eec624a2afa121d41147ebd903b5f5a1273d67ffc7b1c718f30cd9c492eabcac

Resubmissions

09/10/2023, 03:47

231009-ecdspsaa9s 1

09/10/2023, 03:44

231009-eaw69scc58 1

Analysis

max time kernel
567s
max time network
410s
platform
windows10-2004_x64
resource
win10v2004-20230915-en
resource tags

arch:x64arch:x86image:win10v2004-20230915-enlocale:en-usos:windows10-2004-x64system
submitted
09/10/2023, 03:44

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

scem.bat
Size

223B
MD5

66c6e2319fc21b7f1b69fc9a6153d005
SHA1

9a048132cabb3b77e5152285b1a7e667d4244487
SHA256

eec624a2afa121d41147ebd903b5f5a1273d67ffc7b1c718f30cd9c492eabcac
SHA512

16db6603f7b09e4bd6a081769fb14816dedc785ee8cb97772a0653256ad9536d43b714e3d09e78f5d7c15d9e1464b0bcf45270fa8247151e6d93cec76623d187

Score

1^/10

Malware Config

Signatures

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_DADY&Prod_DADY_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_DADY&Prod_DADY_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_DADY&PROD_DADY_DVD-ROM\4&215468A5&0&010000	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\1e\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe

Suspicious use of AdjustPrivilegeToken 22 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	13864	dwm.exe
Token: SeChangeNotifyPrivilege	13864	dwm.exe
Token: 33	13864	dwm.exe
Token: SeIncBasePriorityPrivilege	13864	dwm.exe
Token: SeShutdownPrivilege	13864	dwm.exe
Token: SeCreatePagefilePrivilege	13864	dwm.exe
Token: SeShutdownPrivilege	13864	dwm.exe
Token: SeCreatePagefilePrivilege	13864	dwm.exe
Token: SeShutdownPrivilege	13864	dwm.exe
Token: SeCreatePagefilePrivilege	13864	dwm.exe
Token: SeShutdownPrivilege	13864	dwm.exe
Token: SeCreatePagefilePrivilege	13864	dwm.exe
Token: SeShutdownPrivilege	13864	dwm.exe
Token: SeCreatePagefilePrivilege	13864	dwm.exe
Token: SeShutdownPrivilege	13864	dwm.exe
Token: SeCreatePagefilePrivilege	13864	dwm.exe
Token: SeShutdownPrivilege	13864	dwm.exe
Token: SeCreatePagefilePrivilege	13864	dwm.exe
Token: SeShutdownPrivilege	13864	dwm.exe
Token: SeCreatePagefilePrivilege	13864	dwm.exe
Token: SeShutdownPrivilege	13864	dwm.exe
Token: SeCreatePagefilePrivilege	13864	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 892 wrote to memory of 3744	892	cmd.exe	86
PID 892 wrote to memory of 3744	892	cmd.exe	86
PID 892 wrote to memory of 4740	892	cmd.exe	88
PID 892 wrote to memory of 4740	892	cmd.exe	88
PID 892 wrote to memory of 3488	892	cmd.exe	91
PID 892 wrote to memory of 3488	892	cmd.exe	91
PID 892 wrote to memory of 4216	892	cmd.exe	90
PID 892 wrote to memory of 4216	892	cmd.exe	90
PID 892 wrote to memory of 4448	892	cmd.exe	92
PID 892 wrote to memory of 4448	892	cmd.exe	92
PID 892 wrote to memory of 2768	892	cmd.exe	333
PID 892 wrote to memory of 2768	892	cmd.exe	333
PID 892 wrote to memory of 344	892	cmd.exe	332
PID 892 wrote to memory of 344	892	cmd.exe	332
PID 892 wrote to memory of 4992	892	cmd.exe	331
PID 892 wrote to memory of 4992	892	cmd.exe	331
PID 892 wrote to memory of 4560	892	cmd.exe	330
PID 892 wrote to memory of 4560	892	cmd.exe	330
PID 892 wrote to memory of 2700	892	cmd.exe	329
PID 892 wrote to memory of 2700	892	cmd.exe	329
PID 892 wrote to memory of 2316	892	cmd.exe	328
PID 892 wrote to memory of 2316	892	cmd.exe	328
PID 892 wrote to memory of 3296	892	cmd.exe	326
PID 892 wrote to memory of 3296	892	cmd.exe	326
PID 892 wrote to memory of 4124	892	cmd.exe	322
PID 892 wrote to memory of 4124	892	cmd.exe	322
PID 892 wrote to memory of 4252	892	cmd.exe	321
PID 892 wrote to memory of 4252	892	cmd.exe	321
PID 892 wrote to memory of 4264	892	cmd.exe	320
PID 892 wrote to memory of 4264	892	cmd.exe	320
PID 892 wrote to memory of 3132	892	cmd.exe	319
PID 892 wrote to memory of 3132	892	cmd.exe	319
PID 892 wrote to memory of 5088	892	cmd.exe	318
PID 892 wrote to memory of 5088	892	cmd.exe	318
PID 892 wrote to memory of 1504	892	cmd.exe	317
PID 892 wrote to memory of 1504	892	cmd.exe	317
PID 892 wrote to memory of 4248	892	cmd.exe	316
PID 892 wrote to memory of 4248	892	cmd.exe	316
PID 892 wrote to memory of 3440	892	cmd.exe	315
PID 892 wrote to memory of 3440	892	cmd.exe	315
PID 892 wrote to memory of 2480	892	cmd.exe	312
PID 892 wrote to memory of 2480	892	cmd.exe	312
PID 892 wrote to memory of 2136	892	cmd.exe	311
PID 892 wrote to memory of 2136	892	cmd.exe	311
PID 892 wrote to memory of 1924	892	cmd.exe	310
PID 892 wrote to memory of 1924	892	cmd.exe	310
PID 892 wrote to memory of 1920	892	cmd.exe	309
PID 892 wrote to memory of 1920	892	cmd.exe	309
PID 892 wrote to memory of 976	892	cmd.exe	308
PID 892 wrote to memory of 976	892	cmd.exe	308
PID 892 wrote to memory of 552	892	cmd.exe	307
PID 892 wrote to memory of 552	892	cmd.exe	307
PID 892 wrote to memory of 1684	892	cmd.exe	306
PID 892 wrote to memory of 1684	892	cmd.exe	306
PID 892 wrote to memory of 2620	892	cmd.exe	305
PID 892 wrote to memory of 2620	892	cmd.exe	305
PID 892 wrote to memory of 3364	892	cmd.exe	303
PID 892 wrote to memory of 3364	892	cmd.exe	303
PID 892 wrote to memory of 540	892	cmd.exe	301
PID 892 wrote to memory of 540	892	cmd.exe	301
PID 892 wrote to memory of 880	892	cmd.exe	299
PID 892 wrote to memory of 880	892	cmd.exe	299
PID 892 wrote to memory of 1220	892	cmd.exe	298
PID 892 wrote to memory of 1220	892	cmd.exe	298

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\scem.bat"
1⤵
- Suspicious use of WriteProcessMemory
PID:892
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3744
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5624
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:7140
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:10892
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5876
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5764
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5388
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:2812
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5584
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7164
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7156
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7148
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7140
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7132
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7124
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14408
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13948
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12272
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:10708
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10676
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9884
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9872
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8168
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4740
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7848
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7264
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9192
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4216
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12356
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12336
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10256
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9808
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3488
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7768
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10504
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9244
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9352
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9344
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9336
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8276
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8184
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4448
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4592
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2712
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:6876
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13956
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10696
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10680
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10664
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10648
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10632
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10624
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10616
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10600
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10592
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9848
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:5100
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11744
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4104
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1444
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10596
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8372
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2160
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7140
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13428
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:14072
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2632
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4292
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7492
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8908
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3924
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12400
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:13196
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12388
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12628
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10184
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3332
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:520
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3340
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13320
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:5008
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3464
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3724
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9312
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9288
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9280
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9264
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9256
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9248
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9240
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:544
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4940
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4892
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:6460
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12532
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9636
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9628
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9620
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9612
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9604
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9596
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9588
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4872
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3256
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12388
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4824
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:15188
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:11060
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12376
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:14944
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4772
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10616
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12368
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9004
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9768
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3612
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9648
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8356
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8348
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8332
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8316
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3380
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5504
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10864
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3800
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2012
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2552
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2568
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11132
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:15172
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5240
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11668
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:752
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2984
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:4956
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:14192
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13004
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:2852
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5592
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13992
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:14420
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9168
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9160
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9152
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9136
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9128
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9120
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:692
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4668
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8812
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9448
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2500
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13412
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8484
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2096
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13440
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4116
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:6616
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1936
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4000
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13828
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8572
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8556
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3824
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9340
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3036
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:15312
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12428
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9112
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9104
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9096
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9088
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9080
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4548
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7556
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11172
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12620
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4832
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8652
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10812
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8628
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8620
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8604
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8588
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8580
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8564
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8548
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8540
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8532
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8524
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8516
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8508
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8500
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8492
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8476
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8468
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8460
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8452
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8444
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8436
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8428
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8420
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8412
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8404
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8396
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8388
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2364
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9112
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4896
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11188
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4244
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4960
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10608
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10584
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10576
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10568
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10560
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10552
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10544
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10536
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10528
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10520
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10512
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10504
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10496
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10488
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10480
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10472
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10464
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10456
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10448
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10440
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10424
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4072
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11448
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10692
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8484
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:9500
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3196
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13916
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13340
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4808
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4068
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11188
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11180
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11172
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4916
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3336
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1984
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10292
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2476
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10272
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2544
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9344
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13424
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13004
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2716
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10772
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1860
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8688
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8716
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11084
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11076
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11052
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11036
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11028
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11020
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11012
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8672
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:736
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13160
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12664
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1152
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:14328
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12340
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12136
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8380
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1448
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13364
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10920
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2800
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4568
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2928
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4876
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12600
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3932
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11616
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9800
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9792
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9784
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9776
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4524
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4036
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4608
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8828
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4836
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12360
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2840
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11480
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2416
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9152
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9760
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1412
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12380
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13664
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13652
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13644
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13632
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13620
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13612
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13604
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13596
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13588
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13580
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13572
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13564
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13556
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13548
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13540
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13532
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13524
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13516
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13508
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13500
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13492
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13484
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13476
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9824
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:812
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12624
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2324
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:6620
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12924
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3216
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1624
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11164
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11156
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11132
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11124
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11100
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11060
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11044
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9548
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8644
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8636
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8612
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8596
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1672
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:460
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10272
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9320
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9224
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7544
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3788
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13920
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1068
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:2528
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13888
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1220
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:14908
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9272
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9232
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:880
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13028
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13168
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11148
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11140
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11116
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11108
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11092
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11068
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9480
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9464
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:540
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8300
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9608
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9144
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3364
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2620
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13196
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9184
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9176
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1684
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:552
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9408
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9308
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5904
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7304
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12296
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9440
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9424
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9416
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9400
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9392
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9384
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9376
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9368
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9360
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8840
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8832
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8824
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8816
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8808
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8800
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8792
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8784
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8776
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8768
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:976
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1920
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13200
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1924
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2136
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9096
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9224
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9328
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9304
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9296
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2480
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7984
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7292
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3440
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13976
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:4956
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4248
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:14824
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:14872
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1504
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8352
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9208
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9200
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:5088
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:6352
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10128
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3132
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4264
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7268
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9260
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8340
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8324
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8308
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8300
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8292
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8284
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4252
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12384
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4124
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13100
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5816
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:7580
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11024
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3296
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12300
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12292
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:13320
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11520
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11500
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10732
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:13100
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10144
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10716
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10708
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10292
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9536
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13436
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13428
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13420
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13408
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13392
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13384
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13368
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13360
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13352
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13344
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13336
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9432
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2316
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8176
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12608
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2700
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7136
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4560
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13268
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:2904
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7352
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8652
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:9540
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4992
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12536
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10924
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:344
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2768
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9776
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:10812
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8364
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1936
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:10936
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:9472
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:9456

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:8980
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:9448
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    PID:9816
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:12372

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:10964

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11500

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:13028

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:4408

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12316
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:6876

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14500

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:6744
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2940
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:12848

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14940

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:9540

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:9624
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:6616

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:15292
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:9896

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:15176

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:15048

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:10428

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:10748

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:15148

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:9844

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12564

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:10912

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11544

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11552

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12932

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12344

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11088

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12996

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:9928

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:10832

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14136

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13996

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13528

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:8820

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:9500

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13668

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14356

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11040

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:2628

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:6264

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:8928

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:9188

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13968

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:9708

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11820

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13232

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:9816

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14916

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:10592

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:7348

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14032

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11128

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:10928

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:9952

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12036

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:10636

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:8304

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13376

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13512

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14232

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:4300

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11584

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:8656

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11900

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:9108

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14356

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13240

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14012

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:9084

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:9924

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:2528
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:12932

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13276

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:15060

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:8820
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:14636
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:8640
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:10672
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:5540
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:2164
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:2280
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:3932
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13428
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:9260
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:7352
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2720
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:892
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:9768
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:14772
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2504
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:13232
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:13732
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:10460
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:11376
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1032
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:14860
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:14632
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:11056
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:13724
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:13148
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:7380
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:7360
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:14908
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:13396
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:13964
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:11580

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:7292

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14740

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13352

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1036 -p 11852 -ip 11852
1⤵
PID:12356
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:13168

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14920

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 636 -p 14112 -ip 14112
1⤵
PID:6744

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 840 -p 13980 -ip 13980
1⤵
PID:13364

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:7280

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:15172

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:9844

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:11820

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 736 -p 5240 -ip 5240
1⤵
PID:14916

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:14192

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1028 -p 5540 -ip 5540
1⤵
PID:13968

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 480 -p 7224 -ip 7224
1⤵
PID:8656

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11520

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:5388

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12532

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 900 -p 10672 -ip 10672
1⤵
PID:13276

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:14408

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 912 -p 14024 -ip 14024
1⤵
PID:12600

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:13996

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:13268

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:11352

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:8980

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:10772

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:10748

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:10272

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:9708

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:8928

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:8688

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 684 -p 10492 -ip 10492
1⤵
PID:10692

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -u -p 14788 -s 248
1⤵
PID:9188

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:9416

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:6352

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:8348

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:4956

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1008 -p 384 -ip 384
1⤵
PID:13344

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -u -p 384 -s 3708
1⤵
PID:9952

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13864

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k netsvcs -p -s wuauserv
1⤵
PID:12924

C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding
1⤵
PID:2852

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Windows 7 deprecation

Loading Replay Monitor...

Resubmissions

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads