Analysis
-
max time kernel
150s -
max time network
151s -
platform
windows10-2004_x64 -
resource
win10v2004-20220812-en -
resource tags
-
submitted
02/10/2022, 19:38
General
-
Target
872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exe
-
Size
512KB
-
MD5
6d7c5c13fecadc33c9291e0970a3c560
-
SHA1
8d62c7582edd61327c891b28c63722a3c5bf2004
-
SHA256
872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836
-
SHA512
45c82a7f836bb3030be2989879fbc484e10bd377f59e48cca4d2f7a712f98930ad818ae00bc80c3ceee4cbb5352a691d12e092a568d62d80405a932c804e6bab
-
SSDEEP
12288:tie8FYDUmK2zYPcLBLlZl5srEpOlTMTTOAEqYddeGvV4LU:vGYDZ3LVlZQZyTOAEqYDeO4o
Score
10/10
Malware Config
Signatures
-
Modifies visibility of file extensions in Explorer 2 TTPs 64 IoCs
-
UAC bypass 3 TTPs 64 IoCs
-
Executes dropped EXE 3 IoCs
-
Checks computer location settings 2 TTPs 1 IoCs
Looks up country code configured in the registry, likely geofence.
-
Reads user/profile data of web browsers 2 TTPs
Infostealers often target stored browser data, which can include saved credentials etc.
-
Adds Run key to start application 2 TTPs 5 IoCs
-
Drops file in System32 directory 5 IoCs
-
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.
-
Modifies registry key 1 TTPs 64 IoCs
-
Suspicious behavior: EnumeratesProcesses 64 IoCs
-
Suspicious behavior: GetForegroundWindowSpam 1 IoCs
-
Suspicious use of FindShellTrayWindow 64 IoCs
-
Suspicious use of WriteProcessMemory 64 IoCs
Processes
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exe"C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exe"1⤵
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\DyIkUEcE\CQwwooMg.exe"C:\Users\Admin\DyIkUEcE\CQwwooMg.exe"2⤵
- Executes dropped EXE
- Checks computer location settings
- Adds Run key to start application
- Drops file in System32 directory
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of FindShellTrayWindow
-
-
C:\ProgramData\PeokoccA\QmAAwksQ.exe"C:\ProgramData\PeokoccA\QmAAwksQ.exe"2⤵
- Executes dropped EXE
- Adds Run key to start application
-
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"2⤵
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d98363⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"4⤵
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d98365⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"6⤵
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d98367⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"8⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d98369⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"10⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983611⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"12⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983613⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"14⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983615⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"16⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983617⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"18⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983619⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"20⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983621⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"22⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983623⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"24⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983625⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"26⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983627⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"28⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983629⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"30⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983631⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"32⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983633⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"34⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983635⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"36⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983637⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"38⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983639⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"40⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983641⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"42⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983643⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"44⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983645⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"46⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983647⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"48⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983649⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"50⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983651⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"52⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983653⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"54⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983655⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"56⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983657⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"58⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983659⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"60⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983661⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"62⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983663⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"64⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983665⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"66⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983667⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"68⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983669⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"70⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983671⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"72⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983673⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"74⤵
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV175⤵
-
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983675⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"76⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983677⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"78⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983679⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"80⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983681⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"82⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983683⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"84⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983685⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"86⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983687⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"88⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983689⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"90⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983691⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"92⤵
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV193⤵
-
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983693⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"94⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983695⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"96⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983697⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"98⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d983699⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"100⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836101⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"102⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836103⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"104⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836105⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"106⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836107⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"108⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836109⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"110⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836111⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"112⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836113⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"114⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836115⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"116⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836117⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"118⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836119⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836"120⤵
-
C:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836.exeC:\Users\Admin\AppData\Local\Temp\872d969ae6acfe9fb2608d39d6d3867f170032fdc275ea6ce1475637ab8d9836121⤵
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-