b21f185108ba1b391c6149d6cc4ba1c5f127ce14c0bebd3e392c0b40ce189f32

Analysis

max time kernel
6s
max time network
43s
platform
windows10-2004_x64
resource
win10v2004-20230220-en
resource tags

arch:x64arch:x86image:win10v2004-20230220-enlocale:en-usos:windows10-2004-x64system
submitted
25/04/2023, 00:28

Sharing

Copy URL

Twitter E-mail

Reason

Machine shutdown

Report Analysis Logs

General

Target

Wall.bat
Size

4KB
MD5

5b0e787a10b96509bb38c60ed9dd530b
SHA1

a3c370eb91992fc091b780de3f996b3f1bedc46f
SHA256

b21f185108ba1b391c6149d6cc4ba1c5f127ce14c0bebd3e392c0b40ce189f32
SHA512

9f080fcbb8ed2ddaae3abcda2c2455edd7ea102dacb8e1375a08f12bdaf05633117dff6ff18bcd080892328704106b8aafdaf1b201d57cf5f5a8c5be5b12b1c2
SSDEEP

48:li/Xqm/7mZg2x3QEKrVRVRVjZ+0v6jfZI3zjjqMW1RCGPtvzNLV2uitw:lixjqprKG0vWfOjq111JV7p

Score

7^/10

ransomware

Malware Config

Signatures

Checks computer location settings 2 TTPs 1 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\International\Geo\Nation	cmd.exe

Drops startup file 3 IoCs

description	ioc	Process
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wall.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wall.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wall.bat	cmd.exe

Sets desktop wallpaper using registry 2 TTPs 14 IoCs

ransomware

Defacement

T1491

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Troll.png"	cmd.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Troll.png"	mode.com
Set value (str)	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Troll.png"	mode.com
Set value (str)	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Troll.png"	mode.com
Set value (str)	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Troll.png"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Troll.png"	mode.com
Set value (str)	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Troll.png"	WScript.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Troll.png"	mode.com
Set value (str)	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Troll.png"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Troll.png"	mode.com
Set value (str)	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Troll.png"	backgroundTaskHost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Troll.png"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Troll.png"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Troll.png"	Process not Found

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Delays execution with timeout.exe 1 IoCs

evasion

pid	Process
4332	timeout.exe

Kills process with taskkill 54 IoCs

evasion

pid	Process
1860	Process not Found
704	Process not Found
2404	taskkill.exe
2432	taskkill.exe
3264	Process not Found
1728	Process not Found
4728	taskkill.exe
2308	taskkill.exe
4740	taskkill.exe
4192	Process not Found
1692	Process not Found
4212	taskkill.exe
612	taskkill.exe
4728	taskkill.exe
3312	Process not Found
3792	taskkill.exe
4328	taskkill.exe
4608	taskkill.exe
4468	taskkill.exe
3756	taskkill.exe
4760	taskkill.exe
392	taskkill.exe
3604	taskkill.exe
440	taskkill.exe
3348	Process not Found
3600	Process not Found
3452	Process not Found
4364	taskkill.exe
3348	taskkill.exe
1400	Process not Found
2808	taskkill.exe
5076	taskkill.exe
4468	taskkill.exe
1312	Process not Found
4488	taskkill.exe
2908	taskkill.exe
3600	taskkill.exe
2904	Process not Found
796	taskkill.exe
4184	taskkill.exe
4808	taskkill.exe
2116	taskkill.exe
3264	taskkill.exe
1516	taskkill.exe
3312	taskkill.exe
4488	Process not Found
4356	taskkill.exe
4072	taskkill.exe
1344	taskkill.exe
1324	Process not Found
3588	taskkill.exe
2400	Process not Found
424	Process not Found
5076	taskkill.exe

Modifies Control Panel 3 IoCs

evasion

description	ioc	Process
Key created	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop	Process not Found
Key created	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000\Control Panel\Desktop	cmd.exe

Modifies registry class 1 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\S-1-5-21-1675742406-747946869-1029867430-1000_Classes\Local Settings	cmd.exe

Runs ping.exe 1 TTPs 3 IoCs

Remote System Discovery

T1018

pid	Process
3480	PING.EXE
1308	PING.EXE
1264	PING.EXE

Suspicious behavior: EnumeratesProcesses 2 IoCs

pid	Process
3448	powershell.exe
3448	powershell.exe

Suspicious use of AdjustPrivilegeToken 10 IoCs

description	pid	Process
Token: SeDebugPrivilege	3448	powershell.exe
Token: SeDebugPrivilege	2404	mode.com
Token: SeShutdownPrivilege	2380	Process not Found
Token: SeRemoteShutdownPrivilege	2380	Process not Found
Token: SeDebugPrivilege	1516	mode.com
Token: SeDebugPrivilege	2808	Conhost.exe
Token: SeShutdownPrivilege	3920	shutdown.exe
Token: SeRemoteShutdownPrivilege	3920	shutdown.exe
Token: SeDebugPrivilege	3312	Process not Found
Token: SeDebugPrivilege	796	Process not Found

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 5068 wrote to memory of 2116	5068	cmd.exe	84
PID 5068 wrote to memory of 2116	5068	cmd.exe	84
PID 2116 wrote to memory of 2788	2116	cmd.exe	86
PID 2116 wrote to memory of 2788	2116	cmd.exe	86
PID 2116 wrote to memory of 2676	2116	cmd.exe	88
PID 2116 wrote to memory of 2676	2116	cmd.exe	88
PID 2116 wrote to memory of 2692	2116	cmd.exe	90
PID 2116 wrote to memory of 2692	2116	cmd.exe	90
PID 2692 wrote to memory of 2188	2692	cmd.exe	92
PID 2692 wrote to memory of 2188	2692	cmd.exe	92
PID 2692 wrote to memory of 3448	2692	cmd.exe	94
PID 2692 wrote to memory of 3448	2692	cmd.exe	94
PID 2692 wrote to memory of 4332	2692	cmd.exe	96
PID 2692 wrote to memory of 4332	2692	cmd.exe	96
PID 2692 wrote to memory of 4740	2692	cmd.exe	1894
PID 2692 wrote to memory of 4740	2692	cmd.exe	1894
PID 2692 wrote to memory of 1568	2692	cmd.exe	99
PID 2692 wrote to memory of 1568	2692	cmd.exe	99
PID 2692 wrote to memory of 900	2692	cmd.exe	463
PID 2692 wrote to memory of 900	2692	cmd.exe	463
PID 2692 wrote to memory of 1140	2692	cmd.exe	873
PID 2692 wrote to memory of 1140	2692	cmd.exe	873
PID 2692 wrote to memory of 5092	2692	cmd.exe	624
PID 2692 wrote to memory of 5092	2692	cmd.exe	624
PID 2692 wrote to memory of 2984	2692	cmd.exe	307
PID 2692 wrote to memory of 2984	2692	cmd.exe	307
PID 2692 wrote to memory of 4784	2692	cmd.exe	169
PID 2692 wrote to memory of 4784	2692	cmd.exe	169
PID 2692 wrote to memory of 1016	2692	cmd.exe	311
PID 2692 wrote to memory of 1016	2692	cmd.exe	311
PID 2692 wrote to memory of 2184	2692	cmd.exe	1601
PID 2692 wrote to memory of 2184	2692	cmd.exe	1601
PID 2692 wrote to memory of 5108	2692	cmd.exe	1838
PID 2692 wrote to memory of 5108	2692	cmd.exe	1838
PID 2692 wrote to memory of 4868	2692	cmd.exe	321
PID 2692 wrote to memory of 4868	2692	cmd.exe	321
PID 2692 wrote to memory of 548	2692	cmd.exe	403
PID 2692 wrote to memory of 548	2692	cmd.exe	403
PID 2692 wrote to memory of 4180	2692	cmd.exe	1965
PID 2692 wrote to memory of 4180	2692	cmd.exe	1965
PID 2692 wrote to memory of 1740	2692	cmd.exe	1986
PID 2692 wrote to memory of 1740	2692	cmd.exe	1986
PID 2692 wrote to memory of 3480	2692	cmd.exe	957
PID 2692 wrote to memory of 3480	2692	cmd.exe	957
PID 2692 wrote to memory of 1308	2692	cmd.exe	1983
PID 2692 wrote to memory of 1308	2692	cmd.exe	1983
PID 2692 wrote to memory of 1264	2692	cmd.exe	1091
PID 2692 wrote to memory of 1264	2692	cmd.exe	1091
PID 2692 wrote to memory of 5056	2692	cmd.exe	1872
PID 2692 wrote to memory of 5056	2692	cmd.exe	1872
PID 2692 wrote to memory of 2404	2692	cmd.exe	918
PID 2692 wrote to memory of 2404	2692	cmd.exe	918
PID 2692 wrote to memory of 2528	2692	cmd.exe	117
PID 2692 wrote to memory of 2528	2692	cmd.exe	117
PID 2528 wrote to memory of 2380	2528	cmd.exe	1990
PID 2528 wrote to memory of 2380	2528	cmd.exe	1990
PID 2528 wrote to memory of 1960	2528	cmd.exe	121
PID 2528 wrote to memory of 1960	2528	cmd.exe	121
PID 2528 wrote to memory of 5104	2528	cmd.exe	123
PID 2528 wrote to memory of 5104	2528	cmd.exe	123
PID 2528 wrote to memory of 3688	2528	cmd.exe	125
PID 2528 wrote to memory of 3688	2528	cmd.exe	125
PID 1960 wrote to memory of 1516	1960	cmd.exe	1051
PID 1960 wrote to memory of 1516	1960	cmd.exe	1051

Views/modifies file attributes 1 TTPs 1 IoCs

evasion

Hidden Files and Directories

T1158

pid	Process
5056	attrib.exe

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\Wall.bat"
1⤵
- Suspicious use of WriteProcessMemory
PID:5068
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K Wall.bat
  2⤵
  - Drops startup file
  - Suspicious use of WriteProcessMemory
  PID:2116
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K C:\Users\Admin\Desktop\\Privacy.bat
    3⤵
    PID:2788
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K Privacy.bat
    3⤵
    PID:2676
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K C:\Users\Admin\Desktop\\Wall.bat
    3⤵
    - Checks computer location settings
    - Drops startup file
    - Modifies registry class
    - Suspicious use of WriteProcessMemory
    PID:2692
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K Privacy.bat
      4⤵
      PID:2188
  - - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      powershell curl https://upload.wikimedia.org/wikipedia/commons/thumb/4/48/Gay_Pride_Flag.svg/255px-Gay_Pride_Flag.svg.png -O Troll.png
      4⤵
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      PID:3448
  - - C:\Windows\system32\timeout.exe
      timeout 2 /NOBREAK
      4⤵
      Delays execution with timeout.exe
      PID:4332
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\Desktop\Wallpaper.vbs"
      4⤵
      PID:4740
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\Desktop\Wallpaper.vbs"
      4⤵
      Sets desktop wallpaper using registry
      Modifies Control Panel
      PID:1568
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\Desktop\Wallpaper.vbs"
      4⤵
      PID:900
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\Desktop\Wallpaper.vbs"
      4⤵
      PID:1140
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\Desktop\Wallpaper.vbs"
      4⤵
      PID:5092
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\Desktop\Wallpaper.vbs"
      4⤵
      PID:2984
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\Desktop\Wallpaper.vbs"
      4⤵
      PID:4784
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\Desktop\Wallpaper.vbs"
      4⤵
      PID:1016
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\Desktop\Wallpaper.vbs"
      4⤵
      PID:2184
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\Desktop\Wallpaper.vbs"
      4⤵
      PID:5108
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\Desktop\Wallpaper.vbs"
      4⤵
      PID:4868
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\Desktop\Wallpaper.vbs"
      4⤵
      PID:548
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\Desktop\Wallpaper.vbs"
      4⤵
      PID:4180
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\Desktop\Wallpaper.vbs"
      4⤵
      PID:1740
  - - C:\Windows\system32\PING.EXE
      ping 127.0.0.1 -n 1 -w 500
      4⤵
      Runs ping.exe
      PID:3480
  - - C:\Windows\system32\PING.EXE
      ping 127.0.0.1 -n 1 -w 500
      4⤵
      Runs ping.exe
      PID:1308
  - - C:\Windows\system32\PING.EXE
      ping 127.0.0.1 -n 1 -w 500
      4⤵
      Runs ping.exe
      PID:1264
  - - C:\Windows\system32\attrib.exe
      attrib +h Troll.png
      4⤵
      Views/modifies file attributes
      PID:5056
  - - C:\Windows\system32\taskkill.exe
      taskkill /f /im "windowtitle eq Privacy Shield"
      4⤵
      Kills process with taskkill
      PID:2404
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K Lol.bat /b
      4⤵
      Suspicious use of WriteProcessMemory
      PID:2528
    - - C:\Windows\system32\shutdown.exe
        
        shutdown /s /t 20 /c "YOUR COMPUTER HAS BEEN WRECKED! HAVE FUN GOING TO MR. DABBONDANZA!!!"
        5⤵
        
        PID:2380
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K move.bat
        5⤵
        Suspicious use of WriteProcessMemory
        
        PID:1960
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        6⤵
        Kills process with taskkill
        
        PID:1516
      - C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        6⤵
        
        PID:380
      - C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        6⤵
        
        PID:1472
      - C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        6⤵
        
        PID:2076
      - C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        6⤵
        
        PID:848
      - C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        6⤵
        
        PID:4332
      - C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        6⤵
        
        PID:4780
      - C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        6⤵
        
        PID:3796
      - C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        6⤵
        
        PID:4204
      - C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        6⤵
        
        PID:896
      - C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        6⤵
        
        PID:1564
      - C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        6⤵
        
        PID:2432
      - C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        6⤵
        
        PID:3668
      - C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        6⤵
        
        PID:1720
      - C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        6⤵
        
        PID:2340
      - C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        6⤵
        
        PID:4104
      - C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        6⤵
        
        PID:336
      - C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        6⤵
        
        PID:2016
      - C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        6⤵
        
        PID:4360
      - C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        6⤵
        
        PID:2716
      - C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        6⤵
        
        PID:1228
      - C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        6⤵
        
        PID:4760
      - C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        6⤵
        
        PID:2372
      - C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        6⤵
        
        PID:1472
      - C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        6⤵
        
        PID:1144
      - C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        6⤵
        
        PID:4332
      - C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        6⤵
        
        PID:704
      - C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        6⤵
        
        PID:4688
      - C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        6⤵
        
        PID:4120
      - C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        6⤵
        
        PID:4252
      - C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        6⤵
        
        PID:5016
      - C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        6⤵
        
        PID:2044
      - C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        6⤵
        
        PID:3112
      - C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        6⤵
        
        PID:2908
      - C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        6⤵
        
        PID:988
      - C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        6⤵
        
        PID:1976
      - C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        6⤵
        
        PID:2192
      - C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        6⤵
        
        PID:3448
      - C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        6⤵
        
        PID:2404
      - C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        6⤵
        
        PID:2412
      - C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        6⤵
        
        PID:2024
      - C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        6⤵
        
        PID:1888
      - C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        6⤵
        
        PID:1512
      - C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        6⤵
        
        PID:1868
      - C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        6⤵
        
        PID:4804
      - C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        6⤵
        
        PID:5060
      - C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        6⤵
        
        PID:3312
      - C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        6⤵
        
        PID:796
      - C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        6⤵
        
        PID:1344
      - C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        6⤵
        
        PID:4704
      - C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        6⤵
        
        PID:4756
      - C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        6⤵
        
        PID:3296
      - C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        6⤵
        
        PID:1192
      - C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        6⤵
        
        PID:844
      - C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        6⤵
        
        PID:3260
      - C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        6⤵
        
        PID:1072
      - C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        6⤵
        
        PID:4132
      - C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        6⤵
        
        PID:3476
      - C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        6⤵
        
        PID:1864
      - C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        6⤵
        
        PID:1548
      - C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        6⤵
        
        PID:3100
      - C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        6⤵
        
        PID:1228
      - C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        6⤵
        
        PID:4760
      - C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        6⤵
        
        PID:2408
      - C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        6⤵
        
        PID:3284
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        7⤵
        Suspicious use of AdjustPrivilegeToken
        
        PID:2808
      - C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        6⤵
        
        PID:3752
      - C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        6⤵
        
        PID:1144
      - C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        6⤵
        
        PID:2848
      - C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        6⤵
        
        PID:3512
      - C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        6⤵
        
        PID:1112
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K Move.bat
        6⤵
        Sets desktop wallpaper using registry
        Modifies Control Panel
        
        PID:548
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4364
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        7⤵
        
        PID:2576
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:3596
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:2080
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:3452
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:3820
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:3244
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:704
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:1400
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        7⤵
        
        PID:1796
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        7⤵
        
        PID:984
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        7⤵
        
        PID:3588
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        7⤵
        
        PID:4848
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        7⤵
        
        PID:3088
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        7⤵
        
        PID:4060
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        7⤵
        
        PID:2200
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        7⤵
        
        PID:3456
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        7⤵
        
        PID:4576
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        7⤵
        
        PID:4332
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        7⤵
        
        PID:704
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        7⤵
        
        PID:2496
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        7⤵
        
        PID:4520
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        7⤵
        
        PID:4772
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        7⤵
        
        PID:4412
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        7⤵
        
        PID:1796
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        7⤵
        
        PID:5056
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        7⤵
        
        PID:2012
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        7⤵
        
        PID:1516
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        7⤵
        
        PID:3572
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        7⤵
        
        PID:3312
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        7⤵
        
        PID:4388
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        7⤵
        
        PID:3936
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        7⤵
        
        PID:744
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        7⤵
        
        PID:748
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        7⤵
        
        PID:448
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        7⤵
        
        PID:1512
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        7⤵
        
        PID:3344
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        7⤵
        
        PID:1324
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        7⤵
        
        PID:4664
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        7⤵
        
        PID:4716
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        7⤵
        
        PID:4984
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        7⤵
        
        PID:4880
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        7⤵
        
        PID:3632
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        7⤵
        
        PID:1464
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        7⤵
        
        PID:3776
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        7⤵
        
        PID:4384
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        7⤵
        
        PID:2576
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        7⤵
        
        PID:2120
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        7⤵
        
        PID:3308
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        7⤵
        
        PID:1876
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        7⤵
        
        PID:3272
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        7⤵
        
        PID:5012
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        7⤵
        
        PID:3936
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        7⤵
        
        PID:1976
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        7⤵
        
        PID:396
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        7⤵
        
        PID:3008
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        7⤵
        
        PID:2392
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        7⤵
        
        PID:4260
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        7⤵
        
        PID:3360
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        7⤵
        
        PID:1560
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        7⤵
        
        PID:1112
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        7⤵
        
        PID:4328
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        7⤵
        
        PID:4072
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:440
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:4488
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:3200
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:3908
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:5012
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:3264
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:1004
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K Move.bat
        7⤵
        
        PID:3360
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        8⤵
        Kills process with taskkill
        
        PID:3264
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        8⤵
        
        PID:4196
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        8⤵
        
        PID:3632
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        8⤵
        
        PID:3204
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        8⤵
        
        PID:4488
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4740
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        7⤵
        
        PID:1944
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:1972
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:4104
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:3452
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:2100
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        6⤵
        Kills process with taskkill
        
        PID:4072
      - C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        6⤵
        
        PID:440
      - C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        6⤵
        
        PID:4924
      - C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        6⤵
        
        PID:3344
      - C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        6⤵
        
        PID:2408
      - C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        6⤵
        
        PID:3912
      - C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        6⤵
        
        PID:4120
      - C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        6⤵
        
        PID:2812
      - C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        6⤵
        
        PID:3264
      - C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        6⤵
        
        PID:1256
      - C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        6⤵
        
        PID:2708
      - C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        6⤵
        
        PID:440
      - C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        6⤵
        
        PID:1860
      - C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        6⤵
        
        PID:3532
      - C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        6⤵
        
        PID:4932
      - C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        6⤵
        
        PID:3320
      - C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        6⤵
        
        PID:388
      - C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        6⤵
        
        PID:4808
      - C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        6⤵
        
        PID:1872
      - C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        6⤵
        
        PID:1072
      - C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        6⤵
        
        PID:2176
      - C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        6⤵
        
        PID:2016
      - C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        6⤵
        
        PID:1548
      - C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        6⤵
        
        PID:2100
      - C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        6⤵
        
        PID:3308
      - C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        6⤵
        
        PID:3280
      - C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        6⤵
        
        PID:4328
      - C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        6⤵
        
        PID:4880
      - C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        6⤵
        
        PID:1644
      - C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        6⤵
        
        PID:420
      - C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        6⤵
        
        PID:4912
      - C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        6⤵
        
        PID:1540
      - C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        6⤵
        
        PID:3588
      - C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        6⤵
        
        PID:4660
      - C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        6⤵
        
        PID:1384
      - C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        6⤵
        
        PID:1888
      - C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        6⤵
        
        PID:4348
      - C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        6⤵
        
        PID:3784
      - C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        6⤵
        
        PID:5100
      - C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        6⤵
        
        PID:1972
      - C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        6⤵
        
        PID:1656
      - C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        6⤵
        
        PID:2604
      - C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        6⤵
        
        PID:2380
      - C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        6⤵
        
        PID:1804
      - C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        6⤵
        
        PID:3328
      - C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        6⤵
        
        PID:4012
      - C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        6⤵
        
        PID:1184
      - C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        6⤵
        
        PID:1732
      - C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        6⤵
        
        PID:5040
      - C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        6⤵
        
        PID:3912
      - C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        6⤵
        
        PID:1192
      - C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        6⤵
        
        PID:1004
      - C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        6⤵
        
        PID:4292
      - C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        6⤵
        
        PID:1944
      - C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        6⤵
        
        PID:3756
      - C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        6⤵
        
        PID:3908
      - C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        6⤵
        
        PID:4728
      - C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        6⤵
        
        PID:3512
      - C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        6⤵
        
        PID:4448
      - C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        6⤵
        
        PID:2468
      - C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        6⤵
        
        PID:3036
      - C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        6⤵
        
        PID:4200
      - C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        6⤵
        
        PID:5028
      - C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        6⤵
        
        PID:2080
      - C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        6⤵
        
        PID:1868
      - C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        6⤵
        
        PID:4576
      - C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        6⤵
        
        PID:3832
      - C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        6⤵
        
        PID:4556
      - C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        6⤵
        
        PID:2708
      - C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        6⤵
        
        PID:4848
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        6⤵
        Kills process with taskkill
        
        PID:5076
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K Move.bat
        6⤵
        
        PID:4672
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4356
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        7⤵
        
        PID:1384
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:5024
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:972
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:2220
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:2468
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:4012
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:1692
      - C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        6⤵
        
        PID:1540
      - C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        6⤵
        
        PID:1152
      - C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        6⤵
        
        PID:440
      - C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        6⤵
        
        PID:376
      - C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        6⤵
        
        PID:1868
      - C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        6⤵
        
        PID:4248
      - C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        6⤵
        
        PID:2400
      - C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        6⤵
        
        PID:3936
      - C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        6⤵
        
        PID:4304
      - C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        6⤵
        
        PID:2604
      - C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        6⤵
        
        PID:1364
      - C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        6⤵
        
        PID:3792
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K move.bat
        5⤵
        
        PID:5104
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        6⤵
        Kills process with taskkill
        
        PID:2808
      - C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        6⤵
        
        PID:4248
      - C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        6⤵
        
        PID:5044
      - C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        6⤵
        
        PID:3244
      - C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        6⤵
        
        PID:1336
      - C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        6⤵
        
        PID:1676
      - C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        6⤵
        
        PID:4764
      - C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        6⤵
        
        PID:4296
      - C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        6⤵
        
        PID:872
      - C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        6⤵
        
        PID:4608
      - C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        6⤵
        
        PID:5092
      - C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        6⤵
        
        PID:4984
      - C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        6⤵
        
        PID:3112
      - C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        6⤵
        
        PID:5116
      - C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        6⤵
        Sets desktop wallpaper using registry
        
        PID:4784
      - C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        6⤵
        
        PID:4868
      - C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        6⤵
        
        PID:844
      - C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        6⤵
        
        PID:5064
      - C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        6⤵
        
        PID:4228
      - C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        6⤵
        
        PID:1516
      - C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        6⤵
        
        PID:4584
      - C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        6⤵
        
        PID:2808
      - C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        6⤵
        
        PID:4444
      - C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        6⤵
        
        PID:4000
      - C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        6⤵
        
        PID:1432
      - C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        6⤵
        
        PID:384
      - C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        6⤵
        
        PID:1412
      - C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        6⤵
        
        PID:1556
      - C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        6⤵
        
        PID:5012
      - C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        6⤵
        
        PID:2432
      - C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        6⤵
        
        PID:1192
      - C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        6⤵
        
        PID:1740
      - C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        6⤵
        
        PID:2288
      - C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        6⤵
        
        PID:2100
      - C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        6⤵
        
        PID:1264
      - C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        6⤵
        
        PID:440
      - C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        6⤵
        
        PID:2176
      - C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        6⤵
        
        PID:3792
      - C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        6⤵
        
        PID:3932
      - C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        6⤵
        
        PID:2904
      - C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        6⤵
        
        PID:376
      - C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        6⤵
        
        PID:4196
      - C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        6⤵
        
        PID:4664
      - C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        6⤵
        
        PID:2372
      - C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        6⤵
        
        PID:4000
      - C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        6⤵
        
        PID:4764
      - C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        6⤵
        
        PID:4112
      - C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        6⤵
        
        PID:388
      - C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        6⤵
        
        PID:1556
      - C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        6⤵
        
        PID:5012
      - C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        6⤵
        
        PID:1780
      - C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        6⤵
        Sets desktop wallpaper using registry
        
        PID:4868
      - C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        6⤵
        
        PID:1972
      - C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        6⤵
        
        PID:1004
      - C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        6⤵
        
        PID:2340
      - C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        6⤵
        
        PID:2216
      - C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        6⤵
        
        PID:2016
      - C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        6⤵
        
        PID:3932
      - C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        6⤵
        
        PID:1848
      - C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        6⤵
        
        PID:5076
      - C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        6⤵
        
        PID:4584
      - C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        6⤵
        
        PID:1116
      - C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        6⤵
        
        PID:3328
      - C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        6⤵
        
        PID:3240
      - C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        6⤵
        
        PID:4048
      - C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        6⤵
        
        PID:2076
      - C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        6⤵
        
        PID:1748
      - C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        6⤵
        
        PID:1604
      - C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        6⤵
        
        PID:704
      - C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        6⤵
        
        PID:384
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K Move.bat
        6⤵
        
        PID:2524
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        7⤵
        
        PID:1412
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:2908
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        7⤵
        
        PID:3164
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:3036
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:1888
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:2200
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:3556
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:3236
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:1604
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:4296
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        7⤵
        
        PID:388
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        7⤵
        
        PID:1112
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        7⤵
        
        PID:2044
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        7⤵
        
        PID:3776
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        7⤵
        
        PID:1520
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        7⤵
        
        PID:2340
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        7⤵
        
        PID:3036
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        7⤵
        
        PID:180
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        7⤵
        
        PID:664
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        7⤵
        
        PID:1228
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        7⤵
        
        PID:3752
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        7⤵
        
        PID:4268
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        7⤵
        
        PID:420
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        7⤵
        
        PID:1740
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        7⤵
        
        PID:3164
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        7⤵
        
        PID:2232
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        7⤵
        
        PID:3204
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        7⤵
        
        PID:4488
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        7⤵
        
        PID:2120
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        7⤵
        
        PID:3328
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        7⤵
        
        PID:2080
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        7⤵
        
        PID:3224
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        7⤵
        
        PID:4576
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        7⤵
        
        PID:1556
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        7⤵
        
        PID:3780
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        7⤵
        
        PID:2432
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        7⤵
        
        PID:4600
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        7⤵
        
        PID:4840
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        7⤵
        
        PID:3596
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        7⤵
        
        PID:376
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        7⤵
        
        PID:4048
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        7⤵
        
        PID:3244
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        7⤵
        
        PID:796
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        7⤵
        
        PID:4252
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        7⤵
        
        PID:2400
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        7⤵
        
        PID:4496
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        7⤵
        
        PID:2708
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        7⤵
        
        PID:4104
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        7⤵
        
        PID:2904
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        7⤵
        
        PID:4200
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        7⤵
        
        PID:3504
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        7⤵
        
        PID:3456
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        7⤵
        
        PID:3244
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        7⤵
        
        PID:796
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        7⤵
        
        PID:1644
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        7⤵
        
        PID:3604
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        7⤵
        
        PID:1740
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        7⤵
        
        PID:1256
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        7⤵
        
        PID:1312
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        7⤵
        
        PID:2116
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        7⤵
        
        PID:3600
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        7⤵
        
        PID:1748
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        7⤵
        
        PID:3784
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        7⤵
        
        PID:1644
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:4556
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:744
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:2340
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:1384
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:748
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:2904
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        Suspicious use of AdjustPrivilegeToken
        
        PID:2404
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K Move.bat
        7⤵
        
        PID:4780
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        8⤵
        
        PID:4664
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        8⤵
        Kills process with taskkill
        
        PID:612
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        8⤵
        
        PID:3792
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        8⤵
        
        PID:2100
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        8⤵
        
        PID:4120
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        8⤵
        
        PID:4304
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        8⤵
        
        PID:1256
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        8⤵
        
        PID:2212
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        8⤵
        
        PID:2432
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        8⤵
        
        PID:1848
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        8⤵
        
        PID:3816
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        8⤵
        
        PID:796
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        8⤵
        
        PID:1796
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        8⤵
        
        PID:1860
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        8⤵
        
        PID:2496
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        8⤵
        
        PID:4084
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4468
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        7⤵
        
        PID:2340
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:1308
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:3328
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:4184
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:3316
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:3912
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:2708
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        7⤵
        
        PID:1716
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:3112
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        7⤵
        
        PID:1324
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        7⤵
        
        PID:3496
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        7⤵
        
        PID:2812
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        7⤵
        
        PID:4292
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        7⤵
        
        PID:1512
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        7⤵
        
        PID:4388
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        6⤵
        Kills process with taskkill
        
        PID:392
      - C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        6⤵
        
        PID:5096
      - C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        6⤵
        
        PID:3764
      - C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        6⤵
        
        PID:2716
      - C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        6⤵
        
        PID:2392
      - C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        6⤵
        
        PID:3756
      - C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        6⤵
        
        PID:664
      - C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        6⤵
        
        PID:1368
      - C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        6⤵
        
        PID:3500
      - C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        6⤵
        
        PID:8
      - C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        6⤵
        
        PID:2816
      - C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        6⤵
        
        PID:872
      - C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        6⤵
        
        PID:3512
      - C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        6⤵
        
        PID:4592
      - C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        6⤵
        
        PID:1540
      - C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        6⤵
        
        PID:4304
      - C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        6⤵
        
        PID:1592
      - C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        6⤵
        
        PID:4104
      - C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        6⤵
        
        PID:1804
      - C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        6⤵
        
        PID:3872
      - C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        6⤵
        
        PID:5060
      - C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        6⤵
        
        PID:4420
      - C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        6⤵
        
        PID:2816
      - C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        6⤵
        
        PID:3912
      - C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        6⤵
        
        PID:4704
      - C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        6⤵
        
        PID:5024
      - C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        6⤵
        
        PID:396
      - C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        6⤵
        
        PID:1308
      - C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        6⤵
        
        PID:3800
      - C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        6⤵
        
        PID:4200
      - C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        6⤵
        
        PID:2144
      - C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        6⤵
        
        PID:3300
      - C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        6⤵
        
        PID:2028
      - C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        6⤵
        
        PID:1432
      - C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        6⤵
        
        PID:4664
      - C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        6⤵
        
        PID:4808
      - C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        6⤵
        
        PID:3496
      - C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        6⤵
        
        PID:4364
      - C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        6⤵
        
        PID:4804
      - C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        6⤵
        
        PID:1804
      - C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        6⤵
        
        PID:3456
      - C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        6⤵
        
        PID:1676
      - C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        6⤵
        
        PID:2564
      - C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        6⤵
        
        PID:388
      - C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        6⤵
        
        PID:4592
      - C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        6⤵
        
        PID:60
      - C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        6⤵
        
        PID:4600
      - C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        6⤵
        
        PID:1536
      - C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        6⤵
        
        PID:4840
      - C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        6⤵
        
        PID:3392
      - C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        6⤵
        
        PID:3100
      - C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        6⤵
        
        PID:380
      - C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        6⤵
        
        PID:3744
      - C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        6⤵
        
        PID:2980
      - C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        6⤵
        
        PID:3796
      - C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        6⤵
        
        PID:1972
      - C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        6⤵
        
        PID:2708
      - C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        6⤵
        
        PID:4600
      - C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        6⤵
        
        PID:4068
      - C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        6⤵
        
        PID:1424
      - C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        6⤵
        
        PID:1848
      - C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        6⤵
        
        PID:2404
      - C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        6⤵
        
        PID:8
      - C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        6⤵
        
        PID:1732
      - C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        6⤵
        
        PID:1556
      - C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        6⤵
        
        PID:5024
      - C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        6⤵
        
        PID:1540
      - C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        6⤵
        
        PID:336
      - C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        6⤵
        
        PID:3476
      - C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        6⤵
        
        PID:3764
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K Move.bat
        6⤵
        
        PID:3572
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4608
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        7⤵
        
        PID:1716
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:1868
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:896
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:1976
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:4412
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:3860
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:448
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:2120
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        7⤵
        
        PID:1676
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        7⤵
        
        PID:2564
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        7⤵
        
        PID:3088
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        7⤵
        
        PID:440
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        7⤵
        
        PID:2408
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        6⤵
        Kills process with taskkill
        
        PID:3600
      - C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        6⤵
        
        PID:1872
      - C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        6⤵
        
        PID:1312
      - C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        6⤵
        
        PID:1848
      - C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        6⤵
        
        PID:1324
      - C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        6⤵
        
        PID:1516
      - C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        6⤵
        
        PID:4212
      - C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        6⤵
        
        PID:4520
      - C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        6⤵
        
        PID:4072
      - C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        6⤵
        
        PID:2380
      - C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        6⤵
        
        PID:4268
      - C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        6⤵
        
        PID:3204
      - C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        6⤵
        
        PID:1548
      - C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        6⤵
        
        PID:704
      - C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        6⤵
        
        PID:1184
      - C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        6⤵
        
        PID:4452
      - C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        6⤵
        
        PID:3324
      - C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        6⤵
        
        PID:892
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K C:\Users\Admin\Desktop\\Lol.bat
        5⤵
        
        PID:3688
      - C:\Windows\system32\shutdown.exe
        
        shutdown /s /t 20 /c "YOUR COMPUTER HAS BEEN WRECKED! HAVE FUN GOING TO MR. DABBONDANZA!!!"
        6⤵
        Suspicious use of AdjustPrivilegeToken
        
        PID:3920
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K move.bat
        6⤵
        
        PID:4512
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:3312
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        7⤵
        
        PID:1344
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:1112
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:4520
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:5108
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:2044
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:2708
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:3480
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:5056
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        7⤵
        
        PID:3532
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        7⤵
        
        PID:4924
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        7⤵
        
        PID:2200
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        7⤵
        
        PID:3596
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        7⤵
        
        PID:4664
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        7⤵
        
        PID:4256
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        7⤵
        
        PID:528
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        7⤵
        
        PID:3244
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        7⤵
        
        PID:2332
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        7⤵
        
        PID:1344
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        7⤵
        
        PID:4720
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        7⤵
        
        PID:3316
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        7⤵
        
        PID:1400
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        7⤵
        
        PID:4884
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        7⤵
        
        PID:4496
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        7⤵
        
        PID:424
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        7⤵
        
        PID:2212
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        7⤵
        
        PID:4292
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        7⤵
        
        PID:1860
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        7⤵
        
        PID:1944
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        7⤵
        
        PID:3484
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        7⤵
        
        PID:4924
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        7⤵
        
        PID:2120
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        7⤵
        
        PID:380
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        7⤵
        
        PID:3428
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        7⤵
        
        PID:5040
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        7⤵
        
        PID:3228
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        7⤵
        
        PID:4780
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        7⤵
        
        PID:4716
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        7⤵
        
        PID:3152
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        7⤵
        
        PID:5016
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        7⤵
        Sets desktop wallpaper using registry
        
        PID:1016
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        7⤵
        
        PID:5024
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        7⤵
        
        PID:744
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        7⤵
        
        PID:1872
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        7⤵
        
        PID:2072
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        7⤵
        
        PID:1720
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        7⤵
        
        PID:4104
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        7⤵
        
        PID:2404
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        7⤵
        
        PID:4060
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        7⤵
        
        PID:5028
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        7⤵
        
        PID:3344
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        7⤵
        
        PID:2780
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        7⤵
        
        PID:3280
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        7⤵
        
        PID:3492
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        7⤵
        
        PID:3188
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        7⤵
        
        PID:2496
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        7⤵
        
        PID:3780
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        7⤵
        
        PID:1876
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        7⤵
        
        PID:1432
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        7⤵
        
        PID:4716
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        7⤵
        
        PID:3632
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        7⤵
        
        PID:2400
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        7⤵
        
        PID:3668
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:1780
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:972
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:1520
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:4068
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:4848
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:1384
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:4360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K Move.bat
        7⤵
        
        PID:2324
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        8⤵
        
        PID:1116
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        8⤵
        Kills process with taskkill
        
        PID:4328
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        8⤵
        
        PID:4772
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        8⤵
        
        PID:5056
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        8⤵
        
        PID:2412
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        8⤵
        
        PID:4256
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        8⤵
        
        PID:2028
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        8⤵
        
        PID:3312
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        8⤵
        
        PID:384
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        8⤵
        
        PID:2400
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        8⤵
        
        PID:4632
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        8⤵
        
        PID:3476
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        8⤵
        
        PID:2576
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        8⤵
        
        PID:4360
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        8⤵
        
        PID:4256
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        8⤵
        
        PID:2816
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        8⤵
        
        PID:5004
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        8⤵
        
        PID:4556
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        8⤵
        
        PID:4452
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        8⤵
        
        PID:4132
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        8⤵
        
        PID:4228
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        8⤵
        
        PID:3100
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        8⤵
        
        PID:892
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        8⤵
        
        PID:3452
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        8⤵
        
        PID:3752
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        8⤵
        
        PID:3236
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        8⤵
        
        PID:4740
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        8⤵
        
        PID:4884
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        8⤵
        
        PID:1020
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        8⤵
        
        PID:3260
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        8⤵
        
        PID:1864
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        8⤵
        
        PID:1516
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        8⤵
        
        PID:3344
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        8⤵
        
        PID:3748
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        8⤵
        
        PID:4780
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        8⤵
        
        PID:4204
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        8⤵
        
        PID:3860
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        8⤵
        
        PID:4104
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        8⤵
        
        PID:5028
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        8⤵
        
        PID:3572
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        8⤵
        
        PID:5060
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        8⤵
        
        PID:1676
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        8⤵
        
        PID:2980
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        8⤵
        Sets desktop wallpaper using registry
        
        PID:1140
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        8⤵
        
        PID:3632
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        8⤵
        
        PID:3480
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        8⤵
        
        PID:2024
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        8⤵
        
        PID:1860
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        8⤵
        
        PID:1132
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        8⤵
        
        PID:3776
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        8⤵
        
        PID:3596
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        8⤵
        
        PID:4048
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        8⤵
        
        PID:4716
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        8⤵
        
        PID:1644
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        8⤵
        
        PID:1972
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        8⤵
        
        PID:5116
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        8⤵
        
        PID:4364
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        8⤵
        
        PID:4060
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        8⤵
        
        PID:4360
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        8⤵
        
        PID:4084
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        8⤵
        
        PID:8
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        8⤵
        
        PID:3588
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        8⤵
        
        PID:2468
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        8⤵
        
        PID:4084
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        8⤵
        
        PID:3316
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        8⤵
        
        PID:1564
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        8⤵
        
        PID:4884
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        8⤵
        
        PID:748
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        8⤵
        
        PID:4228
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        8⤵
        
        PID:5076
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        8⤵
        
        PID:4196
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4760
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        7⤵
        
        PID:4688
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:1140
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:1020
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:4912
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:4364
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:1312
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:3204
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:2404
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        7⤵
        
        PID:380
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        7⤵
        
        PID:3224
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        7⤵
        
        PID:2872
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        7⤵
        
        PID:3632
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        7⤵
        
        PID:1972
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        7⤵
        
        PID:5064
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        7⤵
        
        PID:3764
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        7⤵
        
        PID:2404
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        7⤵
        
        PID:3452
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        7⤵
        
        PID:3820
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        7⤵
        
        PID:1676
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        7⤵
        
        PID:796
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        7⤵
        
        PID:2184
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        7⤵
        
        PID:1140
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        7⤵
        
        PID:396
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        7⤵
        
        PID:2468
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        7⤵
        
        PID:5048
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        7⤵
        
        PID:1980
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        7⤵
        
        PID:3800
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        7⤵
        
        PID:2076
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        7⤵
        
        PID:3272
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        7⤵
        
        PID:2816
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        7⤵
        
        PID:4268
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        7⤵
        
        PID:2044
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        7⤵
        
        PID:4768
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        7⤵
        
        PID:5116
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        7⤵
        
        PID:2216
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        7⤵
        
        PID:1324
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        7⤵
        
        PID:2100
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        7⤵
        
        PID:1472
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        7⤵
        
        PID:3236
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        7⤵
        
        PID:896
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        7⤵
        
        PID:5016
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        7⤵
        
        PID:3112
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        7⤵
        
        PID:5024
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        7⤵
        
        PID:3668
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        7⤵
        
        PID:4884
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        7⤵
        
        PID:4496
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        7⤵
        
        PID:4412
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        7⤵
        
        PID:2232
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        7⤵
        
        PID:1804
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        7⤵
        
        PID:2780
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        7⤵
        
        PID:4256
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        7⤵
        
        PID:3320
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        7⤵
        
        PID:3244
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        7⤵
        
        PID:384
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        7⤵
        
        PID:1592
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        7⤵
        
        PID:420
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        7⤵
        
        PID:4412
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        7⤵
        
        PID:3260
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        7⤵
        
        PID:3204
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        7⤵
        
        PID:3532
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        7⤵
        
        PID:2120
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        7⤵
        
        PID:1980
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:3280
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:3780
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:4884
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:3480
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:4412
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:1512
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:448
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:2116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K Move.bat
        7⤵
        
        PID:3800
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        8⤵
        Kills process with taskkill
        
        PID:4728
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        8⤵
        
        PID:1520
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        8⤵
        
        PID:1728
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        8⤵
        Suspicious use of AdjustPrivilegeToken
        
        PID:1516
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        8⤵
        
        PID:2080
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        8⤵
        
        PID:4764
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        8⤵
        
        PID:3776
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        8⤵
        
        PID:3264
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        8⤵
        
        PID:2116
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        8⤵
        
        PID:5012
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        8⤵
        
        PID:2120
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        7⤵
        
        PID:2812
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:1424
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:3136
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:4732
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:3512
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:1264
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:1944
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:3872
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K move.bat
        6⤵
        
        PID:4820
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:796
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        7⤵
        
        PID:2524
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:4072
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:2520
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:4848
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:1312
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:2468
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:1512
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:180
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        7⤵
        
        PID:376
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        7⤵
        
        PID:1324
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        7⤵
        
        PID:2324
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        7⤵
        
        PID:2028
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        7⤵
        
        PID:1732
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        7⤵
        
        PID:2848
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        7⤵
        
        PID:4728
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        7⤵
        
        PID:392
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        7⤵
        
        PID:5092
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        7⤵
        
        PID:4880
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        7⤵
        
        PID:1780
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        7⤵
        
        PID:4868
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        7⤵
        
        PID:844
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        7⤵
        
        PID:2128
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        7⤵
        
        PID:1720
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        7⤵
        
        PID:1072
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        7⤵
        
        PID:748
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        7⤵
        
        PID:2012
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        7⤵
        
        PID:4360
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        7⤵
        
        PID:1368
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        7⤵
        
        PID:1116
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        7⤵
        
        PID:2808
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        7⤵
        
        PID:1604
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        7⤵
        
        PID:1432
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        7⤵
        
        PID:4688
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        7⤵
        
        PID:4720
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        7⤵
        Sets desktop wallpaper using registry
        
        PID:2984
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        7⤵
        
        PID:1644
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        7⤵
        
        PID:2184
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        7⤵
        
        PID:5116
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        7⤵
        
        PID:4952
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        7⤵
        
        PID:1520
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        7⤵
        
        PID:1792
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        7⤵
        
        PID:4840
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        7⤵
        
        PID:4292
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        7⤵
        
        PID:4660
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        7⤵
        
        PID:2116
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        7⤵
        
        PID:2392
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        7⤵
        
        PID:1868
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        7⤵
        
        PID:3396
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        7⤵
        
        PID:4260
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        7⤵
        
        PID:3428
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        7⤵
        
        PID:3772
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        7⤵
        
        PID:2872
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        7⤵
        
        PID:612
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        7⤵
        
        PID:900
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        7⤵
        
        PID:4728
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        7⤵
        
        PID:4772
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        7⤵
        
        PID:4712
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        7⤵
        
        PID:3936
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        7⤵
        
        PID:1540
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        7⤵
        
        PID:1740
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        7⤵
        
        PID:2288
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        7⤵
        
        PID:3480
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:1716
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:1312
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:3008
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:4488
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:2144
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:3572
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:3308
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4184
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K Move.bat
        7⤵
        
        PID:3284
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        8⤵
        Kills process with taskkill
        
        PID:4212
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        8⤵
        
        PID:2148
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        8⤵
        
        PID:376
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        8⤵
        
        PID:2080
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        8⤵
        
        PID:3756
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        8⤵
        
        PID:2076
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        8⤵
        
        PID:4664
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        8⤵
        
        PID:872
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        8⤵
        
        PID:4764
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        8⤵
        
        PID:3832
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        8⤵
        
        PID:4452
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        8⤵
        
        PID:984
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        8⤵
        
        PID:4840
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        8⤵
        
        PID:4228
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        8⤵
        
        PID:5028
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        8⤵
        
        PID:3504
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        8⤵
        
        PID:2372
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        8⤵
        
        PID:4252
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        8⤵
        
        PID:3272
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        8⤵
        
        PID:4712
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        8⤵
        
        PID:1872
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        8⤵
        
        PID:984
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        8⤵
        
        PID:3008
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        8⤵
        
        PID:4292
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        8⤵
        
        PID:4488
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        8⤵
        
        PID:3888
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        8⤵
        
        PID:3324
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        8⤵
        
        PID:4760
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        8⤵
        
        PID:2872
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        8⤵
        
        PID:1644
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        8⤵
        
        PID:4712
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        8⤵
        
        PID:3168
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        8⤵
        
        PID:4848
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        8⤵
        
        PID:1720
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        8⤵
        
        PID:5028
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        8⤵
        
        PID:4804
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        8⤵
        
        PID:3816
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        8⤵
        
        PID:4120
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        8⤵
        
        PID:420
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        8⤵
        
        PID:5116
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        8⤵
        
        PID:448
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        8⤵
        
        PID:4060
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        8⤵
        
        PID:1368
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        8⤵
        
        PID:3888
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        8⤵
        
        PID:3504
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        8⤵
        
        PID:4760
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        8⤵
        
        PID:5040
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        8⤵
        
        PID:1916
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        8⤵
        
        PID:1780
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        8⤵
        
        PID:3860
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        8⤵
        
        PID:4292
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        8⤵
        
        PID:448
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        8⤵
        
        PID:1804
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        8⤵
        
        PID:3756
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        8⤵
        
        PID:3748
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        8⤵
        
        PID:5016
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        8⤵
        
        PID:2044
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        8⤵
        
        PID:2908
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        8⤵
        
        PID:4600
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        8⤵
        
        PID:1364
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        8⤵
        
        PID:2520
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        8⤵
        
        PID:1020
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        8⤵
        
        PID:1804
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        8⤵
        
        PID:4716
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        8⤵
        
        PID:3776
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        8⤵
        
        PID:1464
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        8⤵
        
        PID:984
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        8⤵
        
        PID:1020
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        8⤵
        
        PID:4420
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        8⤵
        
        PID:4204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K Move.bat
        8⤵
        
        PID:896
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        9⤵
        Kills process with taskkill
        
        PID:2308
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        8⤵
        Kills process with taskkill
        
        PID:3604
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        8⤵
        
        PID:2340
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        7⤵
        
        PID:5004
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:1364
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:3600
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:3188
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:3780
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:3784
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:792
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:1192
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        7⤵
        
        PID:3480
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        7⤵
        
        PID:1608
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        7⤵
        
        PID:2216
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        7⤵
        
        PID:5048
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        7⤵
        
        PID:4584
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        7⤵
        
        PID:3360
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        7⤵
        
        PID:5040
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        7⤵
        Sets desktop wallpaper using registry
        
        PID:5092
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        7⤵
        
        PID:2496
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        7⤵
        
        PID:1976
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        7⤵
        
        PID:4632
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        7⤵
        
        PID:2340
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        7⤵
        
        PID:2380
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        7⤵
        
        PID:5076
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        7⤵
        
        PID:1228
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        7⤵
        
        PID:3300
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        7⤵
        
        PID:3188
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        7⤵
        
        PID:2496
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        7⤵
        
        PID:2848
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        7⤵
        
        PID:1400
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        7⤵
        
        PID:5024
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        7⤵
        
        PID:1872
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        7⤵
        
        PID:3448
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        7⤵
        
        PID:2148
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        7⤵
        
        PID:3036
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        7⤵
        
        PID:4672
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        8⤵
        
        PID:2392
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        7⤵
        
        PID:2080
        
        C:\Windows\system32\mode.com
        
        mode con: cols=100 lines=10
        7⤵
        
        PID:1752
        
        C:\Windows\system32\mode.com
        
        mode con: cols=97 lines=10
        7⤵
        
        PID:1344
        
        C:\Windows\system32\mode.com
        
        mode con: cols=94 lines=10
        7⤵
        
        PID:792
        
        C:\Windows\system32\mode.com
        
        mode con: cols=91 lines=10
        7⤵
        
        PID:3316
        
        C:\Windows\system32\mode.com
        
        mode con: cols=88 lines=10
        7⤵
        
        PID:3264
        
        C:\Windows\system32\mode.com
        
        mode con: cols=85 lines=10
        7⤵
        
        PID:1020
        
        C:\Windows\system32\mode.com
        
        mode con: cols=82 lines=10
        7⤵
        
        PID:4132
        
        C:\Windows\system32\mode.com
        
        mode con: cols=79 lines=10
        7⤵
        
        PID:3764
        
        C:\Windows\system32\mode.com
        
        mode con: cols=76 lines=10
        7⤵
        
        PID:4488
        
        C:\Windows\system32\mode.com
        
        mode con: cols=73 lines=10
        7⤵
        
        PID:4928
        
        C:\Windows\system32\mode.com
        
        mode con: cols=70 lines=10
        7⤵
        
        PID:3496
        
        C:\Windows\system32\mode.com
        
        mode con: cols=67 lines=10
        7⤵
        
        PID:3780
        
        C:\Windows\system32\mode.com
        
        mode con: cols=64 lines=10
        7⤵
        
        PID:4764
        
        C:\Windows\system32\mode.com
        
        mode con: cols=61 lines=10
        7⤵
        
        PID:1792
        
        C:\Windows\system32\mode.com
        
        mode con: cols=58 lines=10
        7⤵
        
        PID:4848
        
        C:\Windows\system32\mode.com
        
        mode con: cols=55 lines=10
        7⤵
        
        PID:2520
        
        C:\Windows\system32\mode.com
        
        mode con: cols=52 lines=10
        7⤵
        
        PID:4196
        
        C:\Windows\system32\mode.com
        
        mode con: cols=49 lines=10
        7⤵
        
        PID:3800
        
        C:\Windows\system32\mode.com
        
        mode con: cols=46 lines=10
        7⤵
        
        PID:4584
        
        C:\Windows\system32\mode.com
        
        mode con: cols=43 lines=10
        7⤵
        
        PID:4420
        
        C:\Windows\system32\mode.com
        
        mode con: cols=40 lines=10
        7⤵
        
        PID:3308
        
        C:\Windows\system32\mode.com
        
        mode con: cols=37 lines=10
        7⤵
        
        PID:3456
        
        C:\Windows\system32\mode.com
        
        mode con: cols=34 lines=10
        7⤵
        
        PID:3348
        
        C:\Windows\system32\mode.com
        
        mode con: cols=31 lines=10
        7⤵
        
        PID:4268
        
        C:\Windows\system32\mode.com
        
        mode con: cols=28 lines=10
        7⤵
        
        PID:2192
        
        C:\Windows\system32\mode.com
        
        mode con: cols=25 lines=10
        7⤵
        
        PID:2604
        
        C:\Windows\system32\mode.com
        
        mode con: cols=22 lines=10
        7⤵
        
        PID:1720
        
        C:\Windows\system32\mode.com
        
        mode con: cols=19 lines=10
        7⤵
        
        PID:5048
        
        C:\Windows\system32\mode.com
        
        mode con: cols=16 lines=10
        7⤵
        
        PID:4256
        
        C:\Windows\system32\mode.com
        
        mode con: cols=13 lines=10
        7⤵
        
        PID:2408
        
        C:\Windows\system32\mode.com
        
        mode con: cols=10 lines=10
        7⤵
        
        PID:4764
        
        C:\Windows\system32\mode.com
        
        mode con: cols=7 lines=10
        7⤵
        
        PID:1780
        
        C:\Windows\system32\mode.com
        
        mode con: cols=1 lines=10
        7⤵
        
        PID:4384
        
        C:\Windows\system32\mode.com
        
        mode con: cols=4 lines=10
        7⤵
        
        PID:1792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K Move.bat
        7⤵
        
        PID:8
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        8⤵
        
        PID:2176
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        8⤵
        Kills process with taskkill
        
        PID:2432
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4468
        
        C:\Windows\system32\mode.com
        
        mode con: cols=50 lines=10
        7⤵
        
        PID:3476
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe /f
        6⤵
        Kills process with taskkill
        
        PID:3756
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe /f
        6⤵
        Kills process with taskkill
        
        PID:440
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe /f
        6⤵
        Kills process with taskkill
        
        PID:3588
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe /f
        6⤵
        Kills process with taskkill
        
        PID:4488
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe /f
        6⤵
        Kills process with taskkill
        
        PID:3792
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe /f
        6⤵
        Kills process with taskkill
        
        PID:1344
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe /f
        6⤵
        Kills process with taskkill
        
        PID:4728
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe /f
        6⤵
        Kills process with taskkill
        
        PID:5076
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe /f
        6⤵
        Kills process with taskkill
        
        PID:4808
      - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe /f
        6⤵
        Kills process with taskkill
        
        PID:3348

C:\Windows\system32\backgroundTaskHost.exe
"C:\Windows\system32\backgroundTaskHost.exe" -ServerName:ShellFeedsUI.AppXnj65k2d1a1rnztt2t2nng5ctmk3e76pn.mca
1⤵
- Sets desktop wallpaper using registry
PID:900

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Hidden Files and Directories

T1158

Privilege Escalation

Defense Evasion

Hidden Files and Directories

T1158

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

Remote System Discovery

T1018

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Defacement

T1491

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\__PSScriptPolicyTest_qouejwif.mo1.ps1

Filesize
60B

MD5
d17fe0a3f47be24a6453e9ef58c94641

SHA1
6ab83620379fc69f80c0242105ddffd7d98d5d9d

SHA256
96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7

SHA512
5b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82

Download Submit
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wall.bat

Filesize
4KB

MD5
5b0e787a10b96509bb38c60ed9dd530b

SHA1
a3c370eb91992fc091b780de3f996b3f1bedc46f

SHA256
b21f185108ba1b391c6149d6cc4ba1c5f127ce14c0bebd3e392c0b40ce189f32

SHA512
9f080fcbb8ed2ddaae3abcda2c2455edd7ea102dacb8e1375a08f12bdaf05633117dff6ff18bcd080892328704106b8aafdaf1b201d57cf5f5a8c5be5b12b1c2

Download Submit
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wall.bat

Filesize
4KB

MD5
5b0e787a10b96509bb38c60ed9dd530b

SHA1
a3c370eb91992fc091b780de3f996b3f1bedc46f

SHA256
b21f185108ba1b391c6149d6cc4ba1c5f127ce14c0bebd3e392c0b40ce189f32

SHA512
9f080fcbb8ed2ddaae3abcda2c2455edd7ea102dacb8e1375a08f12bdaf05633117dff6ff18bcd080892328704106b8aafdaf1b201d57cf5f5a8c5be5b12b1c2

Download Submit
C:\Users\Admin\Desktop\27457

Filesize
3B

MD5
bc949ea893a9384070c31f083ccefd26

SHA1
cbb8391cb65c20e2c05a2f29211e55c49939c3db

SHA256
6bdf66b5bf2a44e658bea2ee86695ab150a06e600bf67cd5cce245ad54962c61

SHA512
e4288e71070485637ec5825f510a7daa7e75ef6c71a1b755f51e1b0f2e58e5066837f58408ea74d75db42c49372c6027d433a869904fc5efaf4876dfcfde1287

Download Submit
C:\Users\Admin\Desktop\Lol.bat

Filesize
1KB

MD5
d8866e29686c59eb5e7d6080252e0f27

SHA1
aee38c3a7e4c5be480993b0847cad361c6fbd996

SHA256
c4e3cb3ec6ca1366871e47cea3026d0611816db48612e826ff7a1a8b233c61e5

SHA512
21d986e4031138c1a4ccfd2bd57e14c344e8b1f347f58a29b9d34d43313d9c7b063e18385298e723745307b0e1ab940e3804f458441dcbb0224d69aca7db38bc

Download Submit
C:\Users\Admin\Desktop\Privacy.bat

Filesize
133B

MD5
db77fbbce6b06dc83c4ae97cba004c94

SHA1
d04a8dd33206183b707e1c1eb19a35d9ac838781

SHA256
a9a8e4cf1940fab8f7751b883245dd69964f498f1bd908c46c65702e58ac6729

SHA512
86de382edcefa451ce0720dfc1ae1d91c5347b8c7f7157a859c3cfe6d1127fecd852121da0c53da10c3168e28d40bbcab2fdf1fc258eb0dd370c34965e12f31f

Download Submit
C:\Users\Admin\Desktop\Wall.bat

Filesize
4KB

MD5
5b0e787a10b96509bb38c60ed9dd530b

SHA1
a3c370eb91992fc091b780de3f996b3f1bedc46f

SHA256
b21f185108ba1b391c6149d6cc4ba1c5f127ce14c0bebd3e392c0b40ce189f32

SHA512
9f080fcbb8ed2ddaae3abcda2c2455edd7ea102dacb8e1375a08f12bdaf05633117dff6ff18bcd080892328704106b8aafdaf1b201d57cf5f5a8c5be5b12b1c2

Download Submit
C:\Users\Admin\Desktop\Wallpaper.vbs

Filesize
391B

MD5
84ffa5f4184d7e7f6609025925c77493

SHA1
1795e11011e78a847ca4fccdba0cf66c323a7d8e

SHA256
d9ae8fd4cfc47915c428d7f1660b372b6ded3ab9a44abfab09bb561bbe3c6243

SHA512
7014c91ed8c1d4a7aa8ab57e628284ba08a35d07b2e41b9c855debd29c36e3fbc8edb7653ce16063c8b4400d523e5388e4184ceec30733f7891081a5730a5822

Download Submit
C:\Users\Admin\Desktop\Wallpaper.vbs

Filesize
391B

MD5
84ffa5f4184d7e7f6609025925c77493

SHA1
1795e11011e78a847ca4fccdba0cf66c323a7d8e

SHA256
d9ae8fd4cfc47915c428d7f1660b372b6ded3ab9a44abfab09bb561bbe3c6243

SHA512
7014c91ed8c1d4a7aa8ab57e628284ba08a35d07b2e41b9c855debd29c36e3fbc8edb7653ce16063c8b4400d523e5388e4184ceec30733f7891081a5730a5822

Download Submit
C:\Users\Admin\Desktop\file1

Filesize
4B

MD5
94d19f5b3cfa8beeb416456ccfb09bbd

SHA1
5a4459a77da61c64a4c09920992e89c992e36c3d

SHA256
92213166b606712b238db29140eaaac87be277b693b020226bd5bc78478838d5

SHA512
e79aaa22523825b4d1162b6c10b73a571f87e08b350abef83a2261073aa85f98d5ff80abb8b98cb9dec8c3a9aae7cc9faa344fa7a676188db6c51650700cf00b

Download Submit
C:\Users\Admin\Desktop\file2

Filesize
4B

MD5
94d19f5b3cfa8beeb416456ccfb09bbd

SHA1
5a4459a77da61c64a4c09920992e89c992e36c3d

SHA256
92213166b606712b238db29140eaaac87be277b693b020226bd5bc78478838d5

SHA512
e79aaa22523825b4d1162b6c10b73a571f87e08b350abef83a2261073aa85f98d5ff80abb8b98cb9dec8c3a9aae7cc9faa344fa7a676188db6c51650700cf00b

Download Submit
C:\Users\Admin\Desktop\file3

Filesize
4B

MD5
94d19f5b3cfa8beeb416456ccfb09bbd

SHA1
5a4459a77da61c64a4c09920992e89c992e36c3d

SHA256
92213166b606712b238db29140eaaac87be277b693b020226bd5bc78478838d5

SHA512
e79aaa22523825b4d1162b6c10b73a571f87e08b350abef83a2261073aa85f98d5ff80abb8b98cb9dec8c3a9aae7cc9faa344fa7a676188db6c51650700cf00b

Download Submit
C:\Users\Admin\Desktop\file4

Filesize
3B

MD5
bc949ea893a9384070c31f083ccefd26

SHA1
cbb8391cb65c20e2c05a2f29211e55c49939c3db

SHA256
6bdf66b5bf2a44e658bea2ee86695ab150a06e600bf67cd5cce245ad54962c61

SHA512
e4288e71070485637ec5825f510a7daa7e75ef6c71a1b755f51e1b0f2e58e5066837f58408ea74d75db42c49372c6027d433a869904fc5efaf4876dfcfde1287

Download Submit
C:\Users\Admin\Desktop\move.bat

Filesize
284B

MD5
71e4ff8764b9b68683447aa6ec3dce23

SHA1
a875a7b199a59fb4f8f35e005e3f1e5c789331ab

SHA256
85d8bba106f4cc807250b32e23010f729dc2a7b168435b4e4f2e6765cf4b291a

SHA512
e1bd500242cf02d0316bc84843a985b51939a642936a02fde038b6e2813ecae200cf000d980610f3950b372a2a9bab310ab2ca0c74f5c7cf5f2c6b750f5e0593

Download Submit
memory/3448-160-0x000002169AB00000-0x000002169AB10000-memory.dmp

Filesize
64KB

Download
memory/3448-161-0x000002169AB00000-0x000002169AB10000-memory.dmp

Filesize
64KB

Download
memory/3448-159-0x000002169AB00000-0x000002169AB10000-memory.dmp

Filesize
64KB

Download
memory/3448-158-0x00000216FF060000-0x00000216FF082000-memory.dmp

Filesize
136KB

Download

Analysis

Sharing

Errors

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v6

Replay Monitor

Loading Replay Monitor...

Downloads