a6.exe C:\\ProgramData\Documents
  2⤵
  PID:3536
- C:\Users\Admin\AppData\Local\Temp\6ceebdf0-9595-11ec-91d8-6e24649026a6.exe
  6ceebdf0-9595-11ec-91d8-6e24649026a6.exe "C:\\Users\Admin\My Documents"
  2⤵
  PID:3184
- C:\Users\Admin\AppData\Local\Temp\6ce7e020-9595-11ec-917d-6e24649026a6.exe
  6ce7e020-9595-11ec-917d-6e24649026a6.exe C:\\Users\Admin\AppData\Roaming\Microsoft\Protect\CREDHIST
  2⤵
  PID:888
- C:\Users\Admin\AppData\Local\Temp\6ce80730-9595-11ec-9186-6e24649026a6.exe
  6ce80730-9595-11ec-9186-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile25.bmp"
  2⤵
  PID:3204
- C:\Users\Admin\AppData\Local\Temp\6ceb6290-9595-11ec-91b0-6e24649026a6.exe
  6ceb6290-9595-11ec-91b0-6e24649026a6.exe C:\\Users\Admin\Downloads\SelectUpdate.pdf
  2⤵
  PID:2844
- C:\Users\Admin\AppData\Local\Temp\6cf12ef0-9595-11ec-91f8-6e24649026a6.exe
  6cf12ef0-9595-11ec-91f8-6e24649026a6.exe "C:\\Users\Default\Documents\My Music"
  2⤵
  PID:3900
- C:\Users\Admin\AppData\Local\Temp\6ced8570-9595-11ec-91cd-6e24649026a6.exe
  6ced8570-9595-11ec-91cd-6e24649026a6.exe C:\\Users\Admin\Music\MoveStop.txt
  2⤵
  PID:4212
- C:\Users\Admin\AppData\Local\Temp\6cf21950-9595-11ec-9207-6e24649026a6.exe
  6cf21950-9595-11ec-9207-6e24649026a6.exe "C:\\Users\Public\Documents\My Music"
  2⤵
  PID:276
- C:\Users\Admin\AppData\Local\Temp\6cec4cf0-9595-11ec-91be-6e24649026a6.exe
  6cec4cf0-9595-11ec-91be-6e24649026a6.exe "C:\\ProgramData\Start Menu"
  2⤵
  PID:4180
- C:\Users\Admin\AppData\Local\Temp\6cebb0b0-9595-11ec-91b5-6e24649026a6.exe
  6cebb0b0-9595-11ec-91b5-6e24649026a6.exe "C:\\ProgramData\Package Cache\{CF2BEA3C-26EA-32F8-AA9B-331F7E34BA97}v11.0.61030\packages\vcRuntimeMinimum_amd64\vc_runtimeMinimum_x64.msi"
  2⤵
  PID:3712
- C:\Users\Admin\AppData\Local\Temp\6cea9f40-9595-11ec-91a3-6e24649026a6.exe
  6cea9f40-9595-11ec-91a3-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\user.bmp"
  2⤵
  PID:2948
- C:\Users\Admin\AppData\Local\Temp\6cecc220-9595-11ec-91c3-6e24649026a6.exe
  6cecc220-9595-11ec-91c3-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\data_1"
  2⤵
  PID:3112
- C:\Users\Admin\AppData\Local\Temp\6cf2dca0-9595-11ec-920f-6e24649026a6.exe
  6cf2dca0-9595-11ec-920f-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def\Code Cache\wasm\index-dir\the-real-index"
  2⤵
  PID:3984
- C:\Users\Admin\AppData\Local\Temp\6cf0e0d0-9595-11ec-91f3-6e24649026a6.exe
  6cf0e0d0-9595-11ec-91f3-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences"
  2⤵
  PID:2684
- C:\Users\Admin\AppData\Local\Temp\6cebd7c0-9595-11ec-91b6-6e24649026a6.exe
  6cebd7c0-9595-11ec-91b6-6e24649026a6.exe "C:\\Users\Admin\Favorites\MSN Websites\MSN Autos.url"
  2⤵
  PID:2428
- C:\Users\Admin\AppData\Local\Temp\6ce9b4e0-9595-11ec-9194-6e24649026a6.exe
  6ce9b4e0-9595-11ec-9194-6e24649026a6.exe C:\\Users\Admin\Desktop\WaitShow.mp3
  2⤵
  PID:2500
- C:\Users\Admin\AppData\Local\Temp\6ce966c0-9595-11ec-9190-6e24649026a6.exe
  6ce966c0-9595-11ec-9190-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile33.bmp"
  2⤵
  PID:4292
- C:\Users\Admin\AppData\Local\Temp\6cf12ef0-9595-11ec-91f6-6e24649026a6.exe
  6cf12ef0-9595-11ec-91f6-6e24649026a6.exe "C:\\Users\Default\Application Data"
  2⤵
  PID:2628
- C:\Users\Admin\AppData\Local\Temp\6ceebdf0-9595-11ec-91d7-6e24649026a6.exe
  6ceebdf0-9595-11ec-91d7-6e24649026a6.exe C:\\Users\Admin\Music\WatchRemove.doc
  2⤵
  PID:3412
- C:\Users\Admin\AppData\Local\Temp\6cebd7c0-9595-11ec-91b9-6e24649026a6.exe
  6cebd7c0-9595-11ec-91b9-6e24649026a6.exe "C:\\Users\Admin\Favorites\MSN Websites\MSN Sports.url"
  2⤵
  PID:2768
- C:\Users\Admin\AppData\Local\Temp\6cf17d10-9595-11ec-91fb-6e24649026a6.exe
  6cf17d10-9595-11ec-91fb-6e24649026a6.exe C:\\Users\Default\NTUSER.DAT
  2⤵
  PID:3380
- C:\Users\Admin\AppData\Local\Temp\6cf1f240-9595-11ec-9201-6e24649026a6.exe
  6cf1f240-9595-11ec-9201-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Session Storage\MANIFEST-000001"
  2⤵
  PID:3804
- C:\Users\Admin\AppData\Local\Temp\6cf1f240-9595-11ec-9204-6e24649026a6.exe
  6cf1f240-9595-11ec-9204-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Site Characteristics Database\CURRENT"
  2⤵
  PID:2392
- C:\Users\Admin\AppData\Local\Temp\6ce9dbf0-9595-11ec-9197-6e24649026a6.exe
  6ce9dbf0-9595-11ec-9197-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile37.bmp"
  2⤵
  PID:2564
- C:\Users\Admin\AppData\Local\Temp\6cf2dca0-9595-11ec-9211-6e24649026a6.exe
  6cf2dca0-9595-11ec-9211-6e24649026a6.exe "C:\\Users\Public\Pictures\Sample Pictures\Hydrangeas.jpg"
  2⤵
  PID:3820
- C:\Users\Admin\AppData\Local\Temp\6cef5a30-9595-11ec-91e1-6e24649026a6.exe
  6cef5a30-9595-11ec-91e1-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\GPUCache\data_2"
  2⤵
  PID:3364
- C:\Users\Admin\AppData\Local\Temp\6cef0c10-9595-11ec-91db-6e24649026a6.exe
  6cef0c10-9595-11ec-91db-6e24649026a6.exe C:\\Users\Admin\NetHood
  2⤵
  PID:3552
- C:\Users\Admin\AppData\Local\Temp\6cf0b9c0-9595-11ec-91ef-6e24649026a6.exe
  6cf0b9c0-9595-11ec-91ef-6e24649026a6.exe "C:\\Users\Default\AppData\Local\Application Data"
  2⤵
  PID:4168
- C:\Users\Admin\AppData\Local\Temp\6ceac650-9595-11ec-91a8-6e24649026a6.exe
  6ceac650-9595-11ec-91a8-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Platform Notifications\LOCK"
  2⤵
  PID:4040
- C:\Users\Admin\AppData\Local\Temp\6cf2b590-9595-11ec-920c-6e24649026a6.exe
  6cf2b590-9595-11ec-920c-6e24649026a6.exe "C:\\Users\Public\Music\Sample Music\Sleep Away.mp3"
  2⤵
  PID:3992
- C:\Users\Admin\AppData\Local\Temp\6cee96e0-9595-11ec-91d5-6e24649026a6.exe
  6cee96e0-9595-11ec-91d5-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extension State\LOCK"
  2⤵
  PID:3768
- C:\Users\Admin\AppData\Local\Temp\6cea7830-9595-11ec-91a0-6e24649026a6.exe
  6cea7830-9595-11ec-91a0-6e24649026a6.exe C:\\Users\Admin\Documents\Opened.docx
  2⤵
  PID:4084
- C:\Users\Admin\AppData\Local\Temp\6ceb6290-9595-11ec-91b1-6e24649026a6.exe
  6ceb6290-9595-11ec-91b1-6e24649026a6.exe C:\\Users\Admin\Downloads\StepGet.pptx
  2⤵
  PID:3880
- C:\Users\Admin\AppData\Local\Temp\6cea2a10-9595-11ec-919b-6e24649026a6.exe
  6cea2a10-9595-11ec-919b-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\Default Pictures\usertile41.bmp"
  2⤵
  PID:4676
- C:\Users\Admin\AppData\Local\Temp\6cf1f240-9595-11ec-9202-6e24649026a6.exe
  6cf1f240-9595-11ec-9202-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Sessions\Session_13283449309754600"
  2⤵
  PID:4360
- C:\Users\Admin\AppData\Local\Temp\6cf06ba0-9595-11ec-91ec-6e24649026a6.exe
  6cf06ba0-9595-11ec-91ec-6e24649026a6.exe C:\\Users\Admin\SendTo
  2⤵
  PID:4340
- C:\Users\Admin\AppData\Local\Temp\6ced1040-9595-11ec-91c9-6e24649026a6.exe
  6ced1040-9595-11ec-91c9-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\data_3"
  2⤵
  PID:4956
- C:\Users\Admin\AppData\Local\Temp\6cf2dca0-9595-11ec-9212-6e24649026a6.exe
  6cf2dca0-9595-11ec-9212-6e24649026a6.exe "C:\\Users\Public\Pictures\Sample Pictures\Jellyfish.jpg"
  2⤵
  PID:4880
- C:\Users\Admin\AppData\Local\Temp\6ced3750-9595-11ec-91cb-6e24649026a6.exe
  6ced3750-9595-11ec-91cb-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\index"
  2⤵
  PID:4636
- C:\Users\Admin\AppData\Local\Temp\6ceaed60-9595-11ec-91ab-6e24649026a6.exe
  6ceaed60-9595-11ec-91ab-6e24649026a6.exe "C:\\ProgramData\Package Cache\{5740BD44-B58D-321A-AFC0-6D3D4556DD6C}v12.0.40660\packages\vcRuntimeAdditional_amd64\cab1.cab"
  2⤵
  PID:4336
- C:\Users\Admin\AppData\Local\Temp\6cef5a30-9595-11ec-91df-6e24649026a6.exe
  6cef5a30-9595-11ec-91df-6e24649026a6.exe C:\\Users\Admin\Pictures\FormatDisable.gif
  2⤵
  PID:3128
- C:\Users\Admin\AppData\Local\Temp\6cea9f40-9595-11ec-91a2-6e24649026a6.exe
  6cea9f40-9595-11ec-91a2-6e24649026a6.exe "C:\\ProgramData\Microsoft\User Account Pictures\guest.bmp"
  2⤵
  PID:5108
- C:\Users\Admin\AppData\Local\Temp\6ceac650-9595-11ec-91a9-6e24649026a6.exe
  6ceac650-9595-11ec-91a9-6e24649026a6.exe "C:\\ProgramData\Package Cache\{37B8F9C7-03FB-3253-8781-2517C99D7C00}v11.0.61030\packages\vcRuntimeAdditional_amd64\cab1.cab"
  2⤵
  PID:5076
- C:\Users\Admin\AppData\Local\Temp\6cf0e0d0-9595-11ec-91f0-6e24649026a6.exe
  6cf0e0d0-9595-11ec-91f0-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Media History-journal"
  2⤵
  PID:4024
- C:\Users\Admin\AppData\Local\Temp\6cece930-9595-11ec-91c5-6e24649026a6.exe
  6cece930-9595-11ec-91c5-6e24649026a6.exe "C:\\Users\Admin\Favorites\Microsoft Websites\Microsoft Store.url"
  2⤵
  PID:4764
- C:\Users\Admin\AppData\Local\Temp\6cf26770-9595-11ec-920a-6e24649026a6.exe
  6cf26770-9595-11ec-920a-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Site Characteristics Database\MANIFEST-000001"
  2⤵
  PID:3484
- C:\Users\Admin\AppData\Local\Temp\6cee96e0-9595-11ec-91d4-6e24649026a6.exe
  6cee96e0-9595-11ec-91d4-6e24649026a6.exe "C:\\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extension State\CURRENT"
  2⤵
  PID:4568
- C:\Users\Admin\AppData\Local\Temp\6ced8570-9595-11ec-91ce-6e24649026a6.exe
  6ced8570-9595-11ec-91ce-6e24649026a6.exe C:\\Users\Admin\Music\PushMount.wmv
  2⤵
  PID:4480
- C:\Users\Admin\AppData\Local\Temp\6ceb6290-9595-11ec-91b2-6e24649026a6.exe
  6ceb6290-9595-11ec-91b2-6e24649026a6.exe "C:\\Users\Admin\Favorites\Links\Suggested Sites.url"
  2⤵
  PID:4620
- C:\Windows\system32\timeout.exe
  timeout /t 30 && C:\Windows\system32\cmd.exe /C del C:\Users\Admin\AppData\Local\Temp\C:\Users\Admin\AppData\Local\Temp\43564aa0-94f8-11ec-9d1d-005056a01a83.exe
  2⤵
  - Delays execution with timeout.exe
  PID:4800

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Credentials in Files

T1081

Discovery

Lateral Movement

Collection

Data from Local System

T1005

Command and Control

Exfiltration

Impact

Windows 7 deprecation

Loading Replay Monitor...