a9ae3caaf4ea5a86fedb66c0bc4339d2177496384d8b66c6bccd60284df8215e

Analysis

max time kernel
79s
max time network
155s
platform
windows10-2004_x64
resource
win10v2004-20231020-en
resource tags

arch:x64arch:x86image:win10v2004-20231020-enlocale:en-usos:windows10-2004-x64system
submitted
22/10/2023, 17:30

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Size

3.0MB
MD5

e0c835ef9d5f7643b76043f3337e4120
SHA1

2f9930e3b1f96ccc4f4576be2c041c7dbf22df51
SHA256

a9ae3caaf4ea5a86fedb66c0bc4339d2177496384d8b66c6bccd60284df8215e
SHA512

2c106a602b850fca9ed6bdf82c9623ecb257f7f8ee5a3617e5ca3ecc89731d0fafddbbf5c728ccbed561913e38fd9648777c234719841ed11ba1b88e7ae46596
SSDEEP

49152:j495UciMmq/NhjX5p3JOCdLAweZnE5c965nqqIP2Itdu:jk5LhzACdLAlnE5co5nqqIP2Itdu

Score

7^/10

discovery

Malware Config

Signatures

Executes dropped EXE 35 IoCs

pid	Process
2240	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
408	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
1188	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
4800	NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
4452	NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
4000	NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
2036	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
1936	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
756	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
1200	NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
992	NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
1976	NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
4932	NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
3296	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
5396	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
5420	NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
5428	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
5436	NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
5668	NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
5740	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
5764	NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
5788	NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
5944	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
5028	NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
2220	NEAS.e0c835ef9d5f7643b76043f3337e41209.exe
2564	NEAS.e0c835ef9d5f7643b76043f3337e41209.exe
5488	NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
3248	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
6704	NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
1848	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
2208	NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
4052	NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
4996	NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
5812	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
3016	NEAS.e0c835ef9d5f7643b76043f3337e412030.exe

Modifies file permissions 1 TTPs 13 IoCs

discovery

File and Directory Permissions Modification

T1222

pid	Process
4268	takeown.exe
11444	takeown.exe
13088	takeown.exe
11452	takeown.exe
13096	takeown.exe
4280	takeown.exe
12976	takeown.exe
12964	takeown.exe
11924	takeown.exe
4972	takeown.exe
6812	takeown.exe
10492	takeown.exe
5556	takeown.exe

Checks processor information in registry 2 TTPs 15 IoCs

Processor information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	firefox.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Update Signature	firefox.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Update Revision	firefox.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Update Revision	firefox.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Update Signature	firefox.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Update Revision	firefox.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	firefox.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Update Revision	firefox.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	firefox.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	firefox.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Update Signature	firefox.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Update Signature	firefox.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Update Signature	firefox.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	firefox.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Update Revision	firefox.exe

Kills process with taskkill 35 IoCs

evasion

pid	Process
8996	taskkill.exe
4892	taskkill.exe
10152	taskkill.exe
9088	taskkill.exe
8568	taskkill.exe
6888	taskkill.exe
9388	taskkill.exe
7532	taskkill.exe
7492	taskkill.exe
3232	taskkill.exe
8100	taskkill.exe
2736	taskkill.exe
7680	taskkill.exe
7300	taskkill.exe
8972	taskkill.exe
4844	taskkill.exe
6892	taskkill.exe
7564	taskkill.exe
6860	taskkill.exe
9096	taskkill.exe
7052	taskkill.exe
11612	taskkill.exe
7904	taskkill.exe
9048	taskkill.exe
9068	taskkill.exe
3304	taskkill.exe
6488	taskkill.exe
6936	taskkill.exe
8132	taskkill.exe
9352	taskkill.exe
3872	taskkill.exe
8944	taskkill.exe
3988	taskkill.exe
9456	taskkill.exe
7336	taskkill.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeCreateTokenPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeAssignPrimaryTokenPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeLockMemoryPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeIncreaseQuotaPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeMachineAccountPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeTcbPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeSecurityPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeTakeOwnershipPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeLoadDriverPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeSystemProfilePrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeSystemtimePrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeProfSingleProcessPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeIncBasePriorityPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeCreatePagefilePrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeCreatePermanentPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeBackupPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeRestorePrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeShutdownPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeDebugPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeAuditPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeSystemEnvironmentPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeChangeNotifyPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeRemoteShutdownPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeUndockPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeSyncAgentPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeEnableDelegationPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeManageVolumePrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeImpersonatePrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeCreateGlobalPrivilege	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: 31	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: 32	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: 33	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: 34	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: 35	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeCreateTokenPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeAssignPrimaryTokenPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeLockMemoryPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeIncreaseQuotaPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeMachineAccountPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeTcbPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeSecurityPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeTakeOwnershipPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeLoadDriverPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeSystemProfilePrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeSystemtimePrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeProfSingleProcessPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeIncBasePriorityPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeCreatePagefilePrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeCreatePermanentPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeBackupPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeRestorePrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeShutdownPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeDebugPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeAuditPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeSystemEnvironmentPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeChangeNotifyPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeRemoteShutdownPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeUndockPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeSyncAgentPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeEnableDelegationPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeManageVolumePrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeImpersonatePrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: SeCreateGlobalPrivilege	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
Token: 31	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4316 wrote to memory of 1352	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	87
PID 4316 wrote to memory of 1352	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	87
PID 1352 wrote to memory of 2228	1352	cmd.exe	88
PID 1352 wrote to memory of 2228	1352	cmd.exe	88
PID 4316 wrote to memory of 2280	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	90
PID 4316 wrote to memory of 2280	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	90
PID 2228 wrote to memory of 3916	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	91
PID 2228 wrote to memory of 3916	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	91
PID 2280 wrote to memory of 3800	2280	cmd.exe	92
PID 2280 wrote to memory of 3800	2280	cmd.exe	92
PID 4316 wrote to memory of 3892	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	94
PID 4316 wrote to memory of 3892	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	94
PID 3892 wrote to memory of 1800	3892	cmd.exe	95
PID 3892 wrote to memory of 1800	3892	cmd.exe	95
PID 2228 wrote to memory of 3524	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	97
PID 2228 wrote to memory of 3524	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	97
PID 4316 wrote to memory of 2648	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	98
PID 4316 wrote to memory of 2648	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	98
PID 2648 wrote to memory of 4472	2648	Process not Found	99
PID 2648 wrote to memory of 4472	2648	Process not Found	99
PID 4316 wrote to memory of 3456	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	101
PID 4316 wrote to memory of 3456	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	101
PID 1800 wrote to memory of 4404	1800	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	102
PID 1800 wrote to memory of 4404	1800	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	102
PID 3456 wrote to memory of 5112	3456	cmd.exe	104
PID 3456 wrote to memory of 5112	3456	cmd.exe	104
PID 4316 wrote to memory of 3172	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	106
PID 4316 wrote to memory of 3172	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	106
PID 3172 wrote to memory of 2672	3172	cmd.exe	107
PID 3172 wrote to memory of 2672	3172	cmd.exe	107
PID 3524 wrote to memory of 2240	3524	cmd.exe	109
PID 3524 wrote to memory of 2240	3524	cmd.exe	109
PID 4316 wrote to memory of 1960	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	110
PID 4316 wrote to memory of 1960	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	110
PID 1960 wrote to memory of 1320	1960	cmd.exe	112
PID 1960 wrote to memory of 1320	1960	cmd.exe	112
PID 5112 wrote to memory of 2676	5112	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	114
PID 5112 wrote to memory of 2676	5112	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	114
PID 2228 wrote to memory of 4464	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	115
PID 2228 wrote to memory of 4464	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	115
PID 4316 wrote to memory of 2956	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	116
PID 4316 wrote to memory of 2956	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	116
PID 2956 wrote to memory of 3912	2956	cmd.exe	117
PID 2956 wrote to memory of 3912	2956	cmd.exe	117
PID 1800 wrote to memory of 2284	1800	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	119
PID 1800 wrote to memory of 2284	1800	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	119
PID 2240 wrote to memory of 1484	2240	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe	121
PID 2240 wrote to memory of 1484	2240	NEAS.e0c835ef9d5f7643b76043f3337e41203.exe	121
PID 1320 wrote to memory of 920	1320	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	120
PID 1320 wrote to memory of 920	1320	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	120
PID 4316 wrote to memory of 1156	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	122
PID 4316 wrote to memory of 1156	4316	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	122
PID 5112 wrote to memory of 4084	5112	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	125
PID 5112 wrote to memory of 4084	5112	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	125
PID 2228 wrote to memory of 2368	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	124
PID 2228 wrote to memory of 2368	2228	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	124
PID 2284 wrote to memory of 408	2284	cmd.exe	123
PID 2284 wrote to memory of 408	2284	cmd.exe	123
PID 1156 wrote to memory of 4324	1156	cmd.exe	128
PID 1156 wrote to memory of 4324	1156	cmd.exe	128
PID 1320 wrote to memory of 1048	1320	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	129
PID 1320 wrote to memory of 1048	1320	NEAS.e0c835ef9d5f7643b76043f3337e4120.exe	129
PID 1484 wrote to memory of 1188	1484	cmd.exe	130
PID 1484 wrote to memory of 1188	1484	cmd.exe	130

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
"C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe"
1⤵
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:4316
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /protect 1698019301
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:1352
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /protect 1698019301
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:2228
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe+327251.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
      4⤵
      PID:3916
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe 1698019301
      4⤵
      Suspicious use of WriteProcessMemory
      PID:3524
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe 1698019301
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2240
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /protect 1698019301
        6⤵
        Suspicious use of WriteProcessMemory
        
        PID:1484
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /protect 1698019301
        7⤵
        Executes dropped EXE
        
        PID:1188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe+326729.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
        8⤵
        
        PID:1356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe 1698019301
        8⤵
        
        PID:3892
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe 1698019301
        9⤵
        Executes dropped EXE
        
        PID:5028
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:6604
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:2736
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe+811622.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412038.exe
        8⤵
        
        PID:6324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412038.exe 1698019301
        8⤵
        
        PID:4248
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412038.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412038.exe 1698019301
        9⤵
        
        PID:9164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:5468
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:6888
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /save 1698019301
        6⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /save 1698019301
        7⤵
        Executes dropped EXE
        
        PID:2036
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /protect 1698019301
        6⤵
        
        PID:3368
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /protect 1698019301
        7⤵
        Executes dropped EXE
        
        PID:756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe+325683.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
        8⤵
        
        PID:5308
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe 1698019301
        8⤵
        
        PID:1496
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe 1698019301
        9⤵
        
        PID:8080
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:7320
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:8944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /autoup 1698019301
        10⤵
        
        PID:3336
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /autoup 1698019301
        11⤵
        
        PID:9368
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41204.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41204.exe 1698019301
        12⤵
        
        PID:5076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /killwindows 1698019301
        10⤵
        
        PID:8692
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /killwindows 1698019301
        11⤵
        
        PID:8640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:3368
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        13⤵
        Modifies file permissions
        
        PID:13096
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        12⤵
        
        PID:14208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /KillHardDisk 1698019301
        10⤵
        
        PID:9440
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /KillHardDisk 1698019301
        11⤵
        
        PID:10268
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        12⤵
        
        PID:13092
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:11848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /killMBR 1698019301
        10⤵
        
        PID:10640
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /killMBR 1698019301
        11⤵
        
        PID:8292
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /protect 1698019301
        10⤵
        
        PID:4592
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /protect 1698019301
        11⤵
        
        PID:12488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe+812614.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120338.exe
        12⤵
        
        PID:1964
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /killMBR 1698019301
        10⤵
        
        PID:13816
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /KillHardDisk 1698019301
        10⤵
        
        PID:6228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe+92414.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe
        8⤵
        
        PID:8736
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe 1698019301
        8⤵
        
        PID:7940
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe 1698019301
        9⤵
        
        PID:1424
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:3308
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:7532
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /save 1698019301
        6⤵
        
        PID:5172
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /save 1698019301
        7⤵
        Executes dropped EXE
        
        PID:5396
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /protect 1698019301
        6⤵
        
        PID:5564
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /protect 1698019301
        7⤵
        Executes dropped EXE
        
        PID:5944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe+913889.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe
        8⤵
        
        PID:6524
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe 1698019301
        8⤵
        
        PID:8068
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe 1698019301
        9⤵
        
        PID:6752
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:7196
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:9096
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe+622048.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe
        8⤵
        
        PID:9956
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe 1698019301
        8⤵
        
        PID:4240
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /save 1698019301
        6⤵
        
        PID:5708
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /save 1698019301
        7⤵
        Executes dropped EXE
        
        PID:1848
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:7164
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:9048
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe+232609.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
      4⤵
      PID:4464
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe 1698019301
      4⤵
      PID:2368
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe 1698019301
        5⤵
        Executes dropped EXE
        
        PID:4452
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /protect 1698019301
        6⤵
        
        PID:2016
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /protect 1698019301
        7⤵
        Executes dropped EXE
        
        PID:1200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe+325683.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412023.exe
        8⤵
        
        PID:4188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412023.exe 1698019301
        8⤵
        
        PID:4536
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412023.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412023.exe 1698019301
        9⤵
        
        PID:9180
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:8764
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:10152
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe+92414.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe
        8⤵
        
        PID:9716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe 1698019301
        8⤵
        
        PID:10008
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /save 1698019301
        6⤵
        
        PID:5292
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /save 1698019301
        7⤵
        Executes dropped EXE
        
        PID:5668
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /protect 1698019301
        6⤵
        
        PID:5796
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /protect 1698019301
        7⤵
        Executes dropped EXE
        
        PID:5488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe+913366.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe
        8⤵
        
        PID:6336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe 1698019301
        8⤵
        
        PID:8040
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe 1698019301
        9⤵
        
        PID:9208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:5188
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:7052
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe /autoup 1698019301
        10⤵
        
        PID:8264
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe /autoup 1698019301
        11⤵
        
        PID:7120
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe /killwindows 1698019301
        10⤵
        
        PID:5240
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe /killwindows 1698019301
        11⤵
        
        PID:6572
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        12⤵
        
        PID:12436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:6280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe /KillHardDisk 1698019301
        10⤵
        
        PID:3440
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe /KillHardDisk 1698019301
        11⤵
        
        PID:10276
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:8356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe /killMBR 1698019301
        10⤵
        
        PID:10688
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe /killMBR 1698019301
        11⤵
        
        PID:6656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe /KillHardDisk 1698019301
        10⤵
        
        PID:13764
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe /killwindows 1698019301
        10⤵
        
        PID:10316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe /protect 1698019301
        10⤵
        
        PID:3836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe+21060.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412022.exe
        8⤵
        
        PID:9936
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /save 1698019301
        6⤵
        
        PID:6656
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /save 1698019301
        7⤵
        Executes dropped EXE
        
        PID:4996
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:4640
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:9088
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /save 1698019301
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2280
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /save 1698019301
    3⤵
    PID:3800
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /protect 1698019301
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:3892
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /protect 1698019301
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:1800
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe+327251.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
      4⤵
      PID:4404
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe 1698019301
      4⤵
      Suspicious use of WriteProcessMemory
      PID:2284
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe 1698019301
        5⤵
        Executes dropped EXE
        
        PID:408
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /protect 1698019301
        6⤵
        
        PID:1784
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /protect 1698019301
        7⤵
        Executes dropped EXE
        
        PID:1936
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe+014935.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe
        8⤵
        
        PID:4636
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe 1698019301
        8⤵
        
        PID:6320
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe 1698019301
        9⤵
        Executes dropped EXE
        
        PID:3016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:8636
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:8132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /autoup 1698019301
        10⤵
        
        PID:9356
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /autoup 1698019301
        11⤵
        
        PID:6648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /killwindows 1698019301
        10⤵
        
        PID:7024
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /killwindows 1698019301
        11⤵
        
        PID:6560
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:5944
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        13⤵
        Modifies file permissions
        
        PID:10492
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        12⤵
        
        PID:11624
        
        C:\Windows\system32\cacls.exe
        
        Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        13⤵
        
        PID:11532
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /KillHardDisk 1698019301
        10⤵
        
        PID:5840
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /killMBR 1698019301
        10⤵
        
        PID:5244
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /killMBR 1698019301
        11⤵
        
        PID:10284
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /protect 1698019301
        10⤵
        
        PID:10676
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /protect 1698019301
        11⤵
        
        PID:500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe C:\windows\system32\taskmgr.exe
        10⤵
        
        PID:12956
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /autoup 1698019301
        10⤵
        
        PID:14280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /autoup 1698019301
        10⤵
        
        PID:6204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /autoup 1698019301
        10⤵
        
        PID:10468
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe+531255.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412035.exe
        8⤵
        
        PID:8132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412035.exe 1698019301
        8⤵
        
        PID:9688
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412035.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412035.exe 1698019301
        9⤵
        
        PID:5192
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:4488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe+123362.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412061.exe
        7⤵
        
        PID:13412
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /save 1698019301
        6⤵
        
        PID:3500
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /save 1698019301
        7⤵
        Executes dropped EXE
        
        PID:3296
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /protect 1698019301
        6⤵
        
        PID:5204
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /protect 1698019301
        7⤵
        Executes dropped EXE
        
        PID:5428
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe+325683.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
        8⤵
        
        PID:5356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe 1698019301
        8⤵
        
        PID:7100
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe 1698019301
        9⤵
        
        PID:8696
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:7112
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:3988
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /killwindows 1698019301
        10⤵
        
        PID:8820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /autoup 1698019301
        10⤵
        
        PID:5604
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /KillHardDisk 1698019301
        10⤵
        
        PID:3856
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /KillHardDisk 1698019301
        11⤵
        
        PID:10244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:6464
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /killMBR 1698019301
        10⤵
        
        PID:10608
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /killMBR 1698019301
        11⤵
        
        PID:11076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /protect 1698019301
        10⤵
        
        PID:3584
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /protect 1698019301
        11⤵
        
        PID:12672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe+812614.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120338.exe
        12⤵
        
        PID:2376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /killwindows 1698019301
        10⤵
        
        PID:13604
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /autoup 1698019301
        10⤵
        
        PID:3748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe+92414.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe
        8⤵
        
        PID:8988
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe 1698019301
        8⤵
        
        PID:5408
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe 1698019301
        9⤵
        
        PID:10036
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /protect 1698019301
        6⤵
        
        PID:5812
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /protect 1698019301
        7⤵
        Executes dropped EXE
        
        PID:3248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe+913366.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe
        8⤵
        
        PID:6216
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe 1698019301
        8⤵
        
        PID:4876
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe 1698019301
        9⤵
        
        PID:7972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe+21060.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412032.exe
        8⤵
        
        PID:10072
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /save 1698019301
        6⤵
        
        PID:5660
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /save 1698019301
        6⤵
        
        PID:7016
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /save 1698019301
        7⤵
        Executes dropped EXE
        
        PID:5812
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:7224
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:8972
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /killwindows 1698019301
        8⤵
        
        PID:7612
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        9⤵
        
        PID:12408
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /KillHardDisk 1698019301
        6⤵
        
        PID:3188
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /KillHardDisk 1698019301
        7⤵
        
        PID:7788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        8⤵
        
        PID:8604
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        8⤵
        
        PID:8128
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /killwindows 1698019301
        6⤵
        
        PID:7760
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /autoup 1698019301
        6⤵
        
        PID:6916
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /protect 1698019301
        6⤵
        
        PID:10696
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /protect 1698019301
        7⤵
        
        PID:7948
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /killMBR 1698019301
        6⤵
        
        PID:4388
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:5020
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /autoup 1698019301
        6⤵
        
        PID:10788
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe+232609.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
      4⤵
      PID:5064
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe 1698019301
      4⤵
      PID:2028
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe 1698019301
        5⤵
        Executes dropped EXE
        
        PID:1976
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /protect 1698019301
        6⤵
        
        PID:1960
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /protect 1698019301
        7⤵
        Executes dropped EXE
        
        PID:4052
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe+810230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412028.exe
        8⤵
        
        PID:8616
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412028.exe 1698019301
        8⤵
        
        PID:8036
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412028.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412028.exe 1698019301
        9⤵
        
        PID:4160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:7432
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:6860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe+46205.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412024.exe
        8⤵
        
        PID:6124
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412024.exe 1698019301
        8⤵
        
        PID:5988
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412024.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412024.exe 1698019301
        9⤵
        
        PID:11184
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:11868
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /autoup 1698019301
        8⤵
        
        PID:528
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /save 1698019301
        6⤵
        
        PID:5932
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /save 1698019301
        7⤵
        
        PID:8948
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:8980
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:3872
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /autoup 1698019301
        6⤵
        
        PID:1808
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /autoup 1698019301
        7⤵
        
        PID:7148
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /killwindows 1698019301
        6⤵
        
        PID:6908
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /killwindows 1698019301
        7⤵
        
        PID:9036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        8⤵
        
        PID:9444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        8⤵
        
        PID:13560
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /KillHardDisk 1698019301
        6⤵
        
        PID:1444
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /KillHardDisk 1698019301
        7⤵
        
        PID:7644
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        8⤵
        
        PID:12436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        8⤵
        
        PID:14100
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        8⤵
        
        PID:10576
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /killMBR 1698019301
        6⤵
        
        PID:10572
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /killMBR 1698019301
        7⤵
        
        PID:11060
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /protect 1698019301
        6⤵
        
        PID:10920
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /protect 1698019301
        7⤵
        
        PID:11896
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe /autoup 1698019301
        6⤵
        
        PID:13012
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:3584
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /save 1698019301
  2⤵
  PID:2648
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /save 1698019301
    3⤵
    PID:4472
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /protect 1698019301
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:3456
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /protect 1698019301
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:5112
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe+75232.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
      4⤵
      PID:2676
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe 1698019301
      4⤵
      PID:4084
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe 1698019301
        5⤵
        Executes dropped EXE
        
        PID:4800
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /protect 1698019301
        6⤵
        
        PID:2128
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /protect 1698019301
        7⤵
        Executes dropped EXE
        
        PID:4932
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe+325683.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe
        8⤵
        
        PID:4484
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe 1698019301
        8⤵
        
        PID:6860
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe 1698019301
        9⤵
        
        PID:9188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:1468
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:4844
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe /autoup 1698019301
        10⤵
        
        PID:7680
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe /autoup 1698019301
        11⤵
        
        PID:5204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe /killwindows 1698019301
        10⤵
        
        PID:8936
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe /killwindows 1698019301
        11⤵
        
        PID:3188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:5660
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe /KillHardDisk 1698019301
        10⤵
        
        PID:7036
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe /KillHardDisk 1698019301
        11⤵
        
        PID:10820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:10644
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:1724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        12⤵
        
        PID:11940
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe /killMBR 1698019301
        10⤵
        
        PID:11092
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe /killMBR 1698019301
        11⤵
        
        PID:10604
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe /protect 1698019301
        10⤵
        
        PID:10316
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe /protect 1698019301
        11⤵
        
        PID:12356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe+812614.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120738.exe
        12⤵
        
        PID:13100
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe /killwindows 1698019301
        11⤵
        
        PID:9876
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe /autoup 1698019301
        10⤵
        
        PID:13128
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe C:\windows\system32\taskmgr.exe
        10⤵
        
        PID:11564
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe+92414.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
        8⤵
        
        PID:9900
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe 1698019301
        8⤵
        
        PID:7200
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /save 1698019301
        6⤵
        
        PID:5188
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /save 1698019301
        7⤵
        Executes dropped EXE
        
        PID:5420
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /save 1698019301
        6⤵
        
        PID:5876
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /save 1698019301
        7⤵
        Executes dropped EXE
        
        PID:2208
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /protect 1698019301
        6⤵
        
        PID:5696
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:5916
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:8996
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /KillHardDisk 1698019301
        6⤵
        
        PID:5360
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /killwindows 1698019301
        6⤵
        
        PID:2172
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /autoup 1698019301
        6⤵
        
        PID:6816
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /killMBR 1698019301
        6⤵
        
        PID:8360
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /killMBR 1698019301
        7⤵
        
        PID:8040
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /protect 1698019301
        6⤵
        
        PID:10460
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /protect 1698019301
        7⤵
        
        PID:10988
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe+814182.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412078.exe
        8⤵
        
        PID:10728
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe+332202.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe
        8⤵
        
        PID:13720
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412078.exe 1698019301
        8⤵
        
        PID:7092
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /autoup 1698019301
        6⤵
        
        PID:1276
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /autoup 1698019301
        7⤵
        
        PID:11880
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:13020
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /autoup 1698019301
        6⤵
        
        PID:13628
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe+93768.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe
      4⤵
      PID:2748
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe 1698019301
      4⤵
      PID:2252
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe 1698019301
        5⤵
        Executes dropped EXE
        
        PID:2220
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:6996
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:7300
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /save 1698019301
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:3172
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /save 1698019301
    3⤵
    PID:2672
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /protect 1698019301
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:1960
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /protect 1698019301
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:1320
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe+75232.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
      4⤵
      PID:920
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe 1698019301
      4⤵
      PID:1048
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe 1698019301
        5⤵
        Executes dropped EXE
        
        PID:4000
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /protect 1698019301
        6⤵
        
        PID:4560
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /protect 1698019301
        7⤵
        Executes dropped EXE
        
        PID:992
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe+325683.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe
        8⤵
        
        PID:5500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe 1698019301
        8⤵
        
        PID:5220
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412073.exe 1698019301
        9⤵
        
        PID:8728
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:1780
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:7336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe+92414.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
        8⤵
        
        PID:9748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe 1698019301
        8⤵
        
        PID:8736
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe 1698019301
        9⤵
        
        PID:7696
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:4208
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:3304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /autoup 1698019301
        10⤵
        
        PID:7552
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /autoup 1698019301
        11⤵
        
        PID:4300
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /killwindows 1698019301
        10⤵
        
        PID:10452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /KillHardDisk 1698019301
        10⤵
        
        PID:6028
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /KillHardDisk 1698019301
        11⤵
        
        PID:12592
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:8580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /killwindows 1698019301
        10⤵
        
        PID:13828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /autoup 1698019301
        10⤵
        
        PID:12952
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /save 1698019301
        6⤵
        
        PID:5300
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /save 1698019301
        7⤵
        Executes dropped EXE
        
        PID:5436
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /protect 1698019301
        6⤵
        
        PID:5608
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /protect 1698019301
        7⤵
        Executes dropped EXE
        
        PID:5764
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe+63141.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe
        8⤵
        
        PID:5208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe 1698019301
        8⤵
        
        PID:6572
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe 1698019301
        9⤵
        
        PID:9196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:8216
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:8568
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe+018121.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412070.exe
        8⤵
        
        PID:9892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412070.exe 1698019301
        8⤵
        
        PID:10028
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /save 1698019301
        6⤵
        
        PID:5900
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /save 1698019301
        7⤵
        Executes dropped EXE
        
        PID:6704
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:2052
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:9068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        7⤵
        
        PID:4392
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        8⤵
        Kills process with taskkill
        
        PID:9352
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /killwindows 1698019301
        6⤵
        
        PID:5748
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /killwindows 1698019301
        7⤵
        
        PID:6304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        8⤵
        
        PID:7752
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        9⤵
        Modifies file permissions
        
        PID:4268
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        8⤵
        
        PID:11912
        
        C:\Windows\system32\cacls.exe
        
        Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        9⤵
        
        PID:9644
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /KillHardDisk 1698019301
        6⤵
        
        PID:6540
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /KillHardDisk 1698019301
        7⤵
        
        PID:1808
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        8⤵
        
        PID:10608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        8⤵
        
        PID:4012
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /autoup 1698019301
        6⤵
        
        PID:10180
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /killMBR 1698019301
        6⤵
        
        PID:4924
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /killMBR 1698019301
        7⤵
        
        PID:10376
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /protect 1698019301
        6⤵
        
        PID:10716
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /protect 1698019301
        7⤵
        
        PID:9848
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /autoup 1698019301
        6⤵
        
        PID:5512
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /autoup 1698019301
        7⤵
        
        PID:11888
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:13004
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /killwindows 1698019301
        6⤵
        
        PID:14228
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /autoup 1698019301
        6⤵
        
        PID:13284
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe+93768.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe
      4⤵
      PID:992
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe 1698019301
      4⤵
      PID:788
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe 1698019301
        5⤵
        Executes dropped EXE
        
        PID:2564
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:6988
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:7680
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe /KillHardDisk 1698019301
        6⤵
        
        PID:1188
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe /KillHardDisk 1698019301
        7⤵
        
        PID:9800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        8⤵
        
        PID:8576
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe /killwindows 1698019301
        6⤵
        
        PID:7788
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe /autoup 1698019301
        6⤵
        
        PID:8620
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe /killMBR 1698019301
        6⤵
        
        PID:10084
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe /killMBR 1698019301
        7⤵
        
        PID:4336
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe /protect 1698019301
        6⤵
        
        PID:10588
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe /protect 1698019301
        7⤵
        
        PID:11016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe+814182.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412098.exe
        8⤵
        
        PID:5560
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412098.exe 1698019301
        8⤵
        
        PID:12724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412093.exe 1698019301
        8⤵
        
        PID:13576
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe+332202.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412093.exe
        8⤵
        
        PID:3836
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe /autoup 1698019301
        6⤵
        
        PID:3440
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe /autoup 1698019301
        7⤵
        
        PID:12688
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe /autoup 1698019301
        6⤵
        
        PID:2496
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe /autoup 1698019301
        7⤵
        
        PID:5960
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:14040
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /save 1698019301
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2956
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /save 1698019301
    3⤵
    PID:3912
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /protect 1698019301
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:1156
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /protect 1698019301
    3⤵
    PID:4324
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe+326729.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
      4⤵
      PID:2392
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /save 1698019301
  2⤵
  PID:3096
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /save 1698019301
    3⤵
    PID:404
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /protect 1698019301
  2⤵
  PID:3248
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /protect 1698019301
    3⤵
    PID:5344
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe+63663.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe
      4⤵
      PID:5320
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe 1698019301
      4⤵
      PID:5708
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe 1698019301
        5⤵
        
        PID:9152
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:6920
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:9388
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe /autoup 1698019301
        6⤵
        
        PID:10168
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe /autoup 1698019301
        7⤵
        
        PID:7504
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412022.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412022.exe 1698019301
        7⤵
        
        PID:2052
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe /killwindows 1698019301
        6⤵
        
        PID:7644
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe /killwindows 1698019301
        7⤵
        
        PID:5676
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        8⤵
        
        PID:10460
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        9⤵
        Modifies file permissions
        
        PID:13088
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        8⤵
        
        PID:14180
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe /KillHardDisk 1698019301
        6⤵
        
        PID:4244
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe /KillHardDisk 1698019301
        7⤵
        
        PID:10856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        8⤵
        
        PID:10876
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        8⤵
        
        PID:13164
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe /killMBR 1698019301
        6⤵
        
        PID:11148
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe /killMBR 1698019301
        7⤵
        
        PID:12388
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe /protect 1698019301
        6⤵
        
        PID:13076
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe /protect 1698019301
        7⤵
        
        PID:1784
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41206.exe /autoup 1698019301
        6⤵
        
        PID:13620
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe+46341.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41204.exe
      4⤵
      PID:9912
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41204.exe 1698019301
      4⤵
      PID:9368
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /save 1698019301
  2⤵
  PID:5388
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /save 1698019301
    3⤵
    PID:5412
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /protect 1698019301
  2⤵
  PID:5688
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /protect 1698019301
    3⤵
    PID:5780
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe+913889.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe
      4⤵
      PID:6340
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /save 1698019301
  2⤵
  PID:5820
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120.exe /save 1698019301
    3⤵
    PID:4872
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
  2⤵
  PID:7028
- - C:\Windows\system32\taskkill.exe
    taskkill /f /im explorer.exe
    3⤵
    - Kills process with taskkill
    PID:7904

C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --profile-directory=Default
1⤵
PID:660
- C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
  "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=crashpad-handler "--user-data-dir=C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data" /prefetch:7 --monitor-self-annotation=ptype=crashpad-handler "--database=C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Crashpad" "--metrics-dir=C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data" --annotation=IsOfficialBuild=1 --annotation=channel= --annotation=chromium-version=92.0.4515.131 "--annotation=exe=C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --annotation=plat=Win64 "--annotation=prod=Microsoft Edge" --annotation=ver=92.0.902.67 --initial-client-data=0x124,0x128,0x12c,0x100,0x130,0x7ffa380d46f8,0x7ffa380d4708,0x7ffa380d4718
  2⤵
  PID:3560
- C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
  "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=utility --utility-sub-type=network.mojom.NetworkService --field-trial-handle=2192,865113023844769970,9998910481881028421,131072 --lang=en-US --service-sandbox-type=none --mojo-platform-channel-handle=2264 /prefetch:3
  2⤵
  PID:7316
- C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
  "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=gpu-process --field-trial-handle=2192,865113023844769970,9998910481881028421,131072 --gpu-preferences=UAAAAAAAAADgAAAQAAAAAAAAAAAAAAAAAABgAAAAAAAwAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAHgAAAAAAAAAeAAAAAAAAAAoAAAABAAAACAAAAAAAAAAKAAAAAAAAAAwAAAAAAAAADgAAAAAAAAAEAAAAAAAAAAAAAAADQAAABAAAAAAAAAAAQAAAA0AAAAQAAAAAAAAAAQAAAANAAAAEAAAAAAAAAAHAAAADQAAAAgAAAAAAAAACAAAAAAAAAA= --mojo-platform-channel-handle=2204 /prefetch:2
  2⤵
  PID:7308

C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --profile-directory=Default
1⤵
PID:5024
- C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
  "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=crashpad-handler "--user-data-dir=C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data" /prefetch:7 --monitor-self-annotation=ptype=crashpad-handler "--database=C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Crashpad" "--metrics-dir=C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data" --annotation=IsOfficialBuild=1 --annotation=channel= --annotation=chromium-version=92.0.4515.131 "--annotation=exe=C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --annotation=plat=Win64 "--annotation=prod=Microsoft Edge" --annotation=ver=92.0.902.67 --initial-client-data=0x118,0x11c,0x120,0xf4,0x124,0x7ffa380d46f8,0x7ffa380d4708,0x7ffa380d4718
  2⤵
  PID:3836
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe /protect 1698019301
    3⤵
    PID:12608
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe+123362.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120291.exe
      4⤵
      PID:10608
- C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
  "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=gpu-process --field-trial-handle=2260,16565955588608078366,4741245148717850627,131072 --gpu-preferences=UAAAAAAAAADgAAAQAAAAAAAAAAAAAAAAAABgAAAAAAAwAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAHgAAAAAAAAAeAAAAAAAAAAoAAAABAAAACAAAAAAAAAAKAAAAAAAAAAwAAAAAAAAADgAAAAAAAAAEAAAAAAAAAAAAAAADQAAABAAAAAAAAAAAQAAAA0AAAAQAAAAAAAAAAQAAAANAAAAEAAAAAAAAAAHAAAADQAAAAgAAAAAAAAACAAAAAAAAAA= --mojo-platform-channel-handle=2272 /prefetch:2
  2⤵
  PID:7268
- C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
  "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=utility --utility-sub-type=storage.mojom.StorageService --field-trial-handle=2260,16565955588608078366,4741245148717850627,131072 --lang=en-US --service-sandbox-type=utility --mojo-platform-channel-handle=2668 /prefetch:8
  2⤵
  PID:7348
- C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
  "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=utility --utility-sub-type=network.mojom.NetworkService --field-trial-handle=2260,16565955588608078366,4741245148717850627,131072 --lang=en-US --service-sandbox-type=none --mojo-platform-channel-handle=2324 /prefetch:3
  2⤵
  PID:7340
- C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
  "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=renderer --field-trial-handle=2260,16565955588608078366,4741245148717850627,131072 --lang=en-US --disable-client-side-phishing-detection --instant-process --device-scale-factor=1 --num-raster-threads=4 --enable-main-frame-before-activation --renderer-client-id=5 --no-v8-untrusted-code-mitigations --mojo-platform-channel-handle=3428 /prefetch:1
  2⤵
  PID:7280
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe /KillHardDisk 1698019301
    3⤵
    PID:12624
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c del C:\users /r /f
      4⤵
      PID:13268
- C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
  "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=renderer --field-trial-handle=2260,16565955588608078366,4741245148717850627,131072 --lang=en-US --disable-client-side-phishing-detection --device-scale-factor=1 --num-raster-threads=4 --enable-main-frame-before-activation --renderer-client-id=6 --no-v8-untrusted-code-mitigations --mojo-platform-channel-handle=3420 /prefetch:1
  2⤵
  PID:760
- C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
  "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=renderer --field-trial-handle=2260,16565955588608078366,4741245148717850627,131072 --lang=en-US --disable-client-side-phishing-detection --device-scale-factor=1 --num-raster-threads=4 --enable-main-frame-before-activation --renderer-client-id=7 --no-v8-untrusted-code-mitigations --mojo-platform-channel-handle=5076 /prefetch:1
  2⤵
  PID:9996
- C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
  "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=renderer --field-trial-handle=2260,16565955588608078366,4741245148717850627,131072 --lang=en-US --disable-client-side-phishing-detection --instant-process --device-scale-factor=1 --num-raster-threads=4 --enable-main-frame-before-activation --renderer-client-id=8 --no-v8-untrusted-code-mitigations --mojo-platform-channel-handle=5140 /prefetch:1
  2⤵
  PID:6892

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:2748

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /save 1698019301
1⤵
- Executes dropped EXE
PID:5740

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /protect 1698019301
1⤵
- Executes dropped EXE
PID:5788
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe+913889.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
  2⤵
  PID:6284
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe 1698019301
  2⤵
  PID:4484
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe 1698019301
    3⤵
    PID:9172
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
      4⤵
      PID:3284
    - - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        5⤵
        Kills process with taskkill
        
        PID:9456
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /autoup 1698019301
      4⤵
      PID:8464
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /autoup 1698019301
        5⤵
        
        PID:9072
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /KillHardDisk 1698019301
      4⤵
      PID:10312
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /KillHardDisk 1698019301
        5⤵
        
        PID:10812
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        6⤵
        
        PID:5760
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        6⤵
        
        PID:7676
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        6⤵
        
        PID:12424
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /killMBR 1698019301
      4⤵
      PID:11108
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /killMBR 1698019301
        5⤵
        
        PID:12616
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /killwindows 1698019301
      4⤵
      PID:8972
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /protect 1698019301
      4⤵
      PID:12784
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /KillHardDisk 1698019301
      4⤵
      PID:14256
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /autoup 1698019301
      4⤵
      PID:4052
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe+622048.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe
  2⤵
  PID:9548
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe 1698019301
  2⤵
  PID:7856

C:\Program Files\Mozilla Firefox\firefox.exe
"C:\Program Files\Mozilla Firefox\firefox.exe"
1⤵
- Checks processor information in registry
PID:6904

C:\Program Files\Mozilla Firefox\firefox.exe
"C:\Program Files\Mozilla Firefox\firefox.exe"
1⤵
- Checks processor information in registry
PID:6896
- C:\Program Files\Mozilla Firefox\firefox.exe
  "C:\Program Files\Mozilla Firefox\firefox.exe" -contentproc --channel="6896.0.1191805477\1031208135" -parentBuildID 20221007134813 -prefsHandle 1700 -prefMapHandle 1692 -prefsLen 20938 -prefMapSize 232675 -appDir "C:\Program Files\Mozilla Firefox\browser" - {1feed664-8a72-4d5c-930b-45d467dda12a} 6896 "\\.\pipe\gecko-crash-server-pipe.6896" 1800 23841204158 gpu
  2⤵
  PID:8104
- C:\Program Files\Mozilla Firefox\firefox.exe
  "C:\Program Files\Mozilla Firefox\firefox.exe" -contentproc --channel="6896.1.1087593015\1616666773" -parentBuildID 20221007134813 -prefsHandle 2280 -prefMapHandle 2276 -prefsLen 20974 -prefMapSize 232675 -win32kLockedDown -appDir "C:\Program Files\Mozilla Firefox\browser" - {9742afa3-3b81-4979-a001-b93b83c1ba66} 6896 "\\.\pipe\gecko-crash-server-pipe.6896" 2300 2382d36df58 socket
  2⤵
  PID:8284
- C:\Program Files\Mozilla Firefox\firefox.exe
  "C:\Program Files\Mozilla Firefox\firefox.exe" -contentproc --channel="6896.2.565826645\928669216" -childID 1 -isForBrowser -prefsHandle 3104 -prefMapHandle 2844 -prefsLen 21012 -prefMapSize 232675 -jsInitHandle 1296 -jsInitLen 246848 -a11yResourceId 64 -parentBuildID 20221007134813 -win32kLockedDown -appDir "C:\Program Files\Mozilla Firefox\browser" - {d63eb2c4-4275-4519-b9ae-43eb894568e0} 6896 "\\.\pipe\gecko-crash-server-pipe.6896" 2820 23840461c58 tab
  2⤵
  PID:9132
- C:\Program Files\Mozilla Firefox\firefox.exe
  "C:\Program Files\Mozilla Firefox\firefox.exe" -contentproc --channel="6896.3.1606756217\542217110" -childID 2 -isForBrowser -prefsHandle 4188 -prefMapHandle 4184 -prefsLen 26437 -prefMapSize 232675 -jsInitHandle 1296 -jsInitLen 246848 -a11yResourceId 64 -parentBuildID 20221007134813 -win32kLockedDown -appDir "C:\Program Files\Mozilla Firefox\browser" - {a010260b-bc91-41f7-9da7-2602ca099ba5} 6896 "\\.\pipe\gecko-crash-server-pipe.6896" 4232 23843a87558 tab
  2⤵
  PID:10008
- C:\Program Files\Mozilla Firefox\firefox.exe
  "C:\Program Files\Mozilla Firefox\firefox.exe" -contentproc --channel="6896.4.2002919228\787685927" -childID 3 -isForBrowser -prefsHandle 4484 -prefMapHandle 4480 -prefsLen 26437 -prefMapSize 232675 -jsInitHandle 1296 -jsInitLen 246848 -a11yResourceId 64 -parentBuildID 20221007134813 -win32kLockedDown -appDir "C:\Program Files\Mozilla Firefox\browser" - {cb2530f5-30ae-4735-8a6e-a57af788d290} 6896 "\\.\pipe\gecko-crash-server-pipe.6896" 4496 23844cd4358 tab
  2⤵
  PID:5708
- C:\Program Files\Mozilla Firefox\firefox.exe
  "C:\Program Files\Mozilla Firefox\firefox.exe" -contentproc --channel="6896.7.2008949650\982161264" -childID 6 -isForBrowser -prefsHandle 5324 -prefMapHandle 5312 -prefsLen 26842 -prefMapSize 232675 -jsInitHandle 1296 -jsInitLen 246848 -a11yResourceId 64 -parentBuildID 20221007134813 -win32kLockedDown -appDir "C:\Program Files\Mozilla Firefox\browser" - {03432abd-355a-4312-919c-23b3562ce752} 6896 "\\.\pipe\gecko-crash-server-pipe.6896" 5296 23842c5a958 tab
  2⤵
  PID:6484
- C:\Program Files\Mozilla Firefox\crashreporter.exe
  "C:\Program Files\Mozilla Firefox\crashreporter.exe" "C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\f3zxqty5.default-release\minidumps\5fb3fe4f-3094-4786-9cdc-71cad3105aba.dmp"
  2⤵
  PID:13952
- C:\Program Files\Mozilla Firefox\firefox.exe
  "C:\Program Files\Mozilla Firefox\firefox.exe" -contentproc --channel="6896.6.1420297898\1593059875" -childID 5 -isForBrowser -prefsHandle 3232 -prefMapHandle 4604 -prefsLen 26761 -prefMapSize 232675 -jsInitHandle 1296 -jsInitLen 246848 -a11yResourceId 64 -parentBuildID 20221007134813 -win32kLockedDown -appDir "C:\Program Files\Mozilla Firefox\browser" - {a9546f83-1ff5-49d5-b236-26d47568cfe8} 6896 "\\.\pipe\gecko-crash-server-pipe.6896" 5044 23845396258 tab
  2⤵
  PID:2800
- C:\Program Files\Mozilla Firefox\firefox.exe
  "C:\Program Files\Mozilla Firefox\firefox.exe" -contentproc --channel="6896.5.596224921\1934027589" -childID 4 -isForBrowser -prefsHandle 4208 -prefMapHandle 3924 -prefsLen 26761 -prefMapSize 232675 -jsInitHandle 1296 -jsInitLen 246848 -a11yResourceId 64 -parentBuildID 20221007134813 -win32kLockedDown -appDir "C:\Program Files\Mozilla Firefox\browser" - {f24e2032-05e9-4dfa-8016-c97e4029e171} 6896 "\\.\pipe\gecko-crash-server-pipe.6896" 4460 2382d366858 tab
  2⤵
  PID:10508

C:\Program Files\Mozilla Firefox\firefox.exe
"C:\Program Files\Mozilla Firefox\firefox.exe"
1⤵
PID:6888
- C:\Program Files\Mozilla Firefox\firefox.exe
  "C:\Program Files\Mozilla Firefox\firefox.exe"
  2⤵
  - Checks processor information in registry
  PID:6168

C:\Program Files\Mozilla Firefox\firefox.exe
"C:\Program Files\Mozilla Firefox\firefox.exe"
1⤵
- Checks processor information in registry
PID:6916
- C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
  C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /autoup 1698019301
  2⤵
  PID:7808

C:\Program Files\Mozilla Firefox\firefox.exe
"C:\Program Files\Mozilla Firefox\firefox.exe"
1⤵
PID:6716
- C:\Program Files\Mozilla Firefox\firefox.exe
  "C:\Program Files\Mozilla Firefox\firefox.exe"
  2⤵
  - Checks processor information in registry
  PID:6936

C:\Windows\System32\CompPkgSrv.exe
C:\Windows\System32\CompPkgSrv.exe -Embedding
1⤵
PID:8832

C:\Windows\System32\CompPkgSrv.exe
C:\Windows\System32\CompPkgSrv.exe -Embedding
1⤵
PID:9076

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
1⤵
PID:7624
- C:\Windows\system32\taskkill.exe
  taskkill /f /im explorer.exe
  2⤵
  - Kills process with taskkill
  PID:6892

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe 1698019301
1⤵
PID:9956
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
  2⤵
  PID:6180
- - C:\Windows\system32\taskkill.exe
    taskkill /f /im explorer.exe
    3⤵
    - Kills process with taskkill
    PID:7492

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412029.exe 1698019301
1⤵
PID:8996
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
  2⤵
  PID:4360
- - C:\Windows\system32\taskkill.exe
    taskkill /f /im explorer.exe
    3⤵
    - Kills process with taskkill
    PID:8100

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /autoup 1698019301
1⤵
PID:8404

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
1⤵
PID:7352
- C:\Windows\system32\taskkill.exe
  taskkill /f /im explorer.exe
  2⤵
  - Kills process with taskkill
  PID:7564

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
1⤵
PID:8312

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
1⤵
PID:8480
- C:\Windows\system32\taskkill.exe
  taskkill /f /im explorer.exe
  2⤵
  - Kills process with taskkill
  PID:6488

C:\Windows\system32\taskkill.exe
taskkill /f /im explorer.exe
1⤵
- Kills process with taskkill
PID:3232

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /autoup 1698019301
1⤵
PID:8460

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe /killwindows 1698019301
1⤵
PID:4240
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
  2⤵
  PID:4636
- - C:\Windows\system32\takeown.exe
    takeown /f C:\windows\system32\taskmgr.exe
    3⤵
    - Modifies file permissions
    PID:6812
- C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe
  C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe 1698019301
  2⤵
  PID:8136
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe /autoup 1698019301
    3⤵
    PID:5840
  - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe
      C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe /autoup 1698019301
      4⤵
      PID:10632
  - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe
      C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /KillHardDisk 1698019301
      4⤵
      PID:7540
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        5⤵
        
        PID:9876
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        5⤵
        
        PID:220
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe /killwindows 1698019301
    3⤵
    PID:10848
  - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe
      C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe /killwindows 1698019301
      4⤵
      PID:224
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe /killMBR 1698019301
    3⤵
    PID:13204
  - - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe
      C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe /killMBR 1698019301
      4⤵
      PID:12972
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe /protect 1698019301
    3⤵
    PID:13772
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412036.exe /KillHardDisk 1698019301
    3⤵
    PID:7280
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
  2⤵
  PID:11796

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe /autoup 1698019301
1⤵
PID:876
- C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe
  C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe /autoup 1698019301
  2⤵
  PID:10188

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /KillHardDisk 1698019301
1⤵
PID:1728
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c del C:\users /r /f
  2⤵
  PID:5980

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe /killwindows 1698019301
1⤵
PID:6396
- C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe
  C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe /killwindows 1698019301
  2⤵
  PID:7252
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
    3⤵
    PID:6784
  - - C:\Windows\system32\takeown.exe
      takeown /f C:\windows\system32\taskmgr.exe
      4⤵
      Modifies file permissions
      PID:11444
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
    3⤵
    PID:13532

C:\Windows\system32\taskkill.exe
taskkill /f /im explorer.exe
1⤵
- Kills process with taskkill
PID:6936

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
1⤵
PID:8064
- C:\Windows\system32\takeown.exe
  takeown /f C:\windows\system32\taskmgr.exe
  2⤵
  - Modifies file permissions
  PID:5556

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
1⤵
PID:6940
- C:\Windows\system32\takeown.exe
  takeown /f C:\windows\system32\taskmgr.exe
  2⤵
  - Modifies file permissions
  PID:4972

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /killwindows 1698019301
1⤵
PID:10160
- C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412032.exe
  C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412032.exe 1698019301
  2⤵
  PID:9888

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /killwindows 1698019301
1⤵
PID:4984

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
1⤵
PID:4860

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
1⤵
PID:8392

C:\Windows\system32\taskkill.exe
taskkill /f /im explorer.exe
1⤵
- Kills process with taskkill
PID:4892

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412070.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412070.exe 1698019301
1⤵
PID:3776

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe 1698019301
1⤵
PID:8164
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe /KillHardDisk 1698019301
  2⤵
  PID:4820
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe /KillHardDisk 1698019301
    3⤵
    PID:8936
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c del C:\users /r /f
      4⤵
      PID:10980
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c mountvol c: /d
      4⤵
      PID:13184
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe /killMBR 1698019301
  2⤵
  PID:10580
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe /killMBR 1698019301
    3⤵
    PID:11004
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe /protect 1698019301
  2⤵
  PID:4388
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe /protect 1698019301
    3⤵
    PID:12680
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe+123362.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120761.exe
      4⤵
      PID:12824
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe /autoup 1698019301
  2⤵
  PID:12896
- - C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe /autoup 1698019301
    3⤵
    PID:13128
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412076.exe C:\windows\system32\taskmgr.exe
  2⤵
  PID:13360

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /autoup 1698019301
1⤵
PID:10208

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe /autoup 1698019301
1⤵
PID:4848

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412022.exe 1698019301
1⤵
PID:10168

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412032.exe 1698019301
1⤵
PID:10160
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\config /t /e /c /gAdmin:F
  2⤵
  PID:13308
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c del /q C:\windows\system32\config
  2⤵
  PID:11108
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32 /t /e /c /gAdmin:F
  2⤵
  PID:10608
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c del /q C:\windows\system32
  2⤵
  PID:7580
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\config
  2⤵
  PID:14032
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c del /f C:\windows\system32\taskmgr.exe
  2⤵
  PID:13612
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
  2⤵
  PID:14264
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
  2⤵
  PID:13400
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
  2⤵
  PID:12480
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32
  2⤵
  PID:9632
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\config
  2⤵
  PID:11316

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /killwindows 1698019301
1⤵
PID:11040
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
  2⤵
  PID:11476
- - C:\Windows\system32\takeown.exe
    takeown /f C:\windows\system32\taskmgr.exe
    3⤵
    - Modifies file permissions
    PID:11924

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /killMBR 1698019301
1⤵
PID:10300

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /killwindows 1698019301
1⤵
PID:2988
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
  2⤵
  PID:6716
- - C:\Windows\system32\takeown.exe
    takeown /f C:\windows\system32\taskmgr.exe
    3⤵
    - Modifies file permissions
    PID:12964
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
  2⤵
  PID:11340

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe+224930.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120302.exe
1⤵
PID:11416

C:\Windows\system32\takeown.exe
takeown /f C:\windows\system32\taskmgr.exe
1⤵
- Modifies file permissions
PID:11452

C:\Windows\system32\takeown.exe
takeown /f C:\windows\system32\taskmgr.exe
1⤵
- Modifies file permissions
PID:12976

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /protect 1698019301
1⤵
PID:13196

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120302.exe 1698019301
1⤵
PID:12656

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /autoup 1698019301
1⤵
PID:12632

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe /autoup 1698019301
1⤵
PID:12600

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412078.exe 1698019301
1⤵
PID:788
- C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412078.exe
  C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412078.exe 1698019301
  2⤵
  PID:13372

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412038.exe 1698019301
1⤵
PID:8824
- C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412038.exe
  C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412038.exe 1698019301
  2⤵
  PID:11824

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe+83361.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e4120308.exe
1⤵
PID:12788

C:\Windows\system32\cacls.exe
Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
1⤵
PID:11576

C:\Windows\system32\takeown.exe
takeown /f C:\windows\system32\taskmgr.exe
1⤵
- Modifies file permissions
PID:4280

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /KillHardDisk 1698019301
1⤵
PID:12320

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe /autoup 1698019301
1⤵
PID:11284

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
1⤵
PID:13984

C:\Windows\system32\mountvol.exe
mountvol c: /d
1⤵
PID:13972

C:\Windows\system32\mountvol.exe
mountvol c: /d
1⤵
PID:13792

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe+911214.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412039.exe
1⤵
PID:13700

C:\Windows\system32\cacls.exe
Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
1⤵
PID:14248

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe /autoup 1698019301
1⤵
PID:13428

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe+123362.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412021.exe
1⤵
PID:12644

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412030.exe /autoup 1698019301
1⤵
PID:11448

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412078.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412078.exe 1698019301
1⤵
PID:5604

C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412079.exe /autoup 1698019301
1⤵
PID:12560

C:\Windows\system32\taskkill.exe
taskkill /f /im explorer.exe
1⤵
- Kills process with taskkill
PID:11612

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
1⤵
PID:11528

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe+813659.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412078.exe
1⤵
PID:11860

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
1⤵
PID:11840

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe+813659.txt C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412038.exe
1⤵
PID:11824

C:\Windows\system32\werfault.exe
werfault.exe /h /shared Global\5f64bae91e284534a61313d7ec1c777e /t 4112 /p 10028
1⤵
PID:6000

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

File and Directory Permissions Modification

T1222

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Crashpad\settings.dat

Filesize
152B

MD5
16e56f576d6ace85337e8c07ec00c0bf

SHA1
5c9579bb4975c93a69d1336eed5f05013dc35b9c

SHA256
7796a7ba79148fc3cb46e4bbca48094376371ca9dd66f0810f7797c5e24158f5

SHA512
69e89f39fa6438a74a48985387cd2e3e003858b0855ee6cd03abf6967674503b98b90573c784b4cf785b9cca594d3c8762f92def24e2bf51374ef5a00921e5e2

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Crashpad\settings.dat

Filesize
152B

MD5
0629525c94f6548880f5f3a67846755e

SHA1
40ef667fc04bb1c0ae4bf2c17ded88594f0f4423

SHA256
812576f4a24f399abbd54b83ba7f404f021d4a7d2ec0fd2f988ebf4cbf8477ee

SHA512
f74d2e4a65a152f46852eb78dd70a958fdfb8c14e060ca41ffa783b7362e44659cc5fc73f59f3edb1f1d817000b85de7c1860512aa65d937eb5a0a8d9e5890fa

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Crashpad\settings.dat

Filesize
152B

MD5
0629525c94f6548880f5f3a67846755e

SHA1
40ef667fc04bb1c0ae4bf2c17ded88594f0f4423

SHA256
812576f4a24f399abbd54b83ba7f404f021d4a7d2ec0fd2f988ebf4cbf8477ee

SHA512
f74d2e4a65a152f46852eb78dd70a958fdfb8c14e060ca41ffa783b7362e44659cc5fc73f59f3edb1f1d817000b85de7c1860512aa65d937eb5a0a8d9e5890fa

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Network Persistent State

Filesize
111B

MD5
285252a2f6327d41eab203dc2f402c67

SHA1
acedb7ba5fbc3ce914a8bf386a6f72ca7baa33c6

SHA256
5dfc321417fc31359f23320ea68014ebfd793c5bbed55f77dab4180bbd4a2026

SHA512
11ce7cb484fee66894e63c31db0d6b7ef66ad0327d4e7e2eb85f3bcc2e836a3a522c68d681e84542e471e54f765e091efe1ee4065641b0299b15613eb32dcc0d

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Preferences

Filesize
6KB

MD5
c58f5ac17e555ad7e752b4c752aca817

SHA1
9a5c80500f02ee0e7dfc06ac1e50ff29dd92e450

SHA256
b17e5eafa72dc68fbb6af875b798a4206c814224e176c75ba64a119870e705ab

SHA512
be1bf8f914bb3b90c7683ecce56cb8850f2918bd1688e155e7f8b28719f1c81a33255d8606f9a64edbeafc39a3d22ddc27607f079d03d567768916a130589d8f

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Preferences

Filesize
5KB

MD5
7e39dcc3cedf3ff7806c4f84352279d1

SHA1
fd5cb2046a4b4530ad10fe112a6775ac8dc8d99e

SHA256
8715726b7db681fe8da3718750ac157df198982c52d6386f9ce81e7a24489f98

SHA512
afbb8f75c8d2aae160c32dedb53985687d88c5a995207912e7e5c58bd92057762129922007f8d99c8ceb6af30700740502610a3ba70e2d1d618f0e3fed7ca5db

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Secure Preferences

Filesize
24KB

MD5
06de8dd396abaf7781d066b57111c72d

SHA1
d4c7a21b2ec9118f6d4e627b9406d05a3d2607c8

SHA256
10606c3b71fbb3c1d757cb7d2ad9327b55e026f7188d44aabf96f3ad31fb3b3a

SHA512
fe103330605c2d7a9d7f016e16034721b5459b192c253263d804f87290f939121665511e8d7970f8548d275cb8e8d03080f79d3a0e29507e19224e8ea918f125

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Local State

Filesize
2KB

MD5
dc41ea67873301911f0d5c72ce8416c0

SHA1
2f480232b3f8f3d23d13219a1da69018e591c3ca

SHA256
811986f876d5258b0339b96508be06e219f4606bbbbc7e13f860bb8b55c6b380

SHA512
999a3a8a725a1f12f1094b9a9df38d71e09693d07f57b5e16e47f3d38e8ef0b8197950f7efabc85459ee9a17e792d6a10dbea66c162ed7d2d49eac6f93bae8da

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Local State

Filesize
10KB

MD5
4a48aed5b0c9b1773eca3b4f372361d9

SHA1
d634a04e0fca5b5e356bd257d8c026651ec3047d

SHA256
ce2ed030b99d3d2bb7f53dfd65e96342b44cf8ac851d9c523c935b1773b7f630

SHA512
2842e746e8d0564fbe90e24f6adbb20f94c164b9e3630d7e712e3efc59189f1a579205e5a543f14dab228a18a3adefbf140c732287644be90d6863f0cdf19a55

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Local State

Filesize
10KB

MD5
cdd9bffa7c90c39308da7c519ade848e

SHA1
b587a66e32466e831f7aed4ce2be60ac50e8a1ca

SHA256
ba93acb5d149243ded1ebd043af8166ec7011f5324a96c3fbcebc4dba44accb0

SHA512
9f3d9428ecf1b42ddc451ac6569f39628406a8b2707454652bfda7f2af01c89ebc0a1aa6808cd2ff61654788f7388fa53082ca80bdf90b8189bce7d213c2f9b8

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\ShaderCache\GPUCache\data_1

Filesize
264KB

MD5
f50f89a0a91564d0b8a211f8921aa7de

SHA1
112403a17dd69d5b9018b8cede023cb3b54eab7d

SHA256
b1e963d702392fb7224786e7d56d43973e9b9efd1b89c17814d7c558ffc0cdec

SHA512
bf8cda48cf1ec4e73f0dd1d4fa5562af1836120214edb74957430cd3e4a2783e801fa3f4ed2afb375257caeed4abe958265237d6e0aacf35a9ede7a2e8898d58

Download Submit
C:\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\f3zxqty5.default-release\activity-stream.discovery_stream.json.tmp

Filesize
21KB

MD5
ce8fb39b815f78aec95ed4c1d7c7de84

SHA1
c59f178e9620b747ca18062ff17238e1e0b87a2c

SHA256
f11a8df3490e4b04f7dfb6f7b698b45659dba58ff9834e537726c601799da022

SHA512
910dcb35c4392534a120edd18d8e3a494b6fb8a74474eb21aeac0e4fc5ea9a9e41ab7b30003efbf47bc0626d6cd63849876bbc7e884adfcee3a74b2a4637cdb1

Download Submit
C:\Users\Admin\AppData\Local\Temp\014935.txt

Filesize
5B

MD5
bd2ef2fc182ccd107c829cfa92fba995

SHA1
9b656c2435d0535dd1ff9f06bb62be66c0fcc141

SHA256
e2b3867367005d290a40c99e4dc588f92b46c2210e865ba49710da17963203bc

SHA512
61fa6c47dd76a9ae4298931f22cca4d5b986034f1cfe936b46b44c9c68b9a616c7e198c8bb633b653475dfaaca6478acfeafde5c8d54e9389e2241a539575dd3

Download Submit
C:\Users\Admin\AppData\Local\Temp\232609.txt

Filesize
4B

MD5
8ce1a43fb75e779c6b794ba4d255cf6d

SHA1
8ef8af707daaa2b70a0e76e61aaf9537b1fb4d7e

SHA256
b03fe167cb5990717dfb19877150d4a4c5f6e4805b4ad99098a6cc0cbfe83f8a

SHA512
c3944171615ac3e878480d9643a7e4f47197c0e2abc9fa7c58c66ccbf2a0b490618e76459609e94a6a547b4f1e5153ef95990525c08e750d63f1b7710701b762

Download Submit
C:\Users\Admin\AppData\Local\Temp\268326.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\27276.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\32162.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\325683.txt

Filesize
5B

MD5
78bbb28f2ca60a5b9e82650b8b297cd4

SHA1
4a2e6b052691515afa1f37fb0d2b8c1c74f4f792

SHA256
62b92aa65205d93117251f2f3cc0cd473e4c2baae834aef0e75d12e66b311db6

SHA512
b8c54d003d8c8350544b4df666ddc7b4768d96d5accbc2302b8d3d4eedef25775eb23828446e5e85471383d33600df5543a2ea3fc356c866a0c1653a9c154db5

Download Submit
C:\Users\Admin\AppData\Local\Temp\325683.txt

Filesize
5B

MD5
78bbb28f2ca60a5b9e82650b8b297cd4

SHA1
4a2e6b052691515afa1f37fb0d2b8c1c74f4f792

SHA256
62b92aa65205d93117251f2f3cc0cd473e4c2baae834aef0e75d12e66b311db6

SHA512
b8c54d003d8c8350544b4df666ddc7b4768d96d5accbc2302b8d3d4eedef25775eb23828446e5e85471383d33600df5543a2ea3fc356c866a0c1653a9c154db5

Download Submit
C:\Users\Admin\AppData\Local\Temp\325683.txt

Filesize
5B

MD5
78bbb28f2ca60a5b9e82650b8b297cd4

SHA1
4a2e6b052691515afa1f37fb0d2b8c1c74f4f792

SHA256
62b92aa65205d93117251f2f3cc0cd473e4c2baae834aef0e75d12e66b311db6

SHA512
b8c54d003d8c8350544b4df666ddc7b4768d96d5accbc2302b8d3d4eedef25775eb23828446e5e85471383d33600df5543a2ea3fc356c866a0c1653a9c154db5

Download Submit
C:\Users\Admin\AppData\Local\Temp\325683.txt

Filesize
5B

MD5
78bbb28f2ca60a5b9e82650b8b297cd4

SHA1
4a2e6b052691515afa1f37fb0d2b8c1c74f4f792

SHA256
62b92aa65205d93117251f2f3cc0cd473e4c2baae834aef0e75d12e66b311db6

SHA512
b8c54d003d8c8350544b4df666ddc7b4768d96d5accbc2302b8d3d4eedef25775eb23828446e5e85471383d33600df5543a2ea3fc356c866a0c1653a9c154db5

Download Submit
C:\Users\Admin\AppData\Local\Temp\325683.txt

Filesize
5B

MD5
78bbb28f2ca60a5b9e82650b8b297cd4

SHA1
4a2e6b052691515afa1f37fb0d2b8c1c74f4f792

SHA256
62b92aa65205d93117251f2f3cc0cd473e4c2baae834aef0e75d12e66b311db6

SHA512
b8c54d003d8c8350544b4df666ddc7b4768d96d5accbc2302b8d3d4eedef25775eb23828446e5e85471383d33600df5543a2ea3fc356c866a0c1653a9c154db5

Download Submit
C:\Users\Admin\AppData\Local\Temp\326729.txt

Filesize
5B

MD5
4d5392d91f16d558eef803211e81f4f2

SHA1
712079d90c160fd3e5753147fe7167a5e0bd3354

SHA256
6c771dead8bc0edfd9638b7cea924cac5d786b9f12cfdf254e2f83860b295781

SHA512
748cdfab27e94761938f0b0cd2c50ee21398b98720bad377073fed29fb8177d3773faf544605d7be80dfb47caf1f6394facc187c370a916182b313f1a2a357d7

Download Submit
C:\Users\Admin\AppData\Local\Temp\326729.txt

Filesize
5B

MD5
4d5392d91f16d558eef803211e81f4f2

SHA1
712079d90c160fd3e5753147fe7167a5e0bd3354

SHA256
6c771dead8bc0edfd9638b7cea924cac5d786b9f12cfdf254e2f83860b295781

SHA512
748cdfab27e94761938f0b0cd2c50ee21398b98720bad377073fed29fb8177d3773faf544605d7be80dfb47caf1f6394facc187c370a916182b313f1a2a357d7

Download Submit
C:\Users\Admin\AppData\Local\Temp\327251.txt

Filesize
5B

MD5
8e8005fe9e75607ca4be6bc2cc0e1e2d

SHA1
fc027fce231239982b684a744dbbaf5d64b2e556

SHA256
31c195d161399389ed250593a78972ac7748383ef9252e48bd0050df365ab5bd

SHA512
04a69c41f79c1d8b244e765ffb44ea84d202b6039e335bce7f565418692b9b552535fa35e9dcca7cae9c970d3b8690b53a9d8c162239e2694edf2de272c5ceb6

Download Submit
C:\Users\Admin\AppData\Local\Temp\42924.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\4330.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\47493.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\53919.bat

Filesize
124B

MD5
7c03c1cb2bf144188cef72b6ca26835f

SHA1
fe27385cb5c3c4e507871aca84251aac0eb08cbd

SHA256
59583c1f74b2065e9284c336c2d906ebba475a3dbdfaa2769139b46ec58ebf24

SHA512
9c8a74e4265044666a4fc39e6f8bb76ae478e2c316e8b48c3677a934c943aec4ca0543d841cb28053860b8f3bd64498c97647542dfe8b745e8b8adafaacb35ba

Download Submit
C:\Users\Admin\AppData\Local\Temp\53919.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\53919.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\53919.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\53919.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\63105.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\75232.txt

Filesize
5B

MD5
83d105393b3a4b74600680deca304e97

SHA1
cc98ae1c940246900f06aced15c55683ff0265db

SHA256
768f5296364506c55b25f0296b9c3d6af9bebc836b1eee34053684f24f96c2f9

SHA512
4d296c5f3f67f6fdcc4bf483eb18c1fd0889ab3173dcd6efeccfa44082296fc543619bdaf746a594ba171acc9f8efdd4e1e09f7e581df3bed0d6c025959a3919

Download Submit
C:\Users\Admin\AppData\Local\Temp\75232.txt

Filesize
5B

MD5
83d105393b3a4b74600680deca304e97

SHA1
cc98ae1c940246900f06aced15c55683ff0265db

SHA256
768f5296364506c55b25f0296b9c3d6af9bebc836b1eee34053684f24f96c2f9

SHA512
4d296c5f3f67f6fdcc4bf483eb18c1fd0889ab3173dcd6efeccfa44082296fc543619bdaf746a594ba171acc9f8efdd4e1e09f7e581df3bed0d6c025959a3919

Download Submit
C:\Users\Admin\AppData\Local\Temp\80910.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\80910.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\913889.txt

Filesize
3B

MD5
82489c9737cc245530c7a6ebef3753ec

SHA1
41990bc354116362c6e6e8aa088d4e703104e6f7

SHA256
5283f1b4e66467616feca1e0162c7d37e4e304623d6343a525553ffb436cbdfe

SHA512
a8f5f5fbb36192ddd57c74ec621b832a4fc62944abc902d540328b03b65bba19fae9fb928c614261d47f3d7ae45629b8add98a80f907a29bf460fceec54915ad

Download Submit
C:\Users\Admin\AppData\Local\Temp\913889.txt

Filesize
3B

MD5
82489c9737cc245530c7a6ebef3753ec

SHA1
41990bc354116362c6e6e8aa088d4e703104e6f7

SHA256
5283f1b4e66467616feca1e0162c7d37e4e304623d6343a525553ffb436cbdfe

SHA512
a8f5f5fbb36192ddd57c74ec621b832a4fc62944abc902d540328b03b65bba19fae9fb928c614261d47f3d7ae45629b8add98a80f907a29bf460fceec54915ad

Download Submit
C:\Users\Admin\AppData\Local\Temp\92414.txt

Filesize
5B

MD5
86c68e91153da429d0930c9ad13d1311

SHA1
77e3c85a663722bbda8ed23281179363f7d7b3ed

SHA256
a43acb05a323ef7abf6c1d32fed6bdbbec6c54b71367f27fbbee9ea044a5bdcc

SHA512
10f56426cd2e31c537f359a3cc3c23e6ff9e62df46d40aba8f808b710babceba79e613708693d976f62321df90af44235c9c6f8625c5e8059509dd81df381521

Download Submit
C:\Users\Admin\AppData\Local\Temp\93768.txt

Filesize
4B

MD5
5eac43aceba42c8757b54003a58277b5

SHA1
f350d780ea8aaa48030b4db64f790c14dbcd757f

SHA256
8c244b370747c1930a4e0967254778ddbb69f6a409e62beebe5f92191a09a3a1

SHA512
dad0c47d949e9e8a576b80a3a90c2db5328c8848ac3213d64e95fde66cc6120f60ce7d0faf675195dc73a2905db12b5452da3f1626b28486614f5128ee7a2e09

Download Submit
C:\Users\Admin\AppData\Local\Temp\93768.txt

Filesize
4B

MD5
5eac43aceba42c8757b54003a58277b5

SHA1
f350d780ea8aaa48030b4db64f790c14dbcd757f

SHA256
8c244b370747c1930a4e0967254778ddbb69f6a409e62beebe5f92191a09a3a1

SHA512
dad0c47d949e9e8a576b80a3a90c2db5328c8848ac3213d64e95fde66cc6120f60ce7d0faf675195dc73a2905db12b5452da3f1626b28486614f5128ee7a2e09

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe

Filesize
3.0MB

MD5
e5eeeda1140702be6183236c9e97742e

SHA1
e5214fa08b5e19b81a542b66c1489a9e7d8a5857

SHA256
ed2d01990ab7eb1e7103098369a8fd7fd03b84092b5c1599cd2244958103e466

SHA512
9655c9ee853953e252c2094063cdab86ed69a0a54704e6527e4d1715fedd3140801cba2e84973038bcd9a1c6367cc2d96ed1ca3d1e472e4ad701c9f9687f3373

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe

Filesize
3.0MB

MD5
e5eeeda1140702be6183236c9e97742e

SHA1
e5214fa08b5e19b81a542b66c1489a9e7d8a5857

SHA256
ed2d01990ab7eb1e7103098369a8fd7fd03b84092b5c1599cd2244958103e466

SHA512
9655c9ee853953e252c2094063cdab86ed69a0a54704e6527e4d1715fedd3140801cba2e84973038bcd9a1c6367cc2d96ed1ca3d1e472e4ad701c9f9687f3373

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe

Filesize
3.0MB

MD5
e5eeeda1140702be6183236c9e97742e

SHA1
e5214fa08b5e19b81a542b66c1489a9e7d8a5857

SHA256
ed2d01990ab7eb1e7103098369a8fd7fd03b84092b5c1599cd2244958103e466

SHA512
9655c9ee853953e252c2094063cdab86ed69a0a54704e6527e4d1715fedd3140801cba2e84973038bcd9a1c6367cc2d96ed1ca3d1e472e4ad701c9f9687f3373

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe

Filesize
3.0MB

MD5
e5eeeda1140702be6183236c9e97742e

SHA1
e5214fa08b5e19b81a542b66c1489a9e7d8a5857

SHA256
ed2d01990ab7eb1e7103098369a8fd7fd03b84092b5c1599cd2244958103e466

SHA512
9655c9ee853953e252c2094063cdab86ed69a0a54704e6527e4d1715fedd3140801cba2e84973038bcd9a1c6367cc2d96ed1ca3d1e472e4ad701c9f9687f3373

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe

Filesize
3.0MB

MD5
e5eeeda1140702be6183236c9e97742e

SHA1
e5214fa08b5e19b81a542b66c1489a9e7d8a5857

SHA256
ed2d01990ab7eb1e7103098369a8fd7fd03b84092b5c1599cd2244958103e466

SHA512
9655c9ee853953e252c2094063cdab86ed69a0a54704e6527e4d1715fedd3140801cba2e84973038bcd9a1c6367cc2d96ed1ca3d1e472e4ad701c9f9687f3373

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41202.exe

Filesize
3.0MB

MD5
e5eeeda1140702be6183236c9e97742e

SHA1
e5214fa08b5e19b81a542b66c1489a9e7d8a5857

SHA256
ed2d01990ab7eb1e7103098369a8fd7fd03b84092b5c1599cd2244958103e466

SHA512
9655c9ee853953e252c2094063cdab86ed69a0a54704e6527e4d1715fedd3140801cba2e84973038bcd9a1c6367cc2d96ed1ca3d1e472e4ad701c9f9687f3373

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe

Filesize
3.0MB

MD5
480cab93e566cde95f31191109bb3905

SHA1
1f756237bd015f55b0cbfebe47e8e7864851c8c7

SHA256
3460facc1ddd5b0fb00df3d3532487eb44e6100bf5ac6d2fb4881c63ca84eae3

SHA512
cdbfd41ee0487b8992bec4d6f6314c6ee7051d82a57416e04f5f26ba446bbd5a5c281a357367b694ed7ae713e9d81abbda937b80b337700ddf7c48af1c70682f

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe

Filesize
3.0MB

MD5
480cab93e566cde95f31191109bb3905

SHA1
1f756237bd015f55b0cbfebe47e8e7864851c8c7

SHA256
3460facc1ddd5b0fb00df3d3532487eb44e6100bf5ac6d2fb4881c63ca84eae3

SHA512
cdbfd41ee0487b8992bec4d6f6314c6ee7051d82a57416e04f5f26ba446bbd5a5c281a357367b694ed7ae713e9d81abbda937b80b337700ddf7c48af1c70682f

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe

Filesize
3.0MB

MD5
480cab93e566cde95f31191109bb3905

SHA1
1f756237bd015f55b0cbfebe47e8e7864851c8c7

SHA256
3460facc1ddd5b0fb00df3d3532487eb44e6100bf5ac6d2fb4881c63ca84eae3

SHA512
cdbfd41ee0487b8992bec4d6f6314c6ee7051d82a57416e04f5f26ba446bbd5a5c281a357367b694ed7ae713e9d81abbda937b80b337700ddf7c48af1c70682f

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe

Filesize
3.0MB

MD5
480cab93e566cde95f31191109bb3905

SHA1
1f756237bd015f55b0cbfebe47e8e7864851c8c7

SHA256
3460facc1ddd5b0fb00df3d3532487eb44e6100bf5ac6d2fb4881c63ca84eae3

SHA512
cdbfd41ee0487b8992bec4d6f6314c6ee7051d82a57416e04f5f26ba446bbd5a5c281a357367b694ed7ae713e9d81abbda937b80b337700ddf7c48af1c70682f

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe

Filesize
3.0MB

MD5
480cab93e566cde95f31191109bb3905

SHA1
1f756237bd015f55b0cbfebe47e8e7864851c8c7

SHA256
3460facc1ddd5b0fb00df3d3532487eb44e6100bf5ac6d2fb4881c63ca84eae3

SHA512
cdbfd41ee0487b8992bec4d6f6314c6ee7051d82a57416e04f5f26ba446bbd5a5c281a357367b694ed7ae713e9d81abbda937b80b337700ddf7c48af1c70682f

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe

Filesize
3.0MB

MD5
480cab93e566cde95f31191109bb3905

SHA1
1f756237bd015f55b0cbfebe47e8e7864851c8c7

SHA256
3460facc1ddd5b0fb00df3d3532487eb44e6100bf5ac6d2fb4881c63ca84eae3

SHA512
cdbfd41ee0487b8992bec4d6f6314c6ee7051d82a57416e04f5f26ba446bbd5a5c281a357367b694ed7ae713e9d81abbda937b80b337700ddf7c48af1c70682f

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe

Filesize
3.0MB

MD5
480cab93e566cde95f31191109bb3905

SHA1
1f756237bd015f55b0cbfebe47e8e7864851c8c7

SHA256
3460facc1ddd5b0fb00df3d3532487eb44e6100bf5ac6d2fb4881c63ca84eae3

SHA512
cdbfd41ee0487b8992bec4d6f6314c6ee7051d82a57416e04f5f26ba446bbd5a5c281a357367b694ed7ae713e9d81abbda937b80b337700ddf7c48af1c70682f

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe

Filesize
3.0MB

MD5
480cab93e566cde95f31191109bb3905

SHA1
1f756237bd015f55b0cbfebe47e8e7864851c8c7

SHA256
3460facc1ddd5b0fb00df3d3532487eb44e6100bf5ac6d2fb4881c63ca84eae3

SHA512
cdbfd41ee0487b8992bec4d6f6314c6ee7051d82a57416e04f5f26ba446bbd5a5c281a357367b694ed7ae713e9d81abbda937b80b337700ddf7c48af1c70682f

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe

Filesize
3.0MB

MD5
480cab93e566cde95f31191109bb3905

SHA1
1f756237bd015f55b0cbfebe47e8e7864851c8c7

SHA256
3460facc1ddd5b0fb00df3d3532487eb44e6100bf5ac6d2fb4881c63ca84eae3

SHA512
cdbfd41ee0487b8992bec4d6f6314c6ee7051d82a57416e04f5f26ba446bbd5a5c281a357367b694ed7ae713e9d81abbda937b80b337700ddf7c48af1c70682f

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe

Filesize
3.0MB

MD5
480cab93e566cde95f31191109bb3905

SHA1
1f756237bd015f55b0cbfebe47e8e7864851c8c7

SHA256
3460facc1ddd5b0fb00df3d3532487eb44e6100bf5ac6d2fb4881c63ca84eae3

SHA512
cdbfd41ee0487b8992bec4d6f6314c6ee7051d82a57416e04f5f26ba446bbd5a5c281a357367b694ed7ae713e9d81abbda937b80b337700ddf7c48af1c70682f

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe

Filesize
3.0MB

MD5
480cab93e566cde95f31191109bb3905

SHA1
1f756237bd015f55b0cbfebe47e8e7864851c8c7

SHA256
3460facc1ddd5b0fb00df3d3532487eb44e6100bf5ac6d2fb4881c63ca84eae3

SHA512
cdbfd41ee0487b8992bec4d6f6314c6ee7051d82a57416e04f5f26ba446bbd5a5c281a357367b694ed7ae713e9d81abbda937b80b337700ddf7c48af1c70682f

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe

Filesize
3.0MB

MD5
480cab93e566cde95f31191109bb3905

SHA1
1f756237bd015f55b0cbfebe47e8e7864851c8c7

SHA256
3460facc1ddd5b0fb00df3d3532487eb44e6100bf5ac6d2fb4881c63ca84eae3

SHA512
cdbfd41ee0487b8992bec4d6f6314c6ee7051d82a57416e04f5f26ba446bbd5a5c281a357367b694ed7ae713e9d81abbda937b80b337700ddf7c48af1c70682f

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41203.exe

Filesize
3.0MB

MD5
480cab93e566cde95f31191109bb3905

SHA1
1f756237bd015f55b0cbfebe47e8e7864851c8c7

SHA256
3460facc1ddd5b0fb00df3d3532487eb44e6100bf5ac6d2fb4881c63ca84eae3

SHA512
cdbfd41ee0487b8992bec4d6f6314c6ee7051d82a57416e04f5f26ba446bbd5a5c281a357367b694ed7ae713e9d81abbda937b80b337700ddf7c48af1c70682f

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe

Filesize
3.0MB

MD5
76efb695276a9cad42b27864a0931181

SHA1
d2cdcea4e938e39966799f1c52b452f00c2a6809

SHA256
e61dbfc56a44549e24c1694885fdac38763ba1fb30705758f9b7e8e70aa679ac

SHA512
826809e234d47dffd740ae33a538f47c540ee2c2d152bb780d3d49281c60a1b4ae34a6c57465307566ae76958703d13c4ad010316f7b676cf9223369d405c849

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e412033.exe

Filesize
3.0MB

MD5
76efb695276a9cad42b27864a0931181

SHA1
d2cdcea4e938e39966799f1c52b452f00c2a6809

SHA256
e61dbfc56a44549e24c1694885fdac38763ba1fb30705758f9b7e8e70aa679ac

SHA512
826809e234d47dffd740ae33a538f47c540ee2c2d152bb780d3d49281c60a1b4ae34a6c57465307566ae76958703d13c4ad010316f7b676cf9223369d405c849

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe

Filesize
3.0MB

MD5
e078084949affe14e295e646a2b3e61e

SHA1
3e85b5a5f1adaf11da1f2ae55b3030cd9d906dee

SHA256
1047be5d77916aa2327f1976463565cf134627386381e53e955bd0b318680dbc

SHA512
1d3a47a69bcb0a5ff433b037d4c0313e63a6d4ac5a222278506e6b026aa8abb9f3e1181883c1776811efe7fb536eb6b707099485feb50369f5cd17b4c8d20bfa

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe

Filesize
3.0MB

MD5
e078084949affe14e295e646a2b3e61e

SHA1
3e85b5a5f1adaf11da1f2ae55b3030cd9d906dee

SHA256
1047be5d77916aa2327f1976463565cf134627386381e53e955bd0b318680dbc

SHA512
1d3a47a69bcb0a5ff433b037d4c0313e63a6d4ac5a222278506e6b026aa8abb9f3e1181883c1776811efe7fb536eb6b707099485feb50369f5cd17b4c8d20bfa

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe

Filesize
3.0MB

MD5
e078084949affe14e295e646a2b3e61e

SHA1
3e85b5a5f1adaf11da1f2ae55b3030cd9d906dee

SHA256
1047be5d77916aa2327f1976463565cf134627386381e53e955bd0b318680dbc

SHA512
1d3a47a69bcb0a5ff433b037d4c0313e63a6d4ac5a222278506e6b026aa8abb9f3e1181883c1776811efe7fb536eb6b707099485feb50369f5cd17b4c8d20bfa

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe

Filesize
3.0MB

MD5
e078084949affe14e295e646a2b3e61e

SHA1
3e85b5a5f1adaf11da1f2ae55b3030cd9d906dee

SHA256
1047be5d77916aa2327f1976463565cf134627386381e53e955bd0b318680dbc

SHA512
1d3a47a69bcb0a5ff433b037d4c0313e63a6d4ac5a222278506e6b026aa8abb9f3e1181883c1776811efe7fb536eb6b707099485feb50369f5cd17b4c8d20bfa

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe

Filesize
3.0MB

MD5
e078084949affe14e295e646a2b3e61e

SHA1
3e85b5a5f1adaf11da1f2ae55b3030cd9d906dee

SHA256
1047be5d77916aa2327f1976463565cf134627386381e53e955bd0b318680dbc

SHA512
1d3a47a69bcb0a5ff433b037d4c0313e63a6d4ac5a222278506e6b026aa8abb9f3e1181883c1776811efe7fb536eb6b707099485feb50369f5cd17b4c8d20bfa

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe

Filesize
3.0MB

MD5
e078084949affe14e295e646a2b3e61e

SHA1
3e85b5a5f1adaf11da1f2ae55b3030cd9d906dee

SHA256
1047be5d77916aa2327f1976463565cf134627386381e53e955bd0b318680dbc

SHA512
1d3a47a69bcb0a5ff433b037d4c0313e63a6d4ac5a222278506e6b026aa8abb9f3e1181883c1776811efe7fb536eb6b707099485feb50369f5cd17b4c8d20bfa

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe

Filesize
3.0MB

MD5
e078084949affe14e295e646a2b3e61e

SHA1
3e85b5a5f1adaf11da1f2ae55b3030cd9d906dee

SHA256
1047be5d77916aa2327f1976463565cf134627386381e53e955bd0b318680dbc

SHA512
1d3a47a69bcb0a5ff433b037d4c0313e63a6d4ac5a222278506e6b026aa8abb9f3e1181883c1776811efe7fb536eb6b707099485feb50369f5cd17b4c8d20bfa

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe

Filesize
3.0MB

MD5
e078084949affe14e295e646a2b3e61e

SHA1
3e85b5a5f1adaf11da1f2ae55b3030cd9d906dee

SHA256
1047be5d77916aa2327f1976463565cf134627386381e53e955bd0b318680dbc

SHA512
1d3a47a69bcb0a5ff433b037d4c0313e63a6d4ac5a222278506e6b026aa8abb9f3e1181883c1776811efe7fb536eb6b707099485feb50369f5cd17b4c8d20bfa

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe

Filesize
3.0MB

MD5
e078084949affe14e295e646a2b3e61e

SHA1
3e85b5a5f1adaf11da1f2ae55b3030cd9d906dee

SHA256
1047be5d77916aa2327f1976463565cf134627386381e53e955bd0b318680dbc

SHA512
1d3a47a69bcb0a5ff433b037d4c0313e63a6d4ac5a222278506e6b026aa8abb9f3e1181883c1776811efe7fb536eb6b707099485feb50369f5cd17b4c8d20bfa

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe

Filesize
3.0MB

MD5
e078084949affe14e295e646a2b3e61e

SHA1
3e85b5a5f1adaf11da1f2ae55b3030cd9d906dee

SHA256
1047be5d77916aa2327f1976463565cf134627386381e53e955bd0b318680dbc

SHA512
1d3a47a69bcb0a5ff433b037d4c0313e63a6d4ac5a222278506e6b026aa8abb9f3e1181883c1776811efe7fb536eb6b707099485feb50369f5cd17b4c8d20bfa

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41207.exe

Filesize
3.0MB

MD5
e078084949affe14e295e646a2b3e61e

SHA1
3e85b5a5f1adaf11da1f2ae55b3030cd9d906dee

SHA256
1047be5d77916aa2327f1976463565cf134627386381e53e955bd0b318680dbc

SHA512
1d3a47a69bcb0a5ff433b037d4c0313e63a6d4ac5a222278506e6b026aa8abb9f3e1181883c1776811efe7fb536eb6b707099485feb50369f5cd17b4c8d20bfa

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe

Filesize
3.0MB

MD5
55cb3207346ddbcc8a062ebd310cfb83

SHA1
9dd394da3ad8f206ed553ea78cbcfd4ce4f31624

SHA256
9c2319de3ba70bf91801ac4fbff2f77b4ee416e964954f69763dd88d08053a75

SHA512
e2f5021079da2a7675b6d4212918559a610f4b09c37d41c18641b2ce3e8484a7bbc71474ea72056de9ccf89bc73ba756a809480b93a256a1d20558abadc27864

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe

Filesize
3.0MB

MD5
55cb3207346ddbcc8a062ebd310cfb83

SHA1
9dd394da3ad8f206ed553ea78cbcfd4ce4f31624

SHA256
9c2319de3ba70bf91801ac4fbff2f77b4ee416e964954f69763dd88d08053a75

SHA512
e2f5021079da2a7675b6d4212918559a610f4b09c37d41c18641b2ce3e8484a7bbc71474ea72056de9ccf89bc73ba756a809480b93a256a1d20558abadc27864

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe

Filesize
3.0MB

MD5
55cb3207346ddbcc8a062ebd310cfb83

SHA1
9dd394da3ad8f206ed553ea78cbcfd4ce4f31624

SHA256
9c2319de3ba70bf91801ac4fbff2f77b4ee416e964954f69763dd88d08053a75

SHA512
e2f5021079da2a7675b6d4212918559a610f4b09c37d41c18641b2ce3e8484a7bbc71474ea72056de9ccf89bc73ba756a809480b93a256a1d20558abadc27864

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.e0c835ef9d5f7643b76043f3337e41209.exe

Filesize
3.0MB

MD5
55cb3207346ddbcc8a062ebd310cfb83

SHA1
9dd394da3ad8f206ed553ea78cbcfd4ce4f31624

SHA256
9c2319de3ba70bf91801ac4fbff2f77b4ee416e964954f69763dd88d08053a75

SHA512
e2f5021079da2a7675b6d4212918559a610f4b09c37d41c18641b2ce3e8484a7bbc71474ea72056de9ccf89bc73ba756a809480b93a256a1d20558abadc27864

Download Submit
C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\f3zxqty5.default-release\prefs-1.js

Filesize
6KB

MD5
e6040570c7622a19fa2635f48d523a9f

SHA1
46403a37bd1e50c15b368091e037f586e858e1d1

SHA256
2a0ee5dbaec5ca63d4ccff72fea2a486e142cefc05aa9b59d1ea20865c4aee2d

SHA512
3d3bf536f179acf650e99d8297bfe95d0e6839b47158e1c56c2cc1d111e150ff779d02a98369394b1a826e25efbe88baed1f98385cdcc7bd3ae3cc699aeed063

Download Submit
C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\f3zxqty5.default-release\sessionstore-backups\recovery.jsonlz4

Filesize
1KB

MD5
9d2d2dea9b1ec2aee4a33bc8e8b0e939

SHA1
c3ba31a430c2b4d0a26d791760215aa21b3b2956

SHA256
0dba859e51c3fc548cd37989e2a3d45cf51262f52220d1e792d272289d70ee97

SHA512
30f506d6e5e3e7d76ba2f29f8f2b25c3d5fe78576dc24fceefa660fd2ca89d83a7fe3a6da21b6650813e2379ccbee5ac7c42aa7a574bbfe346f05b82f471c8c9

Download Submit
memory/404-133-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/408-76-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/756-135-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/992-137-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1188-78-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1200-136-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1320-126-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1320-74-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1800-58-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1936-134-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1976-138-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2036-132-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2228-41-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2240-73-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2672-72-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/3296-140-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/3800-69-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/3912-75-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/4000-107-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/4316-68-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/4324-77-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/4452-105-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/4472-70-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/4800-103-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/4932-139-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5112-71-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5112-120-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5344-141-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5396-142-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5412-143-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5420-144-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5428-145-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5436-146-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download