agenttesla | f9dfdea138af9cd1731b42e069985ed90919b5ba8e3becb68664fbf68e383395

General

Target

ORDER-PO-S.L 45675675.exe
Size

375KB
MD5

9f7f22f38c5f38233348579e446f2f99
SHA1

2ab49df0b27c6f944b4f098ac17c06ba1fdac8b0
SHA256

d07fd36c0c3bf16999c54f79b46e7647b7abbfa40aa410b1440e5261ef697a3a
SHA512

f759a02674c30bef9b2dd81975dfc9516460b3c9c1f4397f1c9ec5a8344a430f496034926973dec5de1fd2fa27b3408db9a1e9d5fe349af654ef0ec5847c5606

Score

10^/10

agenttesla keylogger spyware stealer trojan

Malware Config

Extracted

Family

agenttesla

Credentials

Protocol: smtp
Host:
us2.smtp.mailhostbox.com
Port:
587
Username:
[email protected]
Password:
anyanwu3116

Signatures

AgentTesla
Agent Tesla is a remote access tool (RAT) written in visual basic.
keylogger trojan stealer spyware agenttesla

AgentTesla Payload 1 IoCs

Processes:

resource	yara_rule
behavioral2/memory/4068-133-0x0000000000400000-0x0000000000452000-memory.dmp	family_agenttesla

Checks computer location settings 2 TTPs 64 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

Processes:

cmd.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeRegAsm.exeRegAsm.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeRegAsm.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.execmd.exeORDER-PO-S.L 45675675.execmd.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.execmd.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.execmd.execmd.exeRegAsm.execmd.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exe

description	ioc	process
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	cmd.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	RegAsm.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	RegAsm.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	RegAsm.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	RegAsm.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	RegAsm.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	RegAsm.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	cmd.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	cmd.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	cmd.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	cmd.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	cmd.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	RegAsm.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	cmd.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3751123196-3323558407-1869646069-1000\Control Panel\International\Geo\Nation	ORDER-PO-S.L 45675675.exe

Suspicious use of SetThreadContext 64 IoCs

Processes:

ORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exechoice.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exechoice.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeConhost.exeRegAsm.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exechoice.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exechoice.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeConhost.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.execmd.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exechoice.exechoice.exeORDER-PO-S.L 45675675.execmd.exe

description	pid	process	target process
PID 1780 set thread context of 4068	1780	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1940 set thread context of 3968	1940	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4456 set thread context of 4516	4456	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4996 set thread context of 4964	4996	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4368 set thread context of 2732	4368	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 996 set thread context of 364	996	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4344 set thread context of 560	4344	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4188 set thread context of 2544	4188	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 3576 set thread context of 1204	3576	choice.exe	RegAsm.exe
PID 1756 set thread context of 3756	1756	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1776 set thread context of 3120	1776	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 2696 set thread context of 4968	2696	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4140 set thread context of 2804	4140	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 228 set thread context of 4828	228	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 3920 set thread context of 3636	3920	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 2396 set thread context of 2376	2396	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4868 set thread context of 4036	4868	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4864 set thread context of 4400	4864	choice.exe	RegAsm.exe
PID 1048 set thread context of 4012	1048	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 1456 set thread context of 1980	1456	RegAsm.exe	Conhost.exe
PID 600 set thread context of 3496	600	ORDER-PO-S.L 45675675.exe	choice.exe
PID 1688 set thread context of 432	1688	ORDER-PO-S.L 45675675.exe	WaaSMedicAgent.exe
PID 1092 set thread context of 3936	1092	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 5040 set thread context of 2592	5040	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1380 set thread context of 4232	1380	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 2096 set thread context of 4100	2096	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 2184 set thread context of 4560	2184	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1668 set thread context of 1900	1668	Conhost.exe	ORDER-PO-S.L 45675675.exe
PID 812 set thread context of 316	812	RegAsm.exe	RegAsm.exe
PID 4576 set thread context of 556	4576	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4028 set thread context of 5068	4028	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 3004 set thread context of 908	3004	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4372 set thread context of 4924	4372	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4868 set thread context of 2428	4868	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 3472 set thread context of 824	3472	choice.exe	RegAsm.exe
PID 1900 set thread context of 1904	1900	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 3816 set thread context of 1068	3816	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 456 set thread context of 2072	456	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 5076 set thread context of 4908	5076	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 2608 set thread context of 3640	2608	ORDER-PO-S.L 45675675.exe	Conhost.exe
PID 1792 set thread context of 1448	1792	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1924 set thread context of 3132	1924	choice.exe	RegAsm.exe
PID 2396 set thread context of 3568	2396	ORDER-PO-S.L 45675675.exe	Conhost.exe
PID 400 set thread context of 3716	400	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 1636 set thread context of 2736	1636	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4800 set thread context of 2932	4800	ORDER-PO-S.L 45675675.exe	Conhost.exe
PID 4352 set thread context of 220	4352	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 2492 set thread context of 2440	2492	Conhost.exe	RegAsm.exe
PID 5028 set thread context of 4852	5028	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4392 set thread context of 4648	4392	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1048 set thread context of 1816	1048	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 2752 set thread context of 4596	2752	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 3636 set thread context of 5040	3636	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1608 set thread context of 2596	1608	cmd.exe	RegAsm.exe
PID 2000 set thread context of 1776	2000	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 4480 set thread context of 3008	4480	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 4916 set thread context of 4332	4916	ORDER-PO-S.L 45675675.exe	choice.exe
PID 1904 set thread context of 3408	1904	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4636 set thread context of 1752	4636	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 3036 set thread context of 2740	3036	ORDER-PO-S.L 45675675.exe	Conhost.exe
PID 4372 set thread context of 2072	4372	choice.exe	RegAsm.exe
PID 3632 set thread context of 2228	3632	choice.exe	RegAsm.exe
PID 320 set thread context of 3920	320	ORDER-PO-S.L 45675675.exe	choice.exe
PID 3936 set thread context of 4648	3936	cmd.exe	RegAsm.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

Processes:

RegAsm.exeORDER-PO-S.L 45675675.exe

pid	process
4068	RegAsm.exe
1780	ORDER-PO-S.L 45675675.exe
4068	RegAsm.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe

Suspicious behavior: MapViewOfSection 64 IoCs

Processes:

ORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exechoice.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exechoice.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeConhost.exeRegAsm.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exechoice.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exechoice.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exe

pid	process
1780	ORDER-PO-S.L 45675675.exe
1780	ORDER-PO-S.L 45675675.exe
1940	ORDER-PO-S.L 45675675.exe
4456	ORDER-PO-S.L 45675675.exe
4456	ORDER-PO-S.L 45675675.exe
4996	ORDER-PO-S.L 45675675.exe
4996	ORDER-PO-S.L 45675675.exe
4368	ORDER-PO-S.L 45675675.exe
4368	ORDER-PO-S.L 45675675.exe
996	ORDER-PO-S.L 45675675.exe
4344	ORDER-PO-S.L 45675675.exe
4188	ORDER-PO-S.L 45675675.exe
3576	choice.exe
3576	choice.exe
1756	ORDER-PO-S.L 45675675.exe
1776	ORDER-PO-S.L 45675675.exe
2696	ORDER-PO-S.L 45675675.exe
4140	ORDER-PO-S.L 45675675.exe
228	ORDER-PO-S.L 45675675.exe
3920	ORDER-PO-S.L 45675675.exe
2396	ORDER-PO-S.L 45675675.exe
2396	ORDER-PO-S.L 45675675.exe
2396	ORDER-PO-S.L 45675675.exe
4868	ORDER-PO-S.L 45675675.exe
4864	choice.exe
1048	ORDER-PO-S.L 45675675.exe
1048	ORDER-PO-S.L 45675675.exe
1456	RegAsm.exe
600	ORDER-PO-S.L 45675675.exe
1688	ORDER-PO-S.L 45675675.exe
1092	ORDER-PO-S.L 45675675.exe
5040	ORDER-PO-S.L 45675675.exe
5040	ORDER-PO-S.L 45675675.exe
1380	ORDER-PO-S.L 45675675.exe
2096	ORDER-PO-S.L 45675675.exe
2096	ORDER-PO-S.L 45675675.exe
2096	ORDER-PO-S.L 45675675.exe
2184	ORDER-PO-S.L 45675675.exe
2184	ORDER-PO-S.L 45675675.exe
1668	Conhost.exe
812	RegAsm.exe
4576	ORDER-PO-S.L 45675675.exe
4576	ORDER-PO-S.L 45675675.exe
4028	ORDER-PO-S.L 45675675.exe
4028	ORDER-PO-S.L 45675675.exe
4028	ORDER-PO-S.L 45675675.exe
4028	ORDER-PO-S.L 45675675.exe
3004	ORDER-PO-S.L 45675675.exe
4372	ORDER-PO-S.L 45675675.exe
4868	ORDER-PO-S.L 45675675.exe
3472	choice.exe
1900	ORDER-PO-S.L 45675675.exe
3816	ORDER-PO-S.L 45675675.exe
456	ORDER-PO-S.L 45675675.exe
5076	ORDER-PO-S.L 45675675.exe
2608	ORDER-PO-S.L 45675675.exe
2608	ORDER-PO-S.L 45675675.exe
1792	ORDER-PO-S.L 45675675.exe
1924	choice.exe
2396	ORDER-PO-S.L 45675675.exe
400	ORDER-PO-S.L 45675675.exe
1636	ORDER-PO-S.L 45675675.exe
1636	ORDER-PO-S.L 45675675.exe
4800	ORDER-PO-S.L 45675675.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

Processes:

RegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.execmd.exechoice.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.execmd.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exechoice.exeRegAsm.exeORDER-PO-S.L 45675675.execmd.exeRegAsm.exeConhost.exeORDER-PO-S.L 45675675.exechoice.exeWaaSMedicAgent.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeORDER-PO-S.L 45675675.exeRegAsm.exeRegAsm.exeORDER-PO-S.L 45675675.exeConhost.exeORDER-PO-S.L 45675675.exeRegAsm.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeORDER-PO-S.L 45675675.exeRegAsm.exeRegAsm.exe

description	pid	process
Token: SeDebugPrivilege	4068	RegAsm.exe
Token: SeDebugPrivilege	1780	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	3968	RegAsm.exe
Token: SeDebugPrivilege	1940	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	4456	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	4516	RegAsm.exe
Token: SeDebugPrivilege	4996	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	4964	RegAsm.exe
Token: SeDebugPrivilege	4368	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	2732	RegAsm.exe
Token: SeDebugPrivilege	996	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	364	RegAsm.exe
Token: SeDebugPrivilege	4344	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	560	RegAsm.exe
Token: SeDebugPrivilege	4188	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	2544	cmd.exe
Token: SeDebugPrivilege	3576	choice.exe
Token: SeDebugPrivilege	1204	RegAsm.exe
Token: SeDebugPrivilege	1756	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	3756	RegAsm.exe
Token: SeDebugPrivilege	1776	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	3120	RegAsm.exe
Token: SeDebugPrivilege	2696	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	4968	RegAsm.exe
Token: SeDebugPrivilege	4140	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	2804	cmd.exe
Token: SeDebugPrivilege	228	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	4828	RegAsm.exe
Token: SeDebugPrivilege	3920	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	3636	RegAsm.exe
Token: SeDebugPrivilege	2396	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	2376	RegAsm.exe
Token: SeDebugPrivilege	4868	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	4036	RegAsm.exe
Token: SeDebugPrivilege	4864	choice.exe
Token: SeDebugPrivilege	4400	RegAsm.exe
Token: SeDebugPrivilege	1048	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	4012	cmd.exe
Token: SeDebugPrivilege	1456	RegAsm.exe
Token: SeDebugPrivilege	1980	Conhost.exe
Token: SeDebugPrivilege	600	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	3496	choice.exe
Token: SeDebugPrivilege	432	WaaSMedicAgent.exe
Token: SeDebugPrivilege	1688	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	1092	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	3936	RegAsm.exe
Token: SeDebugPrivilege	5040	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	2592	RegAsm.exe
Token: SeDebugPrivilege	1380	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	2096	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	4100	RegAsm.exe
Token: SeDebugPrivilege	4560	RegAsm.exe
Token: SeDebugPrivilege	2184	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	1668	Conhost.exe
Token: SeDebugPrivilege	1900	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	812	RegAsm.exe
Token: SeDebugPrivilege	316	RegAsm.exe
Token: SeDebugPrivilege	4576	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	556	RegAsm.exe
Token: SeDebugPrivilege	4028	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	5068	RegAsm.exe
Token: SeDebugPrivilege	3004	ORDER-PO-S.L 45675675.exe
Token: SeDebugPrivilege	908	RegAsm.exe
Token: SeDebugPrivilege	4924	RegAsm.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

ORDER-PO-S.L 45675675.execmd.exeORDER-PO-S.L 45675675.execmd.exeORDER-PO-S.L 45675675.execmd.exeORDER-PO-S.L 45675675.execmd.exeORDER-PO-S.L 45675675.exe

description	pid	process	target process
PID 1780 wrote to memory of 2260	1780	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1780 wrote to memory of 2260	1780	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1780 wrote to memory of 2260	1780	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1780 wrote to memory of 4068	1780	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1780 wrote to memory of 4068	1780	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1780 wrote to memory of 4068	1780	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1780 wrote to memory of 4068	1780	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1780 wrote to memory of 3388	1780	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 1780 wrote to memory of 3388	1780	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 1780 wrote to memory of 3388	1780	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 3388 wrote to memory of 4284	3388	cmd.exe	choice.exe
PID 3388 wrote to memory of 4284	3388	cmd.exe	choice.exe
PID 3388 wrote to memory of 4284	3388	cmd.exe	choice.exe
PID 1780 wrote to memory of 1940	1780	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 1780 wrote to memory of 1940	1780	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 1780 wrote to memory of 1940	1780	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 1940 wrote to memory of 3968	1940	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1940 wrote to memory of 3968	1940	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1940 wrote to memory of 3968	1940	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1940 wrote to memory of 3968	1940	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 1940 wrote to memory of 2220	1940	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 1940 wrote to memory of 2220	1940	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 1940 wrote to memory of 2220	1940	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 2220 wrote to memory of 4844	2220	cmd.exe	choice.exe
PID 2220 wrote to memory of 4844	2220	cmd.exe	choice.exe
PID 2220 wrote to memory of 4844	2220	cmd.exe	choice.exe
PID 1940 wrote to memory of 4456	1940	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 1940 wrote to memory of 4456	1940	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 1940 wrote to memory of 4456	1940	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 4456 wrote to memory of 4436	4456	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4456 wrote to memory of 4436	4456	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4456 wrote to memory of 4436	4456	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4456 wrote to memory of 4516	4456	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4456 wrote to memory of 4516	4456	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4456 wrote to memory of 4516	4456	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4456 wrote to memory of 4516	4456	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4456 wrote to memory of 4924	4456	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 4456 wrote to memory of 4924	4456	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 4456 wrote to memory of 4924	4456	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 4924 wrote to memory of 4960	4924	cmd.exe	choice.exe
PID 4924 wrote to memory of 4960	4924	cmd.exe	choice.exe
PID 4924 wrote to memory of 4960	4924	cmd.exe	choice.exe
PID 4456 wrote to memory of 4996	4456	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 4456 wrote to memory of 4996	4456	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 4456 wrote to memory of 4996	4456	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 4996 wrote to memory of 440	4996	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4996 wrote to memory of 440	4996	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4996 wrote to memory of 440	4996	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4996 wrote to memory of 4964	4996	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4996 wrote to memory of 4964	4996	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4996 wrote to memory of 4964	4996	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4996 wrote to memory of 4964	4996	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4996 wrote to memory of 484	4996	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 4996 wrote to memory of 484	4996	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 4996 wrote to memory of 484	4996	ORDER-PO-S.L 45675675.exe	cmd.exe
PID 484 wrote to memory of 2932	484	cmd.exe	choice.exe
PID 484 wrote to memory of 2932	484	cmd.exe	choice.exe
PID 484 wrote to memory of 2932	484	cmd.exe	choice.exe
PID 4996 wrote to memory of 4368	4996	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 4996 wrote to memory of 4368	4996	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 4996 wrote to memory of 4368	4996	ORDER-PO-S.L 45675675.exe	ORDER-PO-S.L 45675675.exe
PID 4368 wrote to memory of 228	4368	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4368 wrote to memory of 228	4368	ORDER-PO-S.L 45675675.exe	RegAsm.exe
PID 4368 wrote to memory of 228	4368	ORDER-PO-S.L 45675675.exe	RegAsm.exe

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
1⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1780

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
2⤵
PID:2260

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
2⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:4068

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
2⤵
- Suspicious use of WriteProcessMemory
PID:3388

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
3⤵
PID:4284

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
2⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1940

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
3⤵
- Suspicious use of AdjustPrivilegeToken
PID:3968

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
3⤵
- Suspicious use of WriteProcessMemory
PID:2220

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
4⤵
PID:4844

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
3⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:4456

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
4⤵
PID:4436

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
4⤵
- Suspicious use of AdjustPrivilegeToken
PID:4516

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
4⤵
- Suspicious use of WriteProcessMemory
PID:4924

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
5⤵
PID:4960

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
4⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:4996

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
5⤵
PID:440

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
5⤵
- Suspicious use of AdjustPrivilegeToken
PID:4964

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
5⤵
- Suspicious use of WriteProcessMemory
PID:484

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
6⤵
PID:2932

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
5⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:4368

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
6⤵
PID:228

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
6⤵
- Suspicious use of AdjustPrivilegeToken
PID:2732

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
6⤵
PID:4008

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
7⤵
PID:1904

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
6⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:996

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
7⤵
- Suspicious use of AdjustPrivilegeToken
PID:364

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
7⤵
PID:4812

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
8⤵
PID:5028

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
7⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:4344

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
8⤵
- Suspicious use of AdjustPrivilegeToken
PID:560

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
8⤵
PID:540

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
9⤵
PID:3872

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
8⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:4188

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
9⤵
PID:2544

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
9⤵
PID:1092

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
10⤵
PID:400

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
9⤵
PID:3576

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
10⤵
PID:4876

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
10⤵
- Suspicious use of AdjustPrivilegeToken
PID:1204

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
10⤵
PID:2592

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
11⤵
PID:1068

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
10⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:1756

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
11⤵
- Suspicious use of AdjustPrivilegeToken
PID:3756

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
11⤵
PID:4240

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
12⤵
PID:1808

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
11⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:1776

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
12⤵
- Suspicious use of AdjustPrivilegeToken
PID:3120

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
12⤵
PID:4468

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
13⤵
PID:4432

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
12⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:2696

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
13⤵
- Suspicious use of AdjustPrivilegeToken
PID:4968

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
13⤵
PID:4724

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
14⤵
PID:2668

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
13⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:4140

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
14⤵
PID:2804

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
14⤵
PID:3616

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
15⤵
PID:1324

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
14⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:228

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
15⤵
- Suspicious use of AdjustPrivilegeToken
PID:4828

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
15⤵
PID:4912

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
16⤵
PID:3204

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
15⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:3920

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
16⤵
- Suspicious use of AdjustPrivilegeToken
PID:3636

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
16⤵
PID:5036

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
17⤵
PID:4764

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
16⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:2396

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
17⤵
PID:4528

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
17⤵
- Suspicious use of AdjustPrivilegeToken
PID:2376

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
17⤵
PID:2320

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
17⤵
- Suspicious use of AdjustPrivilegeToken
PID:2544

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
18⤵
PID:1920

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
17⤵
PID:4868

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
18⤵
- Suspicious use of AdjustPrivilegeToken
PID:4036

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
18⤵
PID:3804

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
19⤵
PID:4880

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
18⤵
PID:4864

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
19⤵
- Suspicious use of AdjustPrivilegeToken
PID:4400

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
19⤵
PID:3972

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
20⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:3576

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
19⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:1048

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
20⤵
PID:4012

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
20⤵
PID:2352

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
20⤵
PID:640

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
21⤵
PID:1828

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
20⤵
PID:1456

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
21⤵
PID:1980

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
21⤵
PID:2740

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
22⤵
PID:1628

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
21⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:600

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
22⤵
PID:3496

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
22⤵
- Suspicious use of AdjustPrivilegeToken
PID:2804

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
23⤵
PID:4460

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
22⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:1688

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
23⤵
PID:432

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
23⤵
PID:3796

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
24⤵
PID:4496

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
23⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:1092

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
24⤵
- Suspicious use of AdjustPrivilegeToken
PID:3936

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
24⤵
PID:1500

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
25⤵
PID:3716

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
24⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:5040

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
25⤵
PID:4704

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
25⤵
- Suspicious use of AdjustPrivilegeToken
PID:2592

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
25⤵
PID:4344

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
26⤵
PID:4848

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
25⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:1380

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
26⤵
PID:4232

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
26⤵
PID:4188

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
27⤵
PID:4844

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
26⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:2096

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
27⤵
PID:4500

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
27⤵
PID:4468

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
27⤵
- Suspicious use of AdjustPrivilegeToken
PID:4100

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
27⤵
PID:4396

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
28⤵
PID:4016

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
27⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:2184

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
28⤵
- Suspicious use of AdjustPrivilegeToken
PID:4560

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
28⤵
PID:824

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
28⤵
- Suspicious use of AdjustPrivilegeToken
PID:4012

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
29⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:4864

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
28⤵
PID:1668

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
29⤵
PID:1900

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
29⤵
PID:1588

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
30⤵
PID:3260

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
29⤵
PID:812

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
30⤵
- Suspicious use of AdjustPrivilegeToken
PID:316

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
30⤵
PID:3456

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
31⤵
PID:4764

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
30⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:4576

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
31⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:1456

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
31⤵
- Suspicious use of AdjustPrivilegeToken
PID:556

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
31⤵
PID:1920

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
32⤵
PID:3320

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
31⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:4028

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
32⤵
PID:4936

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
32⤵
PID:1648

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
32⤵
PID:4536

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
32⤵
- Suspicious use of AdjustPrivilegeToken
PID:5068

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
32⤵
PID:4996

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
33⤵
PID:1468

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
32⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:3004

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
33⤵
- Suspicious use of AdjustPrivilegeToken
PID:908

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
33⤵
PID:5096

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
34⤵
PID:4976

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
33⤵
PID:4372

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
34⤵
- Suspicious use of AdjustPrivilegeToken
PID:4924

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
34⤵
PID:4632

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
35⤵
PID:640

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
34⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:4868

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
35⤵
PID:2428

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
35⤵
PID:980

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
36⤵
PID:3120

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
35⤵
PID:3472

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
36⤵
PID:824

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
36⤵
PID:4252

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
37⤵
PID:1948

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
36⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:1900

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
37⤵
PID:1904

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
37⤵
PID:3796

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
38⤵
- Suspicious use of AdjustPrivilegeToken
PID:3496

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
37⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
PID:3816

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
38⤵
PID:1068

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
38⤵
PID:3996

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
39⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:1668

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
39⤵
PID:5056

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
38⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
PID:456

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
39⤵
PID:2072

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
39⤵
PID:4912

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
40⤵
PID:3376

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
39⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
PID:5076

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
40⤵
PID:4908

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
40⤵
PID:3628

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
41⤵
PID:2948

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
40⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
PID:2608

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
41⤵
PID:1940

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
41⤵
PID:3640

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
41⤵
PID:4140

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
42⤵
PID:3776

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
41⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
PID:1792

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
42⤵
PID:1448

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
42⤵
PID:1608

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
43⤵
- Suspicious use of AdjustPrivilegeToken
PID:1980

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
43⤵
PID:1588

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
42⤵
PID:1924

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
43⤵
PID:3132

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
43⤵
PID:228

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
44⤵
PID:3456

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
43⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
PID:2396

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
44⤵
PID:3568

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
44⤵
PID:320

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
45⤵
PID:2460

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
44⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
PID:400

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
45⤵
PID:3716

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
45⤵
PID:2288

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
46⤵
PID:4996

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
45⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
PID:1636

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
46⤵
PID:4448

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
46⤵
PID:2736

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
46⤵
PID:3408

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
47⤵
PID:5096

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
46⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
PID:4800

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
47⤵
PID:2932

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
47⤵
PID:3656

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
48⤵
PID:4632

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
47⤵
- Suspicious use of SetThreadContext
PID:4352

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
48⤵
PID:220

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
48⤵
PID:2740

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
49⤵
PID:2148

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
48⤵
PID:2492

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
49⤵
PID:2440

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
49⤵
PID:4252

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
50⤵
PID:2564

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
49⤵
- Suspicious use of SetThreadContext
PID:5028

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
50⤵
PID:3796

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
50⤵
PID:4852

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
50⤵
PID:4588

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
51⤵
PID:1684

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
50⤵
- Suspicious use of SetThreadContext
PID:4392

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
51⤵
PID:4364

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
51⤵
PID:4648

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
51⤵
PID:4356

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
52⤵
PID:3568

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
52⤵
PID:1828

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
51⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
PID:1048

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
52⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
PID:812

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
52⤵
PID:1816

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
52⤵
PID:4888

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
53⤵
PID:3460

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
52⤵
PID:2752

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
53⤵
PID:4596

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
53⤵
PID:4516

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
54⤵
PID:5108

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
53⤵
- Suspicious use of SetThreadContext
PID:3636

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
54⤵
PID:1972

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
54⤵
PID:5040

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
54⤵
PID:5032

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
55⤵
PID:1588

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
55⤵
PID:3876

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
54⤵
PID:1608

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
55⤵
PID:2596

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
55⤵
PID:220

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
56⤵
PID:1484

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
55⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
PID:2000

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
56⤵
PID:1448

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
56⤵
PID:1776

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
56⤵
PID:3296

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
57⤵
PID:5116

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
56⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
PID:4480

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
57⤵
PID:3008

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
57⤵
PID:5056

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
57⤵
PID:3616

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
58⤵
PID:4136

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
57⤵
- Suspicious use of SetThreadContext
PID:4916

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
58⤵
PID:4332

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
58⤵
PID:3156

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
59⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
PID:3472

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
58⤵
- Suspicious use of SetThreadContext
PID:1904

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
59⤵
PID:3348

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
59⤵
PID:5092

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
59⤵
PID:3408

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
59⤵
PID:2376

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
60⤵
PID:2736

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
59⤵
- Suspicious use of SetThreadContext
PID:4636

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
60⤵
PID:4828

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
60⤵
PID:1752

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
60⤵
PID:3652

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
61⤵
PID:2916

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
60⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
PID:3036

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
61⤵
PID:2740

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
61⤵
PID:2296

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
62⤵
PID:1960

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
61⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
PID:4372

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
62⤵
PID:2072

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
62⤵
PID:4964

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
63⤵
PID:2388

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
62⤵
PID:3632

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
63⤵
PID:2228

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
63⤵
PID:3264

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
64⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
PID:1924

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
63⤵
PID:320

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
64⤵
PID:3920

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
64⤵
PID:3008

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
65⤵
PID:2948

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
64⤵
PID:3936

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
65⤵
PID:4648

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
65⤵
PID:4332

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
66⤵
PID:1028

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
65⤵
PID:1840

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
66⤵
PID:2240

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
66⤵
PID:3348

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
67⤵
PID:4464

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
66⤵
PID:3876

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
67⤵
PID:3204

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
67⤵
PID:2324

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
68⤵
PID:3640

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
68⤵
PID:2952

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
67⤵
PID:220

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
68⤵
PID:5036

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
68⤵
PID:4804

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
69⤵
PID:5048

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
68⤵
PID:3296

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
69⤵
PID:1648

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
69⤵
PID:1496

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
70⤵
PID:2544

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
69⤵
- Checks computer location settings
PID:3616

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
70⤵
PID:1596

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
70⤵
PID:4468

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
71⤵
- Suspicious use of SetThreadContext
PID:4372

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
70⤵
PID:4408

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
71⤵
PID:4364

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
71⤵
PID:3396

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
72⤵
PID:3632

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
71⤵
PID:2060

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
72⤵
PID:4284

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
72⤵
PID:3968

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
72⤵
PID:2736

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
72⤵
PID:2584

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
73⤵
PID:4656

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
72⤵
PID:4724

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
73⤵
PID:3352

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
73⤵
PID:1580

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
74⤵
PID:1588

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
73⤵
PID:3716

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
74⤵
PID:2816

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
74⤵
PID:1456

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
75⤵
PID:3708

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
74⤵
- Checks computer location settings
PID:968

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
75⤵
PID:1168

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
75⤵
PID:1420

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
76⤵
PID:4736

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
75⤵
- Checks computer location settings
PID:1148

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
76⤵
PID:2764

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
76⤵
PID:3644

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
77⤵
PID:4968

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
76⤵
PID:3004

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
77⤵
PID:2596

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
77⤵
PID:4320

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
78⤵
PID:3796

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
78⤵
PID:5104

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
77⤵
PID:3324

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
78⤵
PID:4840

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
78⤵
PID:2144

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
79⤵
PID:2624

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
78⤵
- Checks computer location settings
PID:888

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
79⤵
PID:4648

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
79⤵
PID:4284

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
80⤵
PID:4688

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
79⤵
- Checks computer location settings
PID:2324

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
80⤵
PID:1856

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
80⤵
PID:2192

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
80⤵
PID:3352

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
81⤵
PID:740

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
80⤵
PID:4804

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
81⤵
PID:4432

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
81⤵
PID:2816

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
82⤵
PID:2932

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
82⤵
PID:1944

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
81⤵
- Checks computer location settings
PID:1496

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
82⤵
PID:4904

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
82⤵
PID:2668

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
83⤵
PID:1160

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
82⤵
PID:4140

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
83⤵
PID:4216

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
83⤵
PID:3264

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
83⤵
PID:4536

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
84⤵
PID:2388

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
84⤵
- Suspicious use of SetThreadContext
PID:3632

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
83⤵
PID:1556

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
84⤵
PID:4356

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
84⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
PID:1608

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
85⤵
- Suspicious use of SetThreadContext
PID:2492

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
85⤵
PID:4656

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
84⤵
- Checks computer location settings
PID:2692

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
85⤵
PID:4456

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
85⤵
PID:2760

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
85⤵
PID:3668

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
86⤵
PID:4996

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
85⤵
PID:5112

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
86⤵
PID:3388

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
86⤵
PID:260

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
87⤵
PID:4448

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
86⤵
- Suspicious use of SetThreadContext
PID:2752

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
87⤵
PID:4512

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
87⤵
PID:2812

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
87⤵
PID:2056

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
88⤵
PID:4748

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
87⤵
PID:1628

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
88⤵
PID:3664

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
88⤵
PID:4884

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
89⤵
PID:1972

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
88⤵
PID:484

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
89⤵
PID:2652

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
89⤵
PID:1504

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
90⤵
PID:2612

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
89⤵
PID:4500

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
90⤵
PID:2160

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
90⤵
- Checks computer location settings
PID:220

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
90⤵
PID:2624

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
91⤵
PID:4464

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
91⤵
PID:2292

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
90⤵
PID:1940

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
91⤵
PID:2228

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
91⤵
PID:3348

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
92⤵
PID:4588

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
92⤵
PID:1996

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
91⤵
PID:4704

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
92⤵
PID:204

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
92⤵
PID:1408

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
93⤵
PID:1788

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
92⤵
PID:3132

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
93⤵
PID:4136

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
93⤵
PID:1144

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
94⤵
PID:2816

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
94⤵
PID:332

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
93⤵
PID:1592

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
94⤵
PID:2036

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
94⤵
PID:2544

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
95⤵
PID:4432

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
95⤵
PID:392

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
94⤵
PID:2320

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
95⤵
PID:2704

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
95⤵
PID:3076

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
96⤵
PID:3804

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
95⤵
- Suspicious use of SetThreadContext
PID:320

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
96⤵
PID:3408

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
96⤵
PID:2064

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
97⤵
PID:1992

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
96⤵
PID:2276

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
97⤵
PID:3520

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
97⤵
PID:2920

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
98⤵
PID:1484

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
97⤵
PID:1776

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
98⤵
PID:4932

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
98⤵
PID:1456

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
98⤵
PID:2408

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
99⤵
PID:1420

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
98⤵
PID:2288

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
99⤵
PID:4960

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
99⤵
PID:3924

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
100⤵
PID:228

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
99⤵
PID:1960

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
100⤵
PID:4484

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
100⤵
PID:3872

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
101⤵
PID:5064

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
100⤵
- Checks computer location settings
PID:4668

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
101⤵
PID:2840

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
101⤵
PID:5024

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
102⤵
PID:4736

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
102⤵
PID:4332

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
101⤵
- Checks computer location settings
PID:2916

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
102⤵
PID:2624

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
102⤵
PID:3892

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
102⤵
PID:4072

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
103⤵
PID:3716

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
103⤵
PID:2492

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
102⤵
PID:1996

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
103⤵
PID:4868

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
103⤵
PID:2952

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
104⤵
PID:3588

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
103⤵
PID:1808

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
104⤵
PID:2052

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
104⤵
PID:3756

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
104⤵
PID:3636

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
105⤵
PID:5096

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
104⤵
PID:2240

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
105⤵
PID:4448

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
105⤵
PID:4068

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
105⤵
PID:2712

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
106⤵
PID:5068

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
105⤵
- Checks computer location settings
PID:4364

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
106⤵
PID:5072

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
106⤵
PID:2296

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
106⤵
PID:392

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
106⤵
PID:632

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
107⤵
PID:5028

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
106⤵
PID:5084

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
107⤵
PID:2640

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
107⤵
PID:3296

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
108⤵
PID:1856

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
108⤵
PID:1452

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
107⤵
PID:1960

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
108⤵
PID:2312

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
108⤵
PID:5104

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
109⤵
PID:4340

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
108⤵
PID:3540

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
109⤵
PID:1460

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
109⤵
PID:3668

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
109⤵
- Suspicious use of SetThreadContext
PID:3936

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
110⤵
PID:648

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
109⤵
PID:4748

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
110⤵
PID:1920

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
110⤵
PID:1840

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
111⤵
PID:2740

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
111⤵
PID:3920

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
110⤵
- Checks computer location settings
PID:3460

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
111⤵
PID:4884

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
111⤵
PID:2760

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
112⤵
PID:5052

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
111⤵
PID:4500

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
112⤵
PID:4720

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
112⤵
PID:3796

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
113⤵
PID:2296

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
112⤵
PID:2596

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
113⤵
PID:4012

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
113⤵
- Checks computer location settings
PID:484

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
114⤵
PID:5040

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
113⤵
PID:4452

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
114⤵
PID:3816

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
114⤵
PID:1364

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
115⤵
PID:4356

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
115⤵
PID:1028

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
114⤵
PID:628

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
115⤵
PID:2428

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
115⤵
PID:3576

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
116⤵
PID:1952

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
115⤵
PID:2580

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
116⤵
PID:3636

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
116⤵
PID:1992

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
116⤵
PID:2220

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
116⤵
PID:3364

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
117⤵
PID:1996

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
116⤵
PID:3656

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
117⤵
PID:2228

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
117⤵
PID:2948

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
118⤵
PID:4448

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
117⤵
PID:3644

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
118⤵
PID:4596

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
118⤵
PID:3120

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
118⤵
PID:4924

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
119⤵
PID:2812

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
118⤵
PID:3664

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
119⤵
PID:4820

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
119⤵
PID:5008

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
119⤵
PID:4136

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
120⤵
PID:3296

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
120⤵
PID:4572

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
119⤵
PID:1596

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
120⤵
PID:2612

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
120⤵
PID:4404

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
121⤵
PID:2984

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
120⤵
PID:3816

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
121⤵
PID:1924

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
121⤵
PID:5024

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
121⤵
PID:1556

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
121⤵
PID:4868

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
122⤵
PID:4056

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
121⤵
PID:1756

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
122⤵
PID:4452

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
122⤵
PID:4072

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
122⤵
PID:332

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
123⤵
PID:996

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
122⤵
PID:3156

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
123⤵
PID:3204

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
123⤵
PID:3652

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
124⤵
PID:3324

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
124⤵
PID:3472

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
123⤵
PID:448

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
124⤵
PID:1960

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
124⤵
PID:1688

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
125⤵
PID:1420

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
124⤵
PID:5092

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
125⤵
PID:5068

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
125⤵
PID:4052

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
126⤵
PID:3096

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
125⤵
PID:3520

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
126⤵
PID:2544

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
126⤵
PID:3572

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
126⤵
PID:1080

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
127⤵
PID:1364

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
127⤵
PID:1316

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
126⤵
PID:4720

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
127⤵
PID:4320

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
127⤵
PID:760

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
128⤵
PID:1432

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
127⤵
- Checks computer location settings
PID:2240

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
128⤵
PID:4012

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
129⤵
PID:1504

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
128⤵
- Checks computer location settings
PID:2320

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
129⤵
PID:1608

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
128⤵
PID:4072

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
129⤵
PID:2584

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
129⤵
PID:648

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
129⤵
PID:4704

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
129⤵
PID:1164

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
130⤵
PID:5000

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
129⤵
PID:3204

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
130⤵
PID:1840

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
130⤵
PID:1408

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
130⤵
PID:2192

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
131⤵
PID:2896

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
130⤵
PID:5084

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
131⤵
- Checks computer location settings
PID:3156

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
131⤵
PID:3924

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
132⤵
PID:3296

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
132⤵
PID:4820

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
131⤵
PID:2056

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
132⤵
PID:392

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
132⤵
PID:2288

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
133⤵
PID:5104

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
133⤵
PID:1500

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
132⤵
- Checks computer location settings
PID:1776

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
133⤵
PID:440

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
133⤵
PID:916

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
134⤵
PID:4352

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
133⤵
PID:3520

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
134⤵
PID:3528

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
134⤵
PID:2408

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
135⤵
PID:540

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
134⤵
PID:228

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
135⤵
PID:948

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
135⤵
PID:3472

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
136⤵
PID:3816

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
136⤵
PID:3208

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
135⤵
PID:4740

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
136⤵
PID:1556

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
136⤵
PID:2764

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
137⤵
PID:1220

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
136⤵
PID:1828

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
137⤵
PID:3688

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
137⤵
PID:1260

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
138⤵
PID:2984

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
137⤵
- Checks computer location settings
PID:824

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
138⤵
PID:4332

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
138⤵
PID:2912

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
138⤵
PID:448

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
139⤵
PID:1168

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
138⤵
PID:4588

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
139⤵
PID:1488

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
139⤵
PID:4484

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
139⤵
PID:1520

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
140⤵
PID:4536

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
140⤵
PID:2596

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
139⤵
PID:2228

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
140⤵
PID:4132

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
140⤵
PID:5096

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
141⤵
PID:3528

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
140⤵
PID:876

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
141⤵
PID:4068

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
141⤵
PID:3576

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
142⤵
PID:3812

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
141⤵
PID:2460

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
142⤵
PID:1164

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
142⤵
PID:3668

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
142⤵
PID:4724

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
143⤵
PID:4520

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
142⤵
- Checks computer location settings
PID:5032

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
143⤵
PID:4852

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
143⤵
PID:3416

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
143⤵
PID:2388

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
143⤵
PID:3688

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
144⤵
PID:2276

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
144⤵
PID:4232

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
143⤵
PID:4064

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
144⤵
PID:1816

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
144⤵
PID:4332

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
145⤵
PID:1828

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
144⤵
PID:2288

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
145⤵
PID:2056

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
145⤵
PID:1596

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
146⤵
PID:1488

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
145⤵
PID:2440

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
146⤵
- Checks computer location settings
PID:3644

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
146⤵
PID:4252

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
147⤵
PID:4136

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
146⤵
- Checks computer location settings
PID:4588

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
147⤵
PID:1504

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
147⤵
PID:4340

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
147⤵
PID:4452

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
147⤵
PID:556

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
148⤵
PID:3132

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
148⤵
PID:2496

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
147⤵
PID:2360

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
148⤵
PID:4996

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
148⤵
PID:4992

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
149⤵
PID:5056

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
148⤵
- Checks computer location settings
PID:2608

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
149⤵
PID:3588

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
149⤵
PID:564

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
150⤵
PID:1260

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
149⤵
PID:5044

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
150⤵
PID:5000

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
150⤵
PID:1380

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
150⤵
PID:1584

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
150⤵
PID:740

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
151⤵
PID:1940

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
150⤵
PID:2668

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
151⤵
PID:2312

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
151⤵
PID:4848

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
152⤵
PID:320

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
151⤵
PID:4032

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
152⤵
PID:3528

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
152⤵
PID:1608

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
153⤵
PID:3348

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
153⤵
PID:5112

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
152⤵
PID:2288

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
153⤵
PID:2096

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
153⤵
PID:3208

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
153⤵
PID:3204

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
154⤵
PID:1324

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
153⤵
PID:1996

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
154⤵
- Checks computer location settings
PID:1960

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
154⤵
PID:228

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
155⤵
PID:2740

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
154⤵
PID:3540

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
155⤵
PID:828

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
155⤵
PID:4148

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
156⤵
PID:2564

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
155⤵
PID:1840

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
156⤵
PID:1828

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
156⤵
PID:4748

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
156⤵
PID:5092

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
157⤵
PID:1924

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
157⤵
PID:4612

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
156⤵
PID:1380

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
157⤵
PID:4596

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
157⤵
PID:4784

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
158⤵
PID:3004

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
157⤵
PID:4120

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
158⤵
PID:2312

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
158⤵
PID:3416

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
158⤵
PID:540

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
159⤵
PID:332

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
159⤵
PID:1952

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
158⤵
- Checks computer location settings
PID:204

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
159⤵
PID:2668

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
159⤵
PID:480

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
159⤵
PID:1368

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
159⤵
PID:4564

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
159⤵
PID:4976

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
160⤵
PID:4472

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
159⤵
PID:4052

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
160⤵
PID:1756

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
160⤵
PID:4992

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
160⤵
PID:4800

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
161⤵
PID:1648

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
160⤵
PID:2072

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
161⤵
PID:4340

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
161⤵
PID:3088

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
161⤵
PID:888

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
162⤵
PID:632

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
162⤵
PID:1944

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
161⤵
PID:1004

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
162⤵
PID:1164

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
162⤵
PID:5016

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
163⤵
PID:392

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
163⤵
PID:916

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
162⤵
PID:460

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
163⤵
PID:484

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
163⤵
PID:4732

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
163⤵
- Checks computer location settings
PID:1596

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
164⤵
PID:1592

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
164⤵
PID:1608

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
163⤵
PID:4596

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
164⤵
PID:4108

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
164⤵
PID:3572

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
165⤵
PID:4252

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
165⤵
PID:260

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
164⤵
PID:2948

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
165⤵
PID:1488

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
165⤵
PID:2740

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
166⤵
PID:5108

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
165⤵
PID:4724

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
166⤵
PID:4568

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
166⤵
PID:1856

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
167⤵
PID:812

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
166⤵
PID:2908

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
167⤵
PID:4432

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
167⤵
PID:1756

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
167⤵
PID:1204

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
168⤵
PID:4820

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
168⤵
PID:4540

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
167⤵
PID:4452

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
168⤵
PID:2292

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
168⤵
PID:4468

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
169⤵
PID:2920

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
168⤵
PID:3852

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
169⤵
PID:3988

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
169⤵
PID:2640

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
170⤵
PID:1408

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
170⤵
PID:884

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
169⤵
- Checks computer location settings
PID:4408

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
170⤵
PID:1168

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
170⤵
PID:2228

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
171⤵
PID:1936

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
170⤵
PID:2268

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
171⤵
PID:4728

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
171⤵
PID:4012

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
172⤵
PID:1160

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
171⤵
PID:4496

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
172⤵
PID:2360

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
172⤵
PID:3812

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
172⤵
PID:2696

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
172⤵
PID:3352

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
173⤵
PID:1244

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
172⤵
PID:4568

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
173⤵
PID:2148

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
173⤵
PID:448

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
174⤵
PID:1520

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
174⤵
PID:1220

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
173⤵
- Checks computer location settings
PID:5044

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
174⤵
PID:740

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
174⤵
PID:4352

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
175⤵
PID:1260

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
175⤵
PID:916

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
174⤵
- Checks computer location settings
PID:4992

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
175⤵
PID:2760

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
175⤵
PID:1544

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
175⤵
PID:2632

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
176⤵
PID:4332

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
176⤵
PID:3088

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
175⤵
PID:4648

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
176⤵
PID:1524

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
176⤵
PID:2904

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
177⤵
PID:4784

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
176⤵
PID:628

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
177⤵
PID:3892

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
177⤵
- Checks computer location settings
PID:3540

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
178⤵
PID:2584

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
177⤵
PID:1192

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
178⤵
PID:1004

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
178⤵
PID:2296

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
179⤵
PID:4884

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
178⤵
PID:4996

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
179⤵
PID:4756

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
179⤵
PID:4156

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
180⤵
PID:2268

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
180⤵
PID:3804

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
179⤵
PID:4232

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
180⤵
PID:3456

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
180⤵
PID:2056

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
181⤵
PID:1828

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
180⤵
PID:5092

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
181⤵
PID:2352

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
181⤵
PID:4240

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
182⤵
PID:2812

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
182⤵
PID:3004

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
181⤵
PID:1572

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
182⤵
PID:4848

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
182⤵
PID:4320

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
182⤵
PID:1484

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
183⤵
PID:760

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
182⤵
PID:5104

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
183⤵
PID:3036

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
183⤵
PID:3132

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
184⤵
PID:2320

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
183⤵
PID:3656

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
184⤵
PID:1780

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
184⤵
PID:4068

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
185⤵
PID:1756

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
185⤵
PID:1472

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
184⤵
PID:1148

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
185⤵
PID:1648

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
185⤵
PID:1920

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
186⤵
PID:3664

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
185⤵
PID:2820

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
186⤵
PID:2524

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
186⤵
PID:1048

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
187⤵
PID:1192

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
186⤵
PID:4572

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
187⤵
PID:4332

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
187⤵
PID:2148

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
188⤵
PID:2408

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
188⤵
PID:3176

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
187⤵
PID:4936

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
188⤵
PID:4872

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
188⤵
PID:4788

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
189⤵
PID:3096

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
188⤵
PID:4480

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
189⤵
PID:556

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
189⤵
PID:5112

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
190⤵
PID:1584

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
189⤵
PID:2220

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
190⤵
PID:4500

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
190⤵
PID:2296

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
191⤵
PID:1164

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
190⤵
PID:3920

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
191⤵
PID:5028

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
191⤵
PID:4648

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
192⤵
PID:876

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
191⤵
PID:4496

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
192⤵
PID:400

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
192⤵
PID:1960

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
193⤵
PID:1688

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
193⤵
PID:2580

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
192⤵
PID:4404

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
193⤵
PID:4132

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
193⤵
PID:1608

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
194⤵
PID:1144

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
193⤵
PID:332

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
194⤵
PID:3812

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
194⤵
PID:3508

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
195⤵
PID:828

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
194⤵
PID:1592

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
195⤵
PID:3152

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
195⤵
PID:1456

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
196⤵
PID:4572

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
195⤵
PID:4856

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
196⤵
PID:4472

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
196⤵
PID:2984

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
197⤵
PID:3852

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
196⤵
PID:4340

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
197⤵
PID:3204

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
197⤵
PID:1972

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
198⤵
PID:3160

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
197⤵
PID:4952

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
198⤵
PID:2624

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
198⤵
PID:1468

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
199⤵
PID:948

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
199⤵
PID:4516

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
198⤵
PID:400

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
199⤵
PID:4156

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
199⤵
PID:3572

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
199⤵
PID:4056

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
199⤵
PID:2696

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
200⤵
PID:3528

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
200⤵
PID:4356

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
199⤵
PID:2192

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
200⤵
PID:4420

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
200⤵
- Checks computer location settings
PID:628

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
200⤵
PID:1948

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
201⤵
PID:4744

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
200⤵
PID:4464

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
201⤵
PID:740

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
201⤵
PID:3364

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
202⤵
PID:4404

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
202⤵
PID:4720

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
201⤵
PID:3296

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
202⤵
PID:2544

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
202⤵
PID:1840

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
203⤵
PID:1992

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
203⤵
PID:3036

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
202⤵
PID:4988

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
203⤵
- Checks computer location settings
PID:2908

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
203⤵
PID:3968

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
204⤵
PID:4448

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
204⤵
PID:3540

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
203⤵
PID:4376

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
204⤵
PID:1572

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
204⤵
PID:4432

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
205⤵
PID:1420

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
204⤵
PID:1064

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
205⤵
PID:220

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
205⤵
PID:4888

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
206⤵
PID:2056

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
205⤵
PID:4056

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
206⤵
PID:4852

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
206⤵
PID:448

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
207⤵
PID:2952

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
206⤵
- Checks computer location settings
PID:3816

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
207⤵
PID:3264

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
207⤵
PID:1048

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
208⤵
PID:1580

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
207⤵
PID:5092

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
208⤵
PID:2324

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
208⤵
- Checks computer location settings
PID:5084

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
209⤵
PID:4120

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
208⤵
PID:1028

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
209⤵
PID:224

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
209⤵
PID:4656

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
210⤵
PID:2984

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
210⤵
PID:3260

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
209⤵
PID:2912

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
210⤵
PID:1972

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
210⤵
PID:4848

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
211⤵
PID:3352

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
211⤵
PID:5020

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
210⤵
PID:1572

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
211⤵
PID:3024

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
211⤵
PID:2752

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
212⤵
PID:3472

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
212⤵
PID:2696

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
211⤵
PID:480

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
212⤵
PID:5104

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
212⤵
PID:3996

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
213⤵
PID:1936

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
212⤵
PID:2040

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
213⤵
PID:4012

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
213⤵
PID:4788

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
213⤵
PID:4072

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
214⤵
PID:4948

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
213⤵
PID:3812

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
214⤵
PID:3264

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
214⤵
PID:2564

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
215⤵
PID:1588

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
214⤵
PID:1072

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
215⤵
PID:3756

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
215⤵
- Checks computer location settings
PID:3540

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
216⤵
PID:3208

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
215⤵
PID:4448

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
216⤵
PID:2192

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
216⤵
PID:3636

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
216⤵
PID:4580

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
217⤵
PID:1496

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
216⤵
PID:4108

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
217⤵
PID:2896

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
217⤵
PID:3176

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
218⤵
PID:5108

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
217⤵
PID:3024

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
218⤵
PID:4520

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
218⤵
PID:2584

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
219⤵
PID:220

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
218⤵
PID:2652

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
219⤵
PID:5052

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
219⤵
PID:4320

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
220⤵
PID:812

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
219⤵
PID:4960

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
220⤵
PID:1472

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
220⤵
PID:4852

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
221⤵
PID:1840

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
220⤵
PID:4052

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
221⤵
PID:4844

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
221⤵
PID:4564

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
222⤵
PID:4432

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
221⤵
PID:2536

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
222⤵
PID:3968

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
222⤵
PID:1856

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
223⤵
PID:4740

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
222⤵
PID:3204

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
223⤵
PID:4392

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
223⤵
PID:4768

C:\Windows\SysWOW64\choice.exe
choice /C Y /N /D Y /T 3
224⤵
PID:1788

C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe
"C:\Users\Admin\AppData\Local\Temp\ORDER-PO-S.L 45675675.exe"
223⤵
PID:1220

C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
224⤵
PID:2812

C:\Windows\System32\WaaSMedicAgent.exe
C:\Windows\System32\WaaSMedicAgent.exe babdd5f6d3da5a950bfc81c5eba7e074 9M/33XhEuUiHI5bkcRIQig.0.1.0.0.0
1⤵
- Suspicious use of AdjustPrivilegeToken
PID:432

Network

MITRE ATT&CK Matrix ATT&CK v6

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Query Registry

1

T1012

System Information Discovery

2

T1082

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

memory/228-188-0x0000000000000000-mapping.dmp

Download
memory/364-157-0x0000000000000000-mapping.dmp

Download
memory/400-167-0x0000000000000000-mapping.dmp

Download
memory/484-150-0x0000000000000000-mapping.dmp

Download
memory/540-162-0x0000000000000000-mapping.dmp

Download
memory/560-161-0x0000000000000000-mapping.dmp

Download
memory/996-156-0x0000000000000000-mapping.dmp

Download
memory/1068-171-0x0000000000000000-mapping.dmp

Download
memory/1092-166-0x0000000000000000-mapping.dmp

Download
memory/1204-169-0x0000000000000000-mapping.dmp

Download
memory/1324-187-0x0000000000000000-mapping.dmp

Download
memory/1756-172-0x0000000000000000-mapping.dmp

Download
memory/1776-176-0x0000000000000000-mapping.dmp

Download
memory/1780-132-0x0000000002F50000-0x0000000002F53000-memory.dmp

Filesize
12KB

Download
memory/1780-130-0x0000000000BA0000-0x0000000000C04000-memory.dmp

Filesize
400KB

Download
memory/1808-175-0x0000000000000000-mapping.dmp

Download
memory/1904-155-0x0000000000000000-mapping.dmp

Download
memory/1920-199-0x0000000000000000-mapping.dmp

Download
memory/1940-139-0x0000000000000000-mapping.dmp

Download
memory/2220-142-0x0000000000000000-mapping.dmp

Download
memory/2376-197-0x0000000000000000-mapping.dmp

Download
memory/2396-196-0x0000000000000000-mapping.dmp

Download
memory/2544-198-0x0000000000000000-mapping.dmp

Download
memory/2544-165-0x0000000000000000-mapping.dmp

Download
memory/2592-170-0x0000000000000000-mapping.dmp

Download
memory/2668-183-0x0000000000000000-mapping.dmp

Download
memory/2696-180-0x0000000000000000-mapping.dmp

Download
memory/2732-153-0x0000000000000000-mapping.dmp

Download
memory/2804-185-0x0000000000000000-mapping.dmp

Download
memory/2932-151-0x0000000000000000-mapping.dmp

Download
memory/3120-177-0x0000000000000000-mapping.dmp

Download
memory/3204-191-0x0000000000000000-mapping.dmp

Download
memory/3388-136-0x0000000000000000-mapping.dmp

Download
memory/3576-168-0x0000000000000000-mapping.dmp

Download
memory/3616-186-0x0000000000000000-mapping.dmp

Download
memory/3636-193-0x0000000000000000-mapping.dmp

Download
memory/3756-173-0x0000000000000000-mapping.dmp

Download
memory/3872-163-0x0000000000000000-mapping.dmp

Download
memory/3920-192-0x0000000000000000-mapping.dmp

Download
memory/3968-141-0x0000000000000000-mapping.dmp

Download
memory/4008-154-0x0000000000000000-mapping.dmp

Download
memory/4068-140-0x0000000006370000-0x00000000063D6000-memory.dmp

Filesize
408KB

Download
memory/4068-131-0x0000000000000000-mapping.dmp

Download
memory/4068-133-0x0000000000400000-0x0000000000452000-memory.dmp

Filesize
328KB

Download
memory/4068-134-0x0000000005C10000-0x00000000061B4000-memory.dmp

Filesize
5.6MB

Download
memory/4068-135-0x0000000005490000-0x0000000005522000-memory.dmp

Filesize
584KB

Download
memory/4068-137-0x0000000005660000-0x00000000056FC000-memory.dmp

Filesize
624KB

Download
memory/4140-184-0x0000000000000000-mapping.dmp

Download
memory/4188-164-0x0000000000000000-mapping.dmp

Download
memory/4240-174-0x0000000000000000-mapping.dmp

Download
memory/4284-138-0x0000000000000000-mapping.dmp

Download
memory/4344-160-0x0000000000000000-mapping.dmp

Download
memory/4368-152-0x0000000000000000-mapping.dmp

Download
memory/4432-179-0x0000000000000000-mapping.dmp

Download
memory/4456-144-0x0000000000000000-mapping.dmp

Download
memory/4468-178-0x0000000000000000-mapping.dmp

Download
memory/4516-145-0x0000000000000000-mapping.dmp

Download
memory/4724-182-0x0000000000000000-mapping.dmp

Download
memory/4764-195-0x0000000000000000-mapping.dmp

Download
memory/4812-158-0x0000000000000000-mapping.dmp

Download
memory/4828-189-0x0000000000000000-mapping.dmp

Download
memory/4844-143-0x0000000000000000-mapping.dmp

Download
memory/4868-200-0x0000000000000000-mapping.dmp

Download
memory/4912-190-0x0000000000000000-mapping.dmp

Download
memory/4924-146-0x0000000000000000-mapping.dmp

Download
memory/4960-147-0x0000000000000000-mapping.dmp

Download
memory/4964-149-0x0000000000000000-mapping.dmp

Download
memory/4968-181-0x0000000000000000-mapping.dmp

Download
memory/4996-148-0x0000000000000000-mapping.dmp

Download
memory/5028-159-0x0000000000000000-mapping.dmp

Download
memory/5036-194-0x0000000000000000-mapping.dmp

Download

Analysis

Sharing

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Matrix ATT&CK v6

Replay Monitor

Loading Replay Monitor...

Downloads