6407a6620016b956ab3b040d5ca290bebea10c572918eb137ee4eb87422cda46

Analysis

max time kernel
375s
max time network
417s
platform
windows10-2004_x64
resource
win10v2004-20221111-en
resource tags

arch:x64arch:x86image:win10v2004-20221111-enlocale:en-usos:windows10-2004-x64system
submitted
27/11/2022, 17:50

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

6407a6620016b956ab3b040d5ca290bebea10c572918eb137ee4eb87422cda46.exe
Size

4.6MB
MD5

b8f6275282f7088f34dc669c50d70b87
SHA1

cd1b0685af34afb2588769cbc9739314ee1ef158
SHA256

6407a6620016b956ab3b040d5ca290bebea10c572918eb137ee4eb87422cda46
SHA512

46d8ed187be6b2adc3ef9c15ac155576954d14e33dc88a3c7819f4f823b0b32c4126aa1e2b49e71e65004541aab3fa31c1835094228a718d98a1b6cfc23d811a
SSDEEP

98304:bptNCOmG5Nv1TKnNEXsQ8aVobYZbW988rvtvXWPUX+WWobnp6/8y0uP:bptXmG5BsNHDioEZ282vtf0A+WWe4D0i

Score

10^/10

evasion trojan

Malware Config

Signatures

UAC bypass 3 TTPs 64 IoCs

evasion trojan

Bypass User Account Control

T1088

Disabling Security Tools

T1089

Modify Registry

T1112

description	ioc	Process
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found

Executes dropped EXE 64 IoCs

pid	Process
4068	ESET Nod32 & Smart Security Key Finder V8 Final.exe
4556	svchost.Exe
1524	winlogon.Exe
1624	autorun.exe
2064	winlogon.Exe
2708	Process not Found
3432	svchost.Exe
4388	winlogon.Exe
4396	svchost.Exe
4500	svchost.Exe
1636	Process not Found
1512	svchost.Exe
2008	Process not Found
4196	Process not Found
1152	svchost.Exe
1104	Process not Found
4404	Process not Found
4524	Process not Found
488	winlogon.Exe
2068	svchost.Exe
4472	winlogon.Exe
2356	svchost.Exe
2280	Process not Found
4468	svchost.Exe
644	winlogon.Exe
808	winlogon.Exe
4028	Process not Found
1400	winlogon.Exe
2328	svchost.Exe
944	Process not Found
3956	winlogon.Exe
4492	winlogon.Exe
2956	winlogon.Exe
3996	winlogon.Exe
4512	svchost.Exe
1612	Process not Found
3960	winlogon.Exe
2368	winlogon.Exe
4516	Process not Found
1316	Process not Found
2940	svchost.Exe
1620	winlogon.Exe
4832	Process not Found
2104	svchost.Exe
4920	Process not Found
4812	svchost.Exe
180	winlogon.Exe
1108	Process not Found
1708	winlogon.Exe
3000	Process not Found
444	winlogon.Exe
2896	svchost.Exe
3088	Process not Found
488	winlogon.Exe
1928	winlogon.Exe
3112	Process not Found
4036	svchost.Exe
3928	Process not Found
3556	winlogon.Exe
644	winlogon.Exe
3992	Process not Found
432	winlogon.Exe
4200	Process not Found
2628	Process not Found

Checks computer location settings 2 TTPs 1 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-2971393436-602173351-1645505021-1000\Control Panel\International\Geo\Nation	6407a6620016b956ab3b040d5ca290bebea10c572918eb137ee4eb87422cda46.exe

Checks whether UAC is enabled 1 TTPs 64 IoCs

evasion trojan

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	svchost.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	winlogon.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	svchost.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	winlogon.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	winlogon.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	svchost.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	winlogon.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	svchost.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	svchost.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	winlogon.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	Process not Found
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	Process not Found

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

System Information Discovery
T1082

Suspicious use of SetWindowsHookEx 2 IoCs

pid	Process
4068	ESET Nod32 & Smart Security Key Finder V8 Final.exe
1624	autorun.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4936 wrote to memory of 4068	4936	6407a6620016b956ab3b040d5ca290bebea10c572918eb137ee4eb87422cda46.exe	81
PID 4936 wrote to memory of 4068	4936	6407a6620016b956ab3b040d5ca290bebea10c572918eb137ee4eb87422cda46.exe	81
PID 4936 wrote to memory of 4068	4936	6407a6620016b956ab3b040d5ca290bebea10c572918eb137ee4eb87422cda46.exe	81
PID 4936 wrote to memory of 4556	4936	6407a6620016b956ab3b040d5ca290bebea10c572918eb137ee4eb87422cda46.exe	82
PID 4936 wrote to memory of 4556	4936	6407a6620016b956ab3b040d5ca290bebea10c572918eb137ee4eb87422cda46.exe	82
PID 4936 wrote to memory of 1524	4936	6407a6620016b956ab3b040d5ca290bebea10c572918eb137ee4eb87422cda46.exe	83
PID 4936 wrote to memory of 1524	4936	6407a6620016b956ab3b040d5ca290bebea10c572918eb137ee4eb87422cda46.exe	83
PID 4068 wrote to memory of 1624	4068	ESET Nod32 & Smart Security Key Finder V8 Final.exe	84
PID 4068 wrote to memory of 1624	4068	ESET Nod32 & Smart Security Key Finder V8 Final.exe	84
PID 4068 wrote to memory of 1624	4068	ESET Nod32 & Smart Security Key Finder V8 Final.exe	84
PID 1524 wrote to memory of 2064	1524	svchost.Exe	599
PID 1524 wrote to memory of 2064	1524	svchost.Exe	599
PID 4556 wrote to memory of 2708	4556	svchost.Exe	543
PID 4556 wrote to memory of 2708	4556	svchost.Exe	543
PID 2708 wrote to memory of 3432	2708	Process not Found	141
PID 2708 wrote to memory of 3432	2708	Process not Found	141
PID 2064 wrote to memory of 4388	2064	winlogon.Exe	87
PID 2064 wrote to memory of 4388	2064	winlogon.Exe	87
PID 3432 wrote to memory of 4396	3432	svchost.Exe	907
PID 3432 wrote to memory of 4396	3432	svchost.Exe	907
PID 4388 wrote to memory of 4500	4388	winlogon.Exe	730
PID 4388 wrote to memory of 4500	4388	winlogon.Exe	730
PID 4396 wrote to memory of 1512	4396	svchost.Exe	850
PID 4396 wrote to memory of 1512	4396	svchost.Exe	850
PID 4500 wrote to memory of 1636	4500	svchost.Exe	1277
PID 4500 wrote to memory of 1636	4500	svchost.Exe	1277
PID 1636 wrote to memory of 2008	1636	Process not Found	1137
PID 1636 wrote to memory of 2008	1636	Process not Found	1137
PID 1512 wrote to memory of 4196	1512	svchost.Exe	1272
PID 1512 wrote to memory of 4196	1512	svchost.Exe	1272
PID 2008 wrote to memory of 1104	2008	Process not Found	1297
PID 2008 wrote to memory of 1104	2008	Process not Found	1297
PID 4196 wrote to memory of 1152	4196	Process not Found	1056
PID 4196 wrote to memory of 1152	4196	Process not Found	1056
PID 1152 wrote to memory of 4524	1152	svchost.Exe	1301
PID 1152 wrote to memory of 4524	1152	svchost.Exe	1301
PID 1104 wrote to memory of 4404	1104	Process not Found	1284
PID 1104 wrote to memory of 4404	1104	Process not Found	1284
PID 4404 wrote to memory of 488	4404	Process not Found	163
PID 4404 wrote to memory of 488	4404	Process not Found	163
PID 4524 wrote to memory of 2068	4524	Process not Found	1060
PID 4524 wrote to memory of 2068	4524	Process not Found	1060
PID 2068 wrote to memory of 2356	2068	svchost.Exe	750
PID 2068 wrote to memory of 2356	2068	svchost.Exe	750
PID 488 wrote to memory of 4472	488	winlogon.Exe	1051
PID 488 wrote to memory of 4472	488	winlogon.Exe	1051
PID 4472 wrote to memory of 2280	4472	winlogon.Exe	1243
PID 4472 wrote to memory of 2280	4472	winlogon.Exe	1243
PID 2356 wrote to memory of 4468	2356	svchost.Exe	892
PID 2356 wrote to memory of 4468	2356	svchost.Exe	892
PID 4468 wrote to memory of 644	4468	svchost.Exe	987
PID 4468 wrote to memory of 644	4468	svchost.Exe	987
PID 2280 wrote to memory of 808	2280	Process not Found	691
PID 2280 wrote to memory of 808	2280	Process not Found	691
PID 644 wrote to memory of 4028	644	winlogon.Exe	1247
PID 644 wrote to memory of 4028	644	winlogon.Exe	1247
PID 808 wrote to memory of 1400	808	winlogon.Exe	1025
PID 808 wrote to memory of 1400	808	winlogon.Exe	1025
PID 4028 wrote to memory of 2328	4028	Process not Found	160
PID 4028 wrote to memory of 2328	4028	Process not Found	160
PID 1400 wrote to memory of 944	1400	winlogon.Exe	1211
PID 1400 wrote to memory of 944	1400	winlogon.Exe	1211
PID 2328 wrote to memory of 4492	2328	svchost.Exe	368
PID 2328 wrote to memory of 4492	2328	svchost.Exe	368

System policy modification 1 TTPs 64 IoCs

evasion

Modify Registry

T1112

description	ioc	Process
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	winlogon.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	svchost.Exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	Process not Found

C:\Users\Admin\AppData\Local\Temp\6407a6620016b956ab3b040d5ca290bebea10c572918eb137ee4eb87422cda46.exe
"C:\Users\Admin\AppData\Local\Temp\6407a6620016b956ab3b040d5ca290bebea10c572918eb137ee4eb87422cda46.exe"
1⤵
- Checks computer location settings
- Suspicious use of WriteProcessMemory
PID:4936
- C:\Users\Admin\AppData\Local\Temp\ESET Nod32 & Smart Security Key Finder V8 Final.exe
  "C:\Users\Admin\AppData\Local\Temp\ESET Nod32 & Smart Security Key Finder V8 Final.exe"
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetWindowsHookEx
  - Suspicious use of WriteProcessMemory
  PID:4068
- - C:\Users\Admin\AppData\Local\Temp\ir_ext_temp_0\autorun.exe
    "C:\Users\Admin\AppData\Local\Temp\ir_ext_temp_0\autorun.exe" "SFXSOURCE:C:\Users\Admin\AppData\Local\Temp\ESET Nod32 & Smart Security Key Finder V8 Final.exe"
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:1624
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  "C:\Users\Admin\AppData\Local\Temp\svchost.Exe"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:4556
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:2708
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:3432
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4396
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  "C:\Users\Admin\AppData\Local\Temp\winlogon.Exe"
  2⤵
  - Executes dropped EXE
  PID:1524
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:2064
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      UAC bypass
      Executes dropped EXE
      Checks whether UAC is enabled
      Suspicious use of WriteProcessMemory
      PID:4388
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:4500
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:1636
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:4908
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:4292
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:4828
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:1152
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:708
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:4340
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:2668
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:5008
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:1012
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:1636

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4196
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:520
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:2432
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:2620
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4688
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:3716
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:3392
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        System policy modification
        
        PID:1712
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:1908
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4636
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:1060
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:408
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:3564

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2008
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:1104
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:1780
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4816

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1512

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4472
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2280
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4596
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:4784
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:4468
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:1872
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:1316
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:2956
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        Checks whether UAC is enabled
        
        PID:364
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:4816

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:1400
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:944
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4196
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4816
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:4196
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:3424
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:2820
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        UAC bypass
        
        PID:1216
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:32
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:4064
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        Executes dropped EXE
        
        PID:4512
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:4840
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1152
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:5012

C:\Windows\system32\AUDIODG.EXE
C:\Windows\system32\AUDIODG.EXE 0x510 0x4b8
1⤵
PID:1584

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4028
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  - System policy modification
  PID:2328

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:808

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:644
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:432

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4468

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2368
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:1316
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:1700
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4160

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4920
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:180
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:1708
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:3000

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1108
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:444

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4812

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
- Executes dropped EXE
PID:2104

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4832
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  - UAC bypass
  - System policy modification
  PID:2812
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    - UAC bypass
    PID:4204

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1620
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:1064
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    - UAC bypass
    - Checks whether UAC is enabled
    PID:1456

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2940

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4516

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2896
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:488

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3088
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  - Executes dropped EXE
  PID:1928

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4036
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:3928
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:5116
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4468
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      Checks whether UAC is enabled
      PID:1888
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:1492
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:3208
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:960
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:408
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        10⤵
        
        PID:364
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        11⤵
        
        PID:3564
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        12⤵
        
        PID:1704
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        13⤵
        
        PID:3452
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        14⤵
        Executes dropped EXE
        
        PID:444
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        15⤵
        UAC bypass
        
        PID:2580
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        16⤵
        
        PID:1768
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        17⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        18⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        18⤵
        
        PID:3812
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        19⤵
        
        PID:1872
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        UAC bypass
        
        PID:2552
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:2528
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:4636
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:364
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:4280
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        11⤵
        
        PID:2240
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:4996

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3556
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:3992
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    - Executes dropped EXE
    PID:1620

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2628
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:5072
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:3780
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:4192

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4708
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:3484
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4492
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:3996
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:2956
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:32
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4732
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:3708
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:3424

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3708
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4076
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4320
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4196

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4200

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:644
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4524
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:2140
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      Checks whether UAC is enabled
      System policy modification
      PID:4048
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        Checks whether UAC is enabled
        System policy modification
        
        PID:4292
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:5004

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3112

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3960

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1612

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4512
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:3456
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:1512
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:1700
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:32
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:4516

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4372
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:556
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:3432
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:3200
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:1608
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:3184
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:4688
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:4932
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:4320
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:524
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4996
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:1780
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:3232
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:180
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:1608

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3392
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4500
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:2064
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4348
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:556
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        System policy modification
        
        PID:4456
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2412
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    - Executes dropped EXE
    PID:1708
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:1764

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:960

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
- Executes dropped EXE
PID:3996

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3956

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4492

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2356

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2068

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:488

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4024
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:5096
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4672
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      Checks whether UAC is enabled
      PID:4792
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:2856
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:2680
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:8
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:1076
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:1000
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        11⤵
        
        PID:3076
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        12⤵
        
        PID:456
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        13⤵
        
        PID:3356
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        14⤵
        
        PID:2416
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        14⤵
        Checks whether UAC is enabled
        
        PID:2128
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4968

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3932
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4872
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:3424
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:2872
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:432
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:3932
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:3956
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:3484
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:688
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:2956
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:4276
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        11⤵
        
        PID:2264
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        12⤵
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        13⤵
        
        PID:4200
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        14⤵
        
        PID:1052
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        15⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        16⤵
        
        PID:2520
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        14⤵
        
        PID:4768
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:676
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:1248
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:1256
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:2180
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:1216
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:2956
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:4856
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:1316
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:4076
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:1276
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        UAC bypass
        
        PID:2592
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        11⤵
        
        PID:2268
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        12⤵
        
        PID:4212
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        13⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        14⤵
        
        PID:1596
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        15⤵
        
        PID:1704
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        13⤵
        
        PID:1012
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        14⤵
        Checks whether UAC is enabled
        System policy modification
        
        PID:2300
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        15⤵
        
        PID:4320
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        Checks whether UAC is enabled
        System policy modification
        
        PID:1352
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:2196
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:4932
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:3720
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:1612
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        10⤵
        UAC bypass
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4500
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:2196
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        10⤵
        
        PID:2856
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        11⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4396
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:2520
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:4764
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:4788
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:1824
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        System policy modification
        
        PID:4688
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:3928
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:1908

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3700

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:5116
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4796
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:3932

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2376
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:5072
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:3852

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2592
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2820
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    - Checks whether UAC is enabled
    PID:3700
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:3564
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        UAC bypass
        Checks whether UAC is enabled
        
        PID:4740
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2264
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:1212
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:4064

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4212
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:1636
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:1524

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4352
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4768
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:2692
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:2412
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4404
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        UAC bypass
        
        PID:3940
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:2988
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:4060
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:4372
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        10⤵
        
        PID:4188
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        11⤵
        
        PID:3740
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        12⤵
        
        PID:4596
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        13⤵
        
        PID:892
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        14⤵
        
        PID:4908
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4716
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4872

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3196
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4688
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:2868
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:1616
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4596
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:2984
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:1472
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:4228
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:3444
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        10⤵
        
        PID:4796
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        11⤵
        System policy modification
        
        PID:2284
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        12⤵
        
        PID:1316
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        13⤵
        
        PID:4272
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        14⤵
        
        PID:3696
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        15⤵
        
        PID:2064
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        16⤵
        
        PID:4936
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        17⤵
        
        PID:3076
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        17⤵
        System policy modification
        
        PID:2556
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        13⤵
        
        PID:4996
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        14⤵
        
        PID:3232
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        11⤵
        
        PID:3076
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        12⤵
        
        PID:4640
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        10⤵
        
        PID:5028
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        11⤵
        
        PID:1420
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:1732
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        System policy modification
        
        PID:4552
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:2880
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        11⤵
        
        PID:3980
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        12⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:3456
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:1316
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:1220
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        11⤵
        
        PID:3720
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        12⤵
        
        PID:2956
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:564
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4828
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:1444
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:2180
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:2900
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:2556
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:328
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4688
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:2296
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        Checks whether UAC is enabled
        
        PID:3064
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:1492
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:2856
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:4204
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:1416
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        10⤵
        
        PID:4712
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        11⤵
        
        PID:1852
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        12⤵
        
        PID:2592
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:4204
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:2196
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:4580
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4512
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4048
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:4340
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4840
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:2168
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:1988
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:2376

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4896
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:3928
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:2856
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:1444
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4284
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4872
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:564
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:1448
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:2592
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:3640
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:4724
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:2704
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:3500
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:3672
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        10⤵
        Checks whether UAC is enabled
        
        PID:1776
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:1308
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2068
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:5016
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:2856

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1620
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:3980

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2000
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4468
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:2628
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:1440
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:3852
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      Checks whether UAC is enabled
      PID:3484
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:1272
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4656

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1104
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4404

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
- Checks whether UAC is enabled
PID:4104
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:1332

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4492
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:444
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4572
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:2412
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        System policy modification
        
        PID:2120
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:3976
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:3988
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:3184
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        System policy modification
        
        PID:2356
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:4352
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        System policy modification
        
        PID:4340
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4064
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:1608
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:3184
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:2988
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:540
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:3944
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:4524
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:4936
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:3444
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:2748
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:2340

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2556
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2140
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:2872
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4852
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:1888
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:4324
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:1616
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:4160
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:8
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:1852

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4804
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4024
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4340
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:3716
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:3640
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:2296

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2640
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4672
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:1492
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:2856
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4684
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4720
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4060
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:5080
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:1628
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:2068
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:4160
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        System policy modification
        
        PID:1400
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        Executes dropped EXE
        
        PID:2956
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:4640
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:1076
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        11⤵
        
        PID:2340
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        12⤵
        
        PID:4572
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        13⤵
        
        PID:4860

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4336
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:1852

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:892
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:1352
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:752
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:3740
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:1212
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:3208
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:2692
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:1524
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:2716

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1700

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4204

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4516
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  - UAC bypass
  PID:3920
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  - UAC bypass
  - Checks whether UAC is enabled
  PID:3232
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4064
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:2416
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        Checks whether UAC is enabled
        
        PID:5028

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3472
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4060
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:3356
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:5008

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1916
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:1532
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4008
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:1636
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:3988
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:2264
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:1332
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        Checks whether UAC is enabled
        
        PID:1444
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:4148
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4932
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:364
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:2192
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:3556
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:1912
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:5004
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:2088
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:556

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:364
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2844
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:3716
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      Checks whether UAC is enabled
      PID:2668
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:4400
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:4656
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:3532

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4716
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4976

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3196

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2556
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4452
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:3280
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    - Checks whether UAC is enabled
    PID:540
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:1064
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:2524
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:4692
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:4684
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:5044
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:2004
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:2364
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        10⤵
        System policy modification
        
        PID:1276
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  - Executes dropped EXE
  - Checks whether UAC is enabled
  - System policy modification
  PID:4812

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3528
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2068
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:2112
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:2072
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:1512
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:3304
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:1000
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:2528
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        System policy modification
        
        PID:688
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        UAC bypass
        System policy modification
        
        PID:4160
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:4272
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:1620
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:2008
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        Executes dropped EXE
        
        PID:3556
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        11⤵
        
        PID:4060
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        12⤵
        
        PID:2852
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:4580
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:1416
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:4396
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:3392
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:3592
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        10⤵
        
        PID:4324
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        11⤵
        
        PID:3852
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        12⤵
        
        PID:3200
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        13⤵
        UAC bypass
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:2008
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4468

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:524

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4064
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  - System policy modification
  PID:2632

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:5044

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2364

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:5088

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2280

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4684
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:3112
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:3592

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1580
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:1608
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:3940

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2960
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:1764
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4196
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:3960
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:3084

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3780
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2192

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
- UAC bypass
- Checks whether UAC is enabled
PID:1224

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2580

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2716
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:3500
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:3812
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:3180
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:4692
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:2812
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        Executes dropped EXE
        
        PID:2940
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:4736
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:4708
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:1620
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:5004

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3232
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2900

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4656

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1780
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4776
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:3556
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:4064
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:2668
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:2452
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4396
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:4324

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3812

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4492

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2004

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4656
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2112
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4028
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:1684

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
- Checks whether UAC is enabled
PID:4088

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
- UAC bypass
- Checks whether UAC is enabled
PID:2972

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2240
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2868

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2852
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:548
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:3184

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4524
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4812
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4804
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:3740
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4968
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:1908
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:1492
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:4896
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:1420
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:2544
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:2300
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:4968
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:2452
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:4852
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:1060
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        UAC bypass
        System policy modification
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:4188
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:2376
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:4784
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:1988
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:644

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4340
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:932
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4352
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4788
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4188

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2900
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4404
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4276
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:2300
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:1580
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:2376
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:764
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:1872
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:2940
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:3592
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:2476
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:4572
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4284
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        System policy modification
        
        PID:2196
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:4772
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:3956
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:2872
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:3184
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:4804
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4060

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:524
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4764
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2948

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1296
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2620
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:2416
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:1712
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:5116
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4464
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:3852
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:4452

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3688
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4740
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:3528
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4768
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:2640

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:1220
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2032

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2716
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  - UAC bypass
  - Executes dropped EXE
  - System policy modification
  PID:4492
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:2960
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2528
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:3940
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:548
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:708
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:1096

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2088
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2340
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:432
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2700
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:3300

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2896
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:1472
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4716
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:1036
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:2432
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:1448
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:1512
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:4228
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:8
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:3216

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3484
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2956
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4500
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:4756

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:1636
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2476
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2300
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:2748
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:5096
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:4400
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:4852
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:4908
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:2072
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:752
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4400
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      UAC bypass
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:808
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        Executes dropped EXE
        Checks whether UAC is enabled
        System policy modification
        
        PID:2368

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4280
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:932
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4024
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:4596
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4356
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:3000

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4728
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:764

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3196
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4684
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4720
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:1324
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        Executes dropped EXE
        System policy modification
        
        PID:2896
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:32
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:1060
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:4932
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:3768
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:3512
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:2636
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:4444
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:676
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:3716

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3768
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:432
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    - Checks whether UAC is enabled
    PID:2984

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4048
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2748

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3524
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2000
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:3740
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:1000
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:3532
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:3524
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:2704
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:2392
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:1276
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:1216
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:4724
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4448
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        UAC bypass
        Checks whether UAC is enabled
        
        PID:3944
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:3716

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3216
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2956
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:3944

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2704

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1888

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1444

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2520
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2844
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    - Checks whether UAC is enabled
    PID:4976
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:4892
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:3888
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:3196
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    - UAC bypass
    - Executes dropped EXE
    PID:4036

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4340
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:5028
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4188
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:764
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:1276
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:3208
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:1916
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:4348
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:4992
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        10⤵
        
        PID:4736
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:3852

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2128
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2940
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:5028
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:4352
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        System policy modification
        
        PID:2844

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4244

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:1996

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2552
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2580
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:3980
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:4348
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:3180
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:1780
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:1064

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1912
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:1228
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:1532
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      Checks whether UAC is enabled
      PID:4476
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:1152
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:2852
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:2180
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      System policy modification
      PID:1364
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:2708
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:4984

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2264
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4008

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:808
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2344
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:1000
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:3852
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:3408
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:1780
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:1012

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4672

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2636
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4356
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:484
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:2872
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2960

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4892

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3208
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:1724
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4272
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4008

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:216
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:1532

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4008
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2476
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    - Checks whether UAC is enabled
    PID:5076
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:3344
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:432
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:564
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:1036
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:5044
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:2344
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:648
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:3716
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:1628
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        11⤵
        
        PID:4500
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        12⤵
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        11⤵
        
        PID:4028
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        12⤵
        
        PID:2336
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        13⤵
        
        PID:4944
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        10⤵
        
        PID:648

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4304
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:520
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2944

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3708
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2128

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3456
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:3964
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:3216
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:2344
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        UAC bypass
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1512
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:3852
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:2820
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        UAC bypass
        
        PID:4716
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        Executes dropped EXE
        
        PID:3956
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:3688
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        System policy modification
        
        PID:4304
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:3556

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3460

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1152
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:328

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3888
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:520
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:2432

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1612
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4108

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:1628
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:3456

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2064
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:1772

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
- Suspicious use of WriteProcessMemory
PID:1524
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  - UAC bypass
  - Checks whether UAC is enabled
  PID:1912
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:3708
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:2008

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:1228
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:4444
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    - Executes dropped EXE
    - System policy modification
    PID:180
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:2900
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:1420
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:5096
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4804
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:4100
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:520
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:4968
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:4028
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        10⤵
        
        PID:3184
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        11⤵
        
        PID:1988
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        11⤵
        
        PID:1308
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:2336
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:764
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:1036

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4828

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4772

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4396

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4812
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:1304
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4272

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3444

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:364
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:1620
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:644

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3112
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:3184

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4064

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4544
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  - Executes dropped EXE
  PID:432
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:900
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:3512
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:4764
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        Executes dropped EXE
        Checks whether UAC is enabled
        Suspicious use of WriteProcessMemory
        
        PID:4468
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        UAC bypass
        
        PID:4936
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:1316
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:3780
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        9⤵
        
        PID:2240
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:1916
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        11⤵
        
        PID:4348
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        12⤵
        
        PID:4832
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:4448
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:3532
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:3200
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:4984
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:4860
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:1012
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        System policy modification
        
        PID:2680
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        
        PID:3812

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3344
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:1828

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
- Checks whether UAC is enabled
PID:5096
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  - System policy modification
  PID:1256
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    - UAC bypass
    PID:1416
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:4484
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:3640
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:3088
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:4212
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        
        PID:3456
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        9⤵
        
        PID:1104
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        10⤵
        
        PID:3960
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        11⤵
        
        PID:2520
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        12⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        13⤵
        
        PID:3940
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        14⤵
        
        PID:2544
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        15⤵
        
        PID:3496
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        16⤵
        
        PID:1872
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        17⤵
        
        PID:4896
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        18⤵
        
        PID:3368
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        19⤵
        
        PID:4160
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        20⤵
        
        PID:3740
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        21⤵
        
        PID:4596
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        22⤵
        
        PID:1400
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        23⤵
        
        PID:2716
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        24⤵
        
        PID:3304
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        19⤵
        
        PID:2180
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        19⤵
        UAC bypass
        System policy modification
        
        PID:216
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        19⤵
        
        PID:4480
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        18⤵
        System policy modification
        
        PID:4720
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        15⤵
        UAC bypass
        
        PID:2032
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        13⤵
        UAC bypass
        
        PID:1996
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        14⤵
        
        PID:1420
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        15⤵
        UAC bypass
        Checks whether UAC is enabled
        
        PID:4796
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        16⤵
        
        PID:688
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        12⤵
        
        PID:3640
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        7⤵
        
        PID:4108
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        8⤵
        System policy modification
        
        PID:4276

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:1492
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:4856
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:3356
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:3460
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:3500
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:1000
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        Checks whether UAC is enabled
        
        PID:1764
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        
        PID:1772

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:2580
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:5004
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:1228
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:2180
    - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        5⤵
        System policy modification
        
        PID:2948
      - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        6⤵
        
        PID:4784
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        7⤵
        
        PID:4148
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        
        C:\Users\Admin\AppData\Local\Temp\svchost.Exe
        8⤵
        System policy modification
        
        PID:1472
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4024

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4204
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:564
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:4472
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:1844
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        Checks whether UAC is enabled
        
        PID:3344

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3976
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2960
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:3408
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:708
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      PID:4444

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:556

C:\Windows\System32\wuapihost.exe
C:\Windows\System32\wuapihost.exe -Embedding
1⤵
PID:1780

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:1620
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:3280
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4672

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:1772
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:1280
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:3180
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      PID:32
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:5104
      - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        6⤵
        
        PID:1108
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:3456

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4720
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2280
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:2072
- - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    C:\Users\Admin\AppData\Local\Temp\svchost.Exe
    3⤵
    PID:4272
  - - C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      C:\Users\Admin\AppData\Local\Temp\svchost.Exe
      4⤵
      UAC bypass
      PID:4580

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:764

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
- UAC bypass
PID:1060

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4008
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:2300
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:3452
  - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
      4⤵
      Executes dropped EXE
      PID:3960
    - - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        
        C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
        5⤵
        
        PID:4684
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  PID:1724
- - C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
    3⤵
    PID:4172

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4212

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4148
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:676

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:2988

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3532
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  - Executes dropped EXE
  - Checks whether UAC is enabled
  - Suspicious use of WriteProcessMemory
  PID:2064

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:328

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:3196

C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
1⤵
PID:4412
- C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  C:\Users\Admin\AppData\Local\Temp\winlogon.Exe
  2⤵
  - Checks whether UAC is enabled
  PID:2716

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:4464
- C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  C:\Users\Admin\AppData\Local\Temp\svchost.Exe
  2⤵
  PID:3368

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
- System policy modification
PID:548

C:\Users\Admin\AppData\Local\Temp\svchost.Exe
C:\Users\Admin\AppData\Local\Temp\svchost.Exe
1⤵
PID:3200

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Privilege Escalation

Bypass User Account Control

T1088

Defense Evasion

Bypass User Account Control

T1088

Disabling Security Tools

T1089

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Microsoft\CLR_v2.0\UsageLogs\svchost.Exe.log

Filesize
116B

MD5
fbcc48ddf361df41da6b0400718841f8

SHA1
b6d3641dc3c8186662f3906a350e355f47e373e3

SHA256
ecb300191d0e3420d114338ed6850afa649b270f75c181ffe86b435420100870

SHA512
1d9d8e3335423152e7b19bc3b0ac8f04d318c342cfeb1567b9b82f0dde0e3d3f57c3fb7c312fbca7d9f46ba2383f32a2abc90df9a924f27da43f854bd490e578

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\CLR_v2.0\UsageLogs\winlogon.Exe.log

Filesize
116B

MD5
fbcc48ddf361df41da6b0400718841f8

SHA1
b6d3641dc3c8186662f3906a350e355f47e373e3

SHA256
ecb300191d0e3420d114338ed6850afa649b270f75c181ffe86b435420100870

SHA512
1d9d8e3335423152e7b19bc3b0ac8f04d318c342cfeb1567b9b82f0dde0e3d3f57c3fb7c312fbca7d9f46ba2383f32a2abc90df9a924f27da43f854bd490e578

Download Submit
C:\Users\Admin\AppData\Local\Temp\ESET Nod32 & Smart Security Key Finder V8 Final.exe

Filesize
4.1MB

MD5
97939b0200d1179558725382f009410b

SHA1
9ad449dc9caa8bef00ce2f6fcb4803b987fe94b1

SHA256
34963d57e425da08c326d8601a2f35ef71d254beb9c63363fe0c7f7b73f35170

SHA512
ed4a9407cf702ec0383b1f8a0802890d4d614ef45d39b46379b7bdc94cac62fd6ae52b21280093a81a3d89a55cafa2383207551ea1d9fdff8ae4a016a7de8ebc

Download Submit
C:\Users\Admin\AppData\Local\Temp\ESET Nod32 & Smart Security Key Finder V8 Final.exe

Filesize
4.1MB

MD5
97939b0200d1179558725382f009410b

SHA1
9ad449dc9caa8bef00ce2f6fcb4803b987fe94b1

SHA256
34963d57e425da08c326d8601a2f35ef71d254beb9c63363fe0c7f7b73f35170

SHA512
ed4a9407cf702ec0383b1f8a0802890d4d614ef45d39b46379b7bdc94cac62fd6ae52b21280093a81a3d89a55cafa2383207551ea1d9fdff8ae4a016a7de8ebc

Download Submit
C:\Users\Admin\AppData\Local\Temp\ir_ext_temp_0\AutoPlay\autorun.cdd

Filesize
238KB

MD5
9ce4ae522f1f79028d151326a6562ead

SHA1
78f2e6a8a9d37a9538f9a9ed87810eb4c6c1e9bf

SHA256
0c9a3b338890bf7719043712d593169e566241c8ea864136ff817d5682910802

SHA512
a33817d1c1c7adf77df91f84246d87880946a341c31bb18a23ee8670d26857b95acdc52a621e7c3aba7a6f3d21042450686b32ba14327ceac2b1926183d125d8

Download Submit
C:\Users\Admin\AppData\Local\Temp\ir_ext_temp_0\autorun.exe

Filesize
2.9MB

MD5
ca94b246afe10f9b1262e626797335e9

SHA1
1b4633e9070304c4024bfe10c5bf3405d1551e2c

SHA256
a316045c7c6aa1d6f8d256b2c3e052ae0fb532c9537c4561d2c978d13aa829e6

SHA512
94a7dc300e4e0c206812074db40936022df7e25be37e7b3c7d0fdf4542bd523cfa89efe7f3df94d9aae2d183d1c08a4717b21cb13af55a1f043b4cbd9e3bd1dd

Download Submit
C:\Users\Admin\AppData\Local\Temp\ir_ext_temp_0\autorun.exe

Filesize
2.9MB

MD5
ca94b246afe10f9b1262e626797335e9

SHA1
1b4633e9070304c4024bfe10c5bf3405d1551e2c

SHA256
a316045c7c6aa1d6f8d256b2c3e052ae0fb532c9537c4561d2c978d13aa829e6

SHA512
94a7dc300e4e0c206812074db40936022df7e25be37e7b3c7d0fdf4542bd523cfa89efe7f3df94d9aae2d183d1c08a4717b21cb13af55a1f043b4cbd9e3bd1dd

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\svchost.Exe

Filesize
304KB

MD5
5049613a4141795a19660e7b726bde2c

SHA1
a824ae39950afd1c2aac5418fcb12354c39f3516

SHA256
0e60816285c827586e4947693acab500f75d7b214ad3ce2d022c29b24c8621e6

SHA512
a3fd1efda11dc01c4b89b32eb5a326847daf843c7998164a333d3726c6e966d053dee9f00abf6a0a8245c76d85e7a871ac551d16b7a729c999afa5744604394d

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\winlogon.Exe

Filesize
360KB

MD5
a74bc25d4c9add6f171a7dfb9f8fc5d8

SHA1
3dfe945c9244ed8b5b4fb5a9277ecbae98132194

SHA256
c0d59283bfa34f3daa51819c3ba722460ef868ff12b1fdea34e7c44aacc0cd1f

SHA512
8481c1f602ca5ea9365c3aa9fd3a841b753fdb7a18a134429659cec3112dff5d80b5d478c702036724af8584983e74aea043995810889696ceaf7a49c20967fb

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v6

Replay Monitor

Loading Replay Monitor...

Downloads