eec624a2afa121d41147ebd903b5f5a1273d67ffc7b1c718f30cd9c492eabcac

Resubmissions

09/10/2023, 03:47

231009-ecdspsaa9s 1

09/10/2023, 03:44

231009-eaw69scc58 1

Analysis

max time kernel
61s
max time network
66s
platform
windows10-2004_x64
resource
win10v2004-20230915-en
resource tags

arch:x64arch:x86image:win10v2004-20230915-enlocale:en-usos:windows10-2004-x64system
submitted
09/10/2023, 03:47

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

scem.bat
Size

223B
MD5

66c6e2319fc21b7f1b69fc9a6153d005
SHA1

9a048132cabb3b77e5152285b1a7e667d4244487
SHA256

eec624a2afa121d41147ebd903b5f5a1273d67ffc7b1c718f30cd9c492eabcac
SHA512

16db6603f7b09e4bd6a081769fb14816dedc785ee8cb97772a0653256ad9536d43b714e3d09e78f5d7c15d9e1464b0bcf45270fa8247151e6d93cec76623d187

Score

1^/10

Malware Config

Signatures

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_DADY&PROD_DADY_DVD-ROM\4&215468A5&0&010000	cmd.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_DADY&Prod_DADY_DVD-ROM\4&215468a5&0&010000\ConfigFlags	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	cmd.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	cmd.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_DADY&Prod_DADY_DVD-ROM\4&215468a5&0&010000\HardwareID	cmd.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	cmd.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	cmd.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	cmd.exe

Modifies Internet Explorer settings 1 TTPs 6 IoCs

adware spyware

Modify Registry

T1112

description	ioc	Process
Key created	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000\SOFTWARE\Microsoft\Internet Explorer\GPU	SearchApp.exe
Key created	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000\Software\Microsoft\Internet Explorer\GPU	SearchApp.exe
Key created	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000\SOFTWARE\Microsoft\Internet Explorer\GPU	SearchApp.exe
Key created	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000\Software\Microsoft\Internet Explorer\GPU	SearchApp.exe
Key created	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000\SOFTWARE\Microsoft\Internet Explorer\GPU	SearchApp.exe
Key created	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000\Software\Microsoft\Internet Explorer\GPU	SearchApp.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\1e\52C64B7E	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	cmd.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	cmd.exe

Modifies registry class 10 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000_Classes\Local Settings\MuiCache	SearchApp.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.windows.search_cw5n1h2txyewy\Internet Settings\Cache\Cookies\CachePrefix = "Cookie:"	SearchApp.exe
Key created	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000_Classes\Local Settings\MuiCache	SearchApp.exe
Key created	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000_Classes\Local Settings\MuiCache	SearchApp.exe
Key created	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000_Classes\Local Settings\MuiCache	SearchApp.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.windows.search_cw5n1h2txyewy\Internet Settings\Cache\Content\CachePrefix	SearchApp.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.windows.search_cw5n1h2txyewy\Internet Settings\Cache\History\CachePrefix = "Visited:"	SearchApp.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.windows.search_cw5n1h2txyewy\Internet Settings\Cache\Content\CachePrefix	SearchApp.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.windows.search_cw5n1h2txyewy\Internet Settings\Cache\Cookies\CachePrefix = "Cookie:"	SearchApp.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3027552071-446050021-1254071215-1000_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.windows.search_cw5n1h2txyewy\Internet Settings\Cache\History\CachePrefix = "Visited:"	SearchApp.exe

Suspicious use of AdjustPrivilegeToken 4 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	13320	cmd.exe
Token: SeChangeNotifyPrivilege	13320	cmd.exe
Token: 33	13320	cmd.exe
Token: SeIncBasePriorityPrivilege	13320	cmd.exe

Suspicious use of SetWindowsHookEx 4 IoCs

pid	Process
17136	SearchApp.exe
15880	SearchApp.exe
14660	SearchApp.exe
5244	SearchApp.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4636 wrote to memory of 2756	4636	cmd.exe	85
PID 4636 wrote to memory of 2756	4636	cmd.exe	85
PID 4636 wrote to memory of 3584	4636	cmd.exe	149
PID 4636 wrote to memory of 3584	4636	cmd.exe	149
PID 4636 wrote to memory of 636	4636	cmd.exe	148
PID 4636 wrote to memory of 636	4636	cmd.exe	148
PID 4636 wrote to memory of 4312	4636	cmd.exe	147
PID 4636 wrote to memory of 4312	4636	cmd.exe	147
PID 4636 wrote to memory of 4600	4636	cmd.exe	146
PID 4636 wrote to memory of 4600	4636	cmd.exe	146
PID 4636 wrote to memory of 4784	4636	cmd.exe	145
PID 4636 wrote to memory of 4784	4636	cmd.exe	145
PID 4636 wrote to memory of 4700	4636	cmd.exe	144
PID 4636 wrote to memory of 4700	4636	cmd.exe	144
PID 4636 wrote to memory of 4808	4636	cmd.exe	143
PID 4636 wrote to memory of 4808	4636	cmd.exe	143
PID 4636 wrote to memory of 4828	4636	cmd.exe	142
PID 4636 wrote to memory of 4828	4636	cmd.exe	142
PID 4636 wrote to memory of 4720	4636	cmd.exe	86
PID 4636 wrote to memory of 4720	4636	cmd.exe	86
PID 4636 wrote to memory of 2476	4636	cmd.exe	140
PID 4636 wrote to memory of 2476	4636	cmd.exe	140
PID 4636 wrote to memory of 4880	4636	cmd.exe	139
PID 4636 wrote to memory of 4880	4636	cmd.exe	139
PID 4636 wrote to memory of 4536	4636	cmd.exe	138
PID 4636 wrote to memory of 4536	4636	cmd.exe	138
PID 4636 wrote to memory of 2716	4636	cmd.exe	137
PID 4636 wrote to memory of 2716	4636	cmd.exe	137
PID 4636 wrote to memory of 4940	4636	cmd.exe	136
PID 4636 wrote to memory of 4940	4636	cmd.exe	136
PID 4636 wrote to memory of 3364	4636	cmd.exe	135
PID 4636 wrote to memory of 3364	4636	cmd.exe	135
PID 4636 wrote to memory of 4832	4636	cmd.exe	133
PID 4636 wrote to memory of 4832	4636	cmd.exe	133
PID 4636 wrote to memory of 4148	4636	cmd.exe	132
PID 4636 wrote to memory of 4148	4636	cmd.exe	132
PID 4636 wrote to memory of 4300	4636	cmd.exe	131
PID 4636 wrote to memory of 4300	4636	cmd.exe	131
PID 4636 wrote to memory of 2996	4636	cmd.exe	130
PID 4636 wrote to memory of 2996	4636	cmd.exe	130
PID 4636 wrote to memory of 2096	4636	cmd.exe	128
PID 4636 wrote to memory of 2096	4636	cmd.exe	128
PID 4636 wrote to memory of 4848	4636	cmd.exe	126
PID 4636 wrote to memory of 4848	4636	cmd.exe	126
PID 4636 wrote to memory of 4816	4636	cmd.exe	125
PID 4636 wrote to memory of 4816	4636	cmd.exe	125
PID 4636 wrote to memory of 3452	4636	cmd.exe	124
PID 4636 wrote to memory of 3452	4636	cmd.exe	124
PID 4636 wrote to memory of 3460	4636	cmd.exe	122
PID 4636 wrote to memory of 3460	4636	cmd.exe	122
PID 4636 wrote to memory of 1572	4636	cmd.exe	121
PID 4636 wrote to memory of 1572	4636	cmd.exe	121
PID 4636 wrote to memory of 4364	4636	cmd.exe	118
PID 4636 wrote to memory of 4364	4636	cmd.exe	118
PID 4636 wrote to memory of 4836	4636	cmd.exe	89
PID 4636 wrote to memory of 4836	4636	cmd.exe	89
PID 4636 wrote to memory of 1356	4636	cmd.exe	117
PID 4636 wrote to memory of 1356	4636	cmd.exe	117
PID 4636 wrote to memory of 1968	4636	cmd.exe	116
PID 4636 wrote to memory of 1968	4636	cmd.exe	116
PID 2756 wrote to memory of 4272	2756	cmd.exe	110
PID 2756 wrote to memory of 4272	2756	cmd.exe	110
PID 2756 wrote to memory of 4100	2756	cmd.exe	107
PID 2756 wrote to memory of 4100	2756	cmd.exe	107

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\scem.bat"
1⤵
- Suspicious use of WriteProcessMemory
PID:4636
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2756
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:3960
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:9876
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12528
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:11796
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:16976
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:14588
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:15148
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:4100
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:9836
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12424
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:17004
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:15884
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:16356
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:16848
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:15744
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14880
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:4272
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:8912
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:13740
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:14808
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:11772
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:1772
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:11824
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:1780
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15388
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:648
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12220
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:15876
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:14648
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:15404
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:16280
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:16028
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:16248
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:13032
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:16852
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14532
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:15184
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5916
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:6092
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13324
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14108
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5900
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5880
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5864
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5848
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:11776
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16852
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11816
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5832
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5816
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5792
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5776
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5760
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5744
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:17068
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5728
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15916
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5716
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14792
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5700
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16616
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5692
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13112
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12304
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14184
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5684
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5676
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5668
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15616
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:14904
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:15188
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16700
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:3816
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15828
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15804
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15788
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15764
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15748
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15732
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15716
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15692
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15676
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15660
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15644
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15620
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15612
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15596
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15576
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15560
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15548
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15532
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15520
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15508
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15500
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15492
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15484
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15476
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15452
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15436
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15420
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15412
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15396
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15380
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15372
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13856
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12972
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:2376
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15352
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15344
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15336
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15320
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15312
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15296
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15280
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15272
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15248
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15216
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15200
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15176
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15168
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15144
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15128
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15104
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15088
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15072
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15056
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15040
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15024
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15016
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15000
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14992
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14972
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14956
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14944
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14936
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14912
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14888
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14872
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14848
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14832
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14816
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14800
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14772
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14764
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14756
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14708
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14692
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14684
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14676
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14668
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:17128
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14652
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14636
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14596
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14564
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14548
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14540
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14524
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14508
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14476
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14468
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14460
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5660
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15960
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5652
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15184
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15816
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:7012
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5636
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16216
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5620
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:11876
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14860
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5608
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13916
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13580
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5576
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15992
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15384
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5504
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5480
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5464
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5440
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5424
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:11844
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5416
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16320
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5404
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5392
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16296
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5376
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5360
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14864
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5352
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12744
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5344
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13448
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5336
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:4800
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5328
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5320
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13960
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5312
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14852
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5304
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:17140
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:11828
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5280
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5260
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15868
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5248
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5232
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5216
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13360
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5200
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5184
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5176
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5168
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15860
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5160
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:4572
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13168
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5152
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:3348
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5144
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5136
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14588
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14580
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14572
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14556
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:14540
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14532
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14516
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14500
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14492
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14484
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:5128
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15904
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:9456
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:4900
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:16476
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:15576
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:12304
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13728
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:3176
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:1676
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:4552
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14928
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:4756
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:3344
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:1528
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12672
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:4840
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14920
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:3336
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14592
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16768
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13072
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:1252
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:4676
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15924
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:904
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15952
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:1644
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13576
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:17260
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:1288
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:1300
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16976
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:1776
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15500
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15944
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:11792
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:3836
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:3884
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:3848
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:17324
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:4132
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:4708
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:2024
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:4852
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:3832
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13500
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:3300
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13668
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14928
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16776
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:17360
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:3184
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:3164
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:2808
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15156
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4720
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8184
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12212
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4836
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9908
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12548
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16064
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16704
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1968
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9304
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15928
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13640
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12220
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1356
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10040
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12464
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:15680
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4364
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9728
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14208
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:17368
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:13800
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14692
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:15340
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:15460
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15244
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12416
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:14756
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:1572
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9924
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12632
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:17144
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16036
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:14424
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3460
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9048
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11800
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3452
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7660
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14840
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7636
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12888
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13112
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7628
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12620
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12452
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:4516
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7620
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:11872
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15932
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12136
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4816
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9040
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14732
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11792
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:14216
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:17288
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13728
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4848
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9720
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12372
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2096
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10048
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12472
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2996
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9860
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12512
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4300
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9820
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14088
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12796
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15100
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12408
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4148
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8876
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12148
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16176
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11268
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13904
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15368
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:16356
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12588
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:17184
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4832
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9932
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12644
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15744
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16760
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11816
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3364
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7720
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14896
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7908
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8096
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14856
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8080
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13880
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16404
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8072
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15304
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8056
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12512
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16244
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15188
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8048
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12556
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15604
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8032
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:1428
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:17360
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14488
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8024
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12724
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12692
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12604
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:620
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8008
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12572
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8000
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:1420
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14824
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7992
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14904
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7984
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12872
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15716
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:17276
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15084
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7968
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:11976
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15852
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7960
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13712
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15908
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7952
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7944
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12884
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16884
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:17052
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7928
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:3664
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7896
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:11848
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15416
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7880
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12220
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13864
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7872
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12748
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16288
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16172
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13440
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7864
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12424
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16876
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7856
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:4304
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12200
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7848
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13332
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7840
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      Checks SCSI registry key(s)
      Enumerates system info in registry
      Modifies data under HKEY_USERS
      Suspicious use of AdjustPrivilegeToken
      PID:13320
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15484
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7832
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16304
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7824
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12500
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15368
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14996
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7816
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:4960
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7808
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14260
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:16200
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9408
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7800
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13316
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16868
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7792
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13072
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16860
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7784
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14440
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:7776
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:11852
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15912
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13664
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4940
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9208
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11984
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2716
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9280
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12180
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4536
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9312
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12228
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4880
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9916
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12520
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:16320
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:2476
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9648
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12352
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12296
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4828
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9844
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12584
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12432
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:14724
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4808
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9884
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12504
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12952
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:11900
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13400
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:11848
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12888
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:12284
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14332
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14324
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14316
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14308
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15208
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4700
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10024
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12456
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4784
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10092
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12592
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:14912
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:15868
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:16868
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15896
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:15416
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4600
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9144
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:13872
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K scem.bat
        5⤵
        
        PID:16212
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K scem.bat
      4⤵
      PID:1136
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:11904
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4312
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:9852
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12440
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:14780
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:636
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:10056
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12540
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:3584
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:8608
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:12244
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:9104
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:13896
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:16004
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K scem.bat
    3⤵
    PID:15032
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:6148

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13156

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13148

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13140

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13208
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:12620

C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe -k WerSvcGroup
1⤵
PID:620
- C:\Windows\system32\WerFault.exe
  C:\Windows\system32\WerFault.exe -pss -s 760 -p 15164 -ip 15164
  2⤵
  PID:17288
- C:\Windows\system32\WerFault.exe
  C:\Windows\system32\WerFault.exe -pss -s 540 -p 17228 -ip 17228
  2⤵
  PID:16176

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12816

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12932

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13748

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13380
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:14512

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:756

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13368

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12332

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:1556

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:1948

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12876

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11908

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12784

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12640

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12952

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12048

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12384
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:12084
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:17084

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:11904

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:3944

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:12244

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12440

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:4596

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12732

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12028

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13280
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:15024
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:13756

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12184

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12428

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12604

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11864
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:15792
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K scem.bat
  2⤵
  PID:4028

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:4400

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12256

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11924

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:11852

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:12876

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:4304

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
PID:13320

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
PID:17400

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:16672

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13992

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:15356

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13716

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:15112

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13568

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:17060

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:15460

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:11800

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:16248

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:15844

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:16332

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:1136

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:16428

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14952

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:16580

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14540
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:16028

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:17352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:12760

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:16028
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:16332

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:16460

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:17020

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:16408

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:17076

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:15220

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14856

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:16688

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:17352

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:15680

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:15244

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:16760

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:15156

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:16944

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:16216

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14876

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:16288

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13960

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:13220

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:16168
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:17076

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K scem.bat
1⤵
PID:14324

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:16296

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:16200

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:16168

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:15884

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:15844

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:15404

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:15208

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:15112

C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe
"C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe" -ServerName:CortanaUI.AppX8z9r6jm96hw4bsbneegw0kyxx296wr9t.mca
1⤵
PID:15788

C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe
"C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe" -ServerName:CortanaUI.AppX8z9r6jm96hw4bsbneegw0kyxx296wr9t.mca
1⤵
- Modifies Internet Explorer settings
- Modifies registry class
- Suspicious use of SetWindowsHookEx
PID:17136

C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe
"C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe" -ServerName:CortanaUI.AppX8z9r6jm96hw4bsbneegw0kyxx296wr9t.mca
1⤵
- Modifies Internet Explorer settings
- Modifies registry class
- Suspicious use of SetWindowsHookEx
PID:15880

C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe
"C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe" -ServerName:CortanaUI.AppX8z9r6jm96hw4bsbneegw0kyxx296wr9t.mca
1⤵
- Modifies Internet Explorer settings
- Modifies registry class
- Suspicious use of SetWindowsHookEx
PID:14660

C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe
"C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe" -ServerName:CortanaUI.AppX8z9r6jm96hw4bsbneegw0kyxx296wr9t.mca
1⤵
- Modifies registry class
- Suspicious use of SetWindowsHookEx
PID:5244

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Windows 7 deprecation

Loading Replay Monitor...

Resubmissions

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads