47a85b40116a374660e675def74714a4f392ecde2a9c466c57f2de0450176b69

Analysis

max time kernel
75s
max time network
138s
platform
windows7_x64
resource
win7-20231023-en
resource tags

arch:x64arch:x86image:win7-20231023-enlocale:en-usos:windows7-x64system
submitted
28/10/2023, 19:57

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

NEAS.9615548690563c4e2d46a44fb4970d70.exe
Size

3.0MB
MD5

9615548690563c4e2d46a44fb4970d70
SHA1

72b93c2bc1050b725fcb3975842f96ad0362609d
SHA256

47a85b40116a374660e675def74714a4f392ecde2a9c466c57f2de0450176b69
SHA512

b7905c5cab5bbc32df7c65c61e1643e7bf6686ba1f797b9d2022e93bedf68463ad6038ab077336bb0532fab9a405b200efd5016b4c9288db948acb76780e82c4
SSDEEP

49152:j495UciMmq/NhjX5p3JOCdLAweZnE5c965nqqIP2Itdf:jk5LhzACdLAlnE5co5nqqIP2Itdf

Score

7^/10

bootkit persistence

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
2056	NEAS.9615548690563c4e2d46a44fb4970d709.exe
1052	NEAS.9615548690563c4e2d46a44fb4970d706.exe
1032	NEAS.9615548690563c4e2d46a44fb4970d706.exe
3052	NEAS.9615548690563c4e2d46a44fb4970d706.exe
2784	NEAS.9615548690563c4e2d46a44fb4970d706.exe
2800	NEAS.9615548690563c4e2d46a44fb4970d709.exe
2952	NEAS.9615548690563c4e2d46a44fb4970d706.exe
1184	NEAS.9615548690563c4e2d46a44fb4970d706.exe
2424	NEAS.9615548690563c4e2d46a44fb4970d706.exe
2352	NEAS.9615548690563c4e2d46a44fb4970d706.exe
944	NEAS.9615548690563c4e2d46a44fb4970d706.exe
928	NEAS.9615548690563c4e2d46a44fb4970d706.exe
2204	NEAS.9615548690563c4e2d46a44fb4970d700.exe
896	NEAS.9615548690563c4e2d46a44fb4970d704.exe
1400	NEAS.9615548690563c4e2d46a44fb4970d700.exe
1632	NEAS.9615548690563c4e2d46a44fb4970d700.exe
2904	NEAS.9615548690563c4e2d46a44fb4970d704.exe
2704	NEAS.9615548690563c4e2d46a44fb4970d700.exe
1792	NEAS.9615548690563c4e2d46a44fb4970d700.exe
436	NEAS.9615548690563c4e2d46a44fb4970d700.exe
2792	NEAS.9615548690563c4e2d46a44fb4970d700.exe
2444	NEAS.9615548690563c4e2d46a44fb4970d700.exe
2308	NEAS.9615548690563c4e2d46a44fb4970d700.exe
1268	NEAS.9615548690563c4e2d46a44fb4970d700.exe
1644	NEAS.9615548690563c4e2d46a44fb4970d709.exe
2676	NEAS.9615548690563c4e2d46a44fb4970d706.exe
1560	NEAS.9615548690563c4e2d46a44fb4970d706.exe
2612	NEAS.9615548690563c4e2d46a44fb4970d709.exe
1688	NEAS.9615548690563c4e2d46a44fb4970d706.exe
3364	NEAS.9615548690563c4e2d46a44fb4970d706.exe
3352	NEAS.9615548690563c4e2d46a44fb4970d706.exe
3376	NEAS.9615548690563c4e2d46a44fb4970d706.exe
3396	NEAS.9615548690563c4e2d46a44fb4970d709.exe
3384	NEAS.9615548690563c4e2d46a44fb4970d706.exe
3872	NEAS.9615548690563c4e2d46a44fb4970d709.exe
3904	NEAS.9615548690563c4e2d46a44fb4970d706.exe
4356	NEAS.9615548690563c4e2d46a44fb4970d706.exe
4340	NEAS.9615548690563c4e2d46a44fb4970d705.exe
4384	NEAS.9615548690563c4e2d46a44fb4970d706.exe
4348	NEAS.9615548690563c4e2d46a44fb4970d705.exe
4832	NEAS.9615548690563c4e2d46a44fb4970d708.exe
5068	NEAS.9615548690563c4e2d46a44fb4970d701.exe
4532	NEAS.9615548690563c4e2d46a44fb4970d7061.exe
3864	NEAS.9615548690563c4e2d46a44fb4970d7060.exe
4652	NEAS.9615548690563c4e2d46a44fb4970d7061.exe
5316	NEAS.9615548690563c4e2d46a44fb4970d7061.exe
5504	NEAS.9615548690563c4e2d46a44fb4970d709.exe
5512	NEAS.9615548690563c4e2d46a44fb4970d7060.exe
5528	NEAS.9615548690563c4e2d46a44fb4970d706.exe
5540	NEAS.9615548690563c4e2d46a44fb4970d701.exe
5616	NEAS.9615548690563c4e2d46a44fb4970d709.exe
5732	NEAS.9615548690563c4e2d46a44fb4970d7062.exe
5812	NEAS.9615548690563c4e2d46a44fb4970d707.exe
5820	NEAS.9615548690563c4e2d46a44fb4970d7065.exe
5836	NEAS.9615548690563c4e2d46a44fb4970d7065.exe
5828	NEAS.9615548690563c4e2d46a44fb4970d7065.exe
5900	NEAS.9615548690563c4e2d46a44fb4970d707.exe
5928	NEAS.9615548690563c4e2d46a44fb4970d7062.exe
5436	NEAS.9615548690563c4e2d46a44fb4970d700.exe
3256	NEAS.9615548690563c4e2d46a44fb4970d700.exe
5536	NEAS.9615548690563c4e2d46a44fb4970d700.exe
4356	NEAS.9615548690563c4e2d46a44fb4970d700.exe
5272	NEAS.9615548690563c4e2d46a44fb4970d700.exe
5292	NEAS.9615548690563c4e2d46a44fb4970d700.exe

Loads dropped DLL 64 IoCs

pid	Process
2516	cmd.exe
1924	cmd.exe
1924	cmd.exe
2516	cmd.exe
896	NEAS.9615548690563c4e2d46a44fb4970d704.exe
1004	cmd.exe
1004	cmd.exe
896	NEAS.9615548690563c4e2d46a44fb4970d704.exe
1484	conhost.exe
1484	conhost.exe
1592	cmd.exe
1592	cmd.exe
2588	cmd.exe
2588	cmd.exe
3000	conhost.exe
2076	cmd.exe
3000	conhost.exe
2076	cmd.exe
2328	cmd.exe
2328	cmd.exe
1940	Process not Found
2696	cmd.exe
2696	cmd.exe
1816	Process not Found
2468	Process not Found
2692	conhost.exe
1728	Process not Found
2692	conhost.exe
2164	cmd.exe
1020	cmd.exe
2164	cmd.exe
1020	cmd.exe
2484	cmd.exe
1664	cmd.exe
2484	cmd.exe
1664	cmd.exe
1948	Process not Found
1956	Process not Found
1016	cmd.exe
2176	Process not Found
1672	conhost.exe
1016	cmd.exe
2516	cmd.exe
2516	cmd.exe
1812	Process not Found
2068	Process not Found
2504	cmd.exe
2808	cmd.exe
2656	vlc.exe
268	cmd.exe
2504	cmd.exe
2808	cmd.exe
2656	vlc.exe
268	cmd.exe
1100	conhost.exe
1476	cmd.exe
2080	Process not Found
1476	cmd.exe
2336	Process not Found
1696	Process not Found
1588	Process not Found
1484	conhost.exe
2084	conhost.exe
3000	conhost.exe

Adds Run key to start application 2 TTPs 4 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-3618187007-3650799920-3290345941-1000\Software\Microsoft\Windows\CurrentVersion\Run\39319 = "C:\\Users\\Admin\\AppData\\Local\\Temp\\NEAS.9615548690563c4e2d46a44fb4970d700.exe"	NEAS.9615548690563c4e2d46a44fb4970d700.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3618187007-3650799920-3290345941-1000\Software\Microsoft\Windows\CurrentVersion\Run\39319 = "C:\\Users\\Admin\\AppData\\Local\\Temp\\NEAS.9615548690563c4e2d46a44fb4970d700.exe"	NEAS.9615548690563c4e2d46a44fb4970d700.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3618187007-3650799920-3290345941-1000\Software\Microsoft\Windows\CurrentVersion\Run\39319 = "C:\\Users\\Admin\\AppData\\Local\\Temp\\NEAS.9615548690563c4e2d46a44fb4970d700.exe"	NEAS.9615548690563c4e2d46a44fb4970d700.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3618187007-3650799920-3290345941-1000\Software\Microsoft\Windows\CurrentVersion\Run\39319 = "C:\\Users\\Admin\\AppData\\Local\\Temp\\NEAS.9615548690563c4e2d46a44fb4970d700.exe"	NEAS.9615548690563c4e2d46a44fb4970d700.exe

Writes to the Master Boot Record (MBR) 1 TTPs 2 IoCs

Bootkits write to the MBR to gain persistence at a level below the operating system.

bootkit persistence

Bootkit

T1542.003

description	ioc	Process
File opened for modification	\??\PHYSICALDRIVE0	NEAS.9615548690563c4e2d46a44fb4970d700.exe
File opened for modification	\??\PHYSICALDRIVE0	NEAS.9615548690563c4e2d46a44fb4970d700.exe

Enumerates system info in registry 2 TTPs 6 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	chrome.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemProductName	chrome.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	chrome.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemProductName	chrome.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	chrome.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemProductName	chrome.exe

Kills process with taskkill 23 IoCs

evasion

pid	Process
1156	taskkill.exe
4536	taskkill.exe
4560	taskkill.exe
4968	taskkill.exe
5052	taskkill.exe
3540	taskkill.exe
4524	taskkill.exe
4544	taskkill.exe
4600	taskkill.exe
4632	taskkill.exe
4624	taskkill.exe
5016	taskkill.exe
3592	taskkill.exe
3428	taskkill.exe
4592	taskkill.exe
4616	taskkill.exe
4440	taskkill.exe
4552	taskkill.exe
4952	taskkill.exe
3440	taskkill.exe
2308	taskkill.exe
3028	taskkill.exe
4432	taskkill.exe

Suspicious behavior: AddClipboardFormatListener 2 IoCs

pid	Process
2996	vlc.exe
2656	vlc.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeCreateTokenPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeAssignPrimaryTokenPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeLockMemoryPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeIncreaseQuotaPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeMachineAccountPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeTcbPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSecurityPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeTakeOwnershipPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeLoadDriverPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSystemProfilePrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSystemtimePrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeProfSingleProcessPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeIncBasePriorityPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeCreatePagefilePrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeCreatePermanentPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeBackupPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeRestorePrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeShutdownPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeDebugPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeAuditPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSystemEnvironmentPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeChangeNotifyPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeRemoteShutdownPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeUndockPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSyncAgentPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeEnableDelegationPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeManageVolumePrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeImpersonatePrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeCreateGlobalPrivilege	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: 31	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: 32	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: 33	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: 34	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: 35	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeCreateTokenPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeAssignPrimaryTokenPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeLockMemoryPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeIncreaseQuotaPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeMachineAccountPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeTcbPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSecurityPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeTakeOwnershipPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeLoadDriverPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSystemProfilePrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSystemtimePrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeProfSingleProcessPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeIncBasePriorityPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeCreatePagefilePrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeCreatePermanentPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeBackupPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeRestorePrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeShutdownPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeDebugPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeAuditPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSystemEnvironmentPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeChangeNotifyPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeRemoteShutdownPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeUndockPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSyncAgentPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeEnableDelegationPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeManageVolumePrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeImpersonatePrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeCreateGlobalPrivilege	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: 31	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2576 wrote to memory of 2588	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	29
PID 2576 wrote to memory of 2588	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	29
PID 2576 wrote to memory of 2588	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	29
PID 2588 wrote to memory of 3028	2588	cmd.exe	30
PID 2588 wrote to memory of 3028	2588	cmd.exe	30
PID 2588 wrote to memory of 3028	2588	cmd.exe	30
PID 2576 wrote to memory of 2284	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	32
PID 2576 wrote to memory of 2284	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	32
PID 2576 wrote to memory of 2284	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	32
PID 2284 wrote to memory of 2640	2284	cmd.exe	38
PID 2284 wrote to memory of 2640	2284	cmd.exe	38
PID 2284 wrote to memory of 2640	2284	cmd.exe	38
PID 2576 wrote to memory of 2696	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	33
PID 2576 wrote to memory of 2696	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	33
PID 2576 wrote to memory of 2696	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	33
PID 2696 wrote to memory of 2716	2696	cmd.exe	34
PID 2696 wrote to memory of 2716	2696	cmd.exe	34
PID 2696 wrote to memory of 2716	2696	cmd.exe	34
PID 2576 wrote to memory of 2692	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	36
PID 2576 wrote to memory of 2692	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	36
PID 2576 wrote to memory of 2692	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	36
PID 2692 wrote to memory of 2880	2692	cmd.exe	40
PID 2692 wrote to memory of 2880	2692	cmd.exe	40
PID 2692 wrote to memory of 2880	2692	cmd.exe	40
PID 2576 wrote to memory of 2600	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	39
PID 2576 wrote to memory of 2600	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	39
PID 2576 wrote to memory of 2600	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	39
PID 3028 wrote to memory of 2628	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe	42
PID 3028 wrote to memory of 2628	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe	42
PID 3028 wrote to memory of 2628	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe	42
PID 2600 wrote to memory of 3024	2600	cmd.exe	43
PID 2600 wrote to memory of 3024	2600	cmd.exe	43
PID 2600 wrote to memory of 3024	2600	cmd.exe	43
PID 2576 wrote to memory of 2788	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	46
PID 2576 wrote to memory of 2788	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	46
PID 2576 wrote to memory of 2788	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	46
PID 2788 wrote to memory of 2316	2788	cmd.exe	45
PID 2788 wrote to memory of 2316	2788	cmd.exe	45
PID 2788 wrote to memory of 2316	2788	cmd.exe	45
PID 2576 wrote to memory of 2800	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	44
PID 2576 wrote to memory of 2800	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	44
PID 2576 wrote to memory of 2800	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	44
PID 2800 wrote to memory of 2524	2800	cmd.exe	58
PID 2800 wrote to memory of 2524	2800	cmd.exe	58
PID 2800 wrote to memory of 2524	2800	cmd.exe	58
PID 2576 wrote to memory of 632	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	54
PID 2576 wrote to memory of 632	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	54
PID 2576 wrote to memory of 632	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	54
PID 632 wrote to memory of 2520	632	cmd.exe	53
PID 632 wrote to memory of 2520	632	cmd.exe	53
PID 632 wrote to memory of 2520	632	cmd.exe	53
PID 2576 wrote to memory of 2976	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	49
PID 2576 wrote to memory of 2976	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	49
PID 2576 wrote to memory of 2976	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	49
PID 2976 wrote to memory of 2660	2976	cmd.exe	47
PID 2976 wrote to memory of 2660	2976	cmd.exe	47
PID 2976 wrote to memory of 2660	2976	cmd.exe	47
PID 2576 wrote to memory of 2264	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	48
PID 2576 wrote to memory of 2264	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	48
PID 2576 wrote to memory of 2264	2576	NEAS.9615548690563c4e2d46a44fb4970d70.exe	48
PID 3028 wrote to memory of 2516	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe	189
PID 3028 wrote to memory of 2516	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe	189
PID 3028 wrote to memory of 2516	3028	NEAS.9615548690563c4e2d46a44fb4970d70.exe	189
PID 2264 wrote to memory of 2212	2264	cmd.exe	55

C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
"C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe"
1⤵
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2576
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2588
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:3028
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+615052.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
      4⤵
      PID:2628
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
      4⤵
      PID:2516
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:1052
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /protect 1698530904
        6⤵
        
        PID:2596
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /protect 1698530904
        7⤵
        Executes dropped EXE
        
        PID:1688
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe+132367.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7061.exe
        8⤵
        
        PID:3344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7061.exe 1698530904
        8⤵
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7061.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7061.exe 1698530904
        9⤵
        Executes dropped EXE
        
        PID:4532
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:2268
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe+522640.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7065.exe
        8⤵
        
        PID:5356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7065.exe 1698530904
        8⤵
        
        PID:5608
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7065.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7065.exe 1698530904
        9⤵
        Executes dropped EXE
        
        PID:5836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:7036
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /save 1698530904
        6⤵
        
        PID:1964
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /save 1698530904
        7⤵
        Executes dropped EXE
        
        PID:3904
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:3820
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4632
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /autoup 1698530904
        6⤵
        
        PID:4648
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:2704
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:2548
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:1156
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        6⤵
        
        PID:6600
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+018849.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
      4⤵
      PID:2284
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:2164
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2284
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
    3⤵
    PID:2640
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2696
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    PID:2716
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+615052.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
      4⤵
      PID:1664
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:1632
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:640
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4536
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        6⤵
        
        PID:4440
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
      4⤵
      PID:3000
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+018849.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
      4⤵
      PID:2368
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:2504
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:436
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:2888
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:3028
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        6⤵
        
        PID:3428
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2692
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
    3⤵
    PID:2880
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2600
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    PID:3024
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+615052.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
      4⤵
      PID:532
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:2696
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:944
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:2428
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4592
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /autoup 1698530904
        6⤵
        
        PID:3656
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:1476
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:2308
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+018849.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
      4⤵
      PID:1576
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2800
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    PID:2524
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+615052.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
      4⤵
      PID:592
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:2328
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:2352
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /protect 1698530904
        6⤵
        
        PID:2684
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /protect 1698530904
        7⤵
        Executes dropped EXE
        
        PID:3376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe+030799.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7060.exe
        8⤵
        
        PID:3240
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7060.exe 1698530904
        8⤵
        
        PID:4320
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7060.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7060.exe 1698530904
        9⤵
        Executes dropped EXE
        
        PID:3864
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:1384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe+225213.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7062.exe
        8⤵
        
        PID:5272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7062.exe 1698530904
        8⤵
        
        PID:5624
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7062.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7062.exe 1698530904
        9⤵
        Executes dropped EXE
        
        PID:5732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:6780
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /save 1698530904
        6⤵
        
        PID:3852
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /save 1698530904
        7⤵
        Executes dropped EXE
        
        PID:4356
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:4480
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4952
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /autoup 1698530904
        6⤵
        
        PID:5032
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:2808
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:1792
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:700
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4600
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        6⤵
        
        PID:1544
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+018849.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
      4⤵
      PID:1604
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2788
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2264
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
    3⤵
    PID:2212
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2976
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:632
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  PID:2280
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    PID:584
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+615052.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
      4⤵
      PID:2028
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
      4⤵
      PID:896
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:3052
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /protect 1698530904
        6⤵
        
        PID:2832
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /protect 1698530904
        7⤵
        Executes dropped EXE
        
        PID:3384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe+030799.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7060.exe
        8⤵
        
        PID:3660
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7060.exe 1698530904
        8⤵
        
        PID:5300
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7060.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7060.exe 1698530904
        9⤵
        Executes dropped EXE
        
        PID:5512
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:4696
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe+225213.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7062.exe
        8⤵
        
        PID:5640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7062.exe 1698530904
        8⤵
        
        PID:5792
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7062.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7062.exe 1698530904
        9⤵
        Executes dropped EXE
        
        PID:5928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:6952
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /save 1698530904
        6⤵
        
        PID:3860
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /save 1698530904
        7⤵
        Executes dropped EXE
        
        PID:4384
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:4980
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /autoup 1698530904
        6⤵
        
        PID:1360
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:2484
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:1400
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:3148
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4432
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        6⤵
        
        PID:4624
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+018849.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
      4⤵
      PID:2628
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  PID:2760
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    PID:2744
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+615052.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
      4⤵
      PID:1100
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:1004
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:1032
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /protect 1698530904
        6⤵
        
        PID:796
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /protect 1698530904
        7⤵
        Executes dropped EXE
        
        PID:1560
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe+132367.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7061.exe
        8⤵
        
        PID:3336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7061.exe 1698530904
        8⤵
        
        PID:4488
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7061.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7061.exe 1698530904
        9⤵
        Executes dropped EXE
        
        PID:4652
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:6260
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe+522640.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7065.exe
        8⤵
        
        PID:5340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7065.exe 1698530904
        8⤵
        
        PID:5600
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7065.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7065.exe 1698530904
        9⤵
        Executes dropped EXE
        
        PID:5828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:6240
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /save 1698530904
        6⤵
        
        PID:2156
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /save 1698530904
        7⤵
        Executes dropped EXE
        
        PID:3364
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:3896
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4624
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /autoup 1698530904
        6⤵
        
        PID:4444
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+018849.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
      4⤵
      PID:2788
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:1664
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  PID:700
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  PID:2808
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
    3⤵
    PID:2752
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  PID:1972
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    PID:1708
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+615052.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
      4⤵
      PID:2844
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:1592
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:2784
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:2196
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:2516
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+018849.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
      4⤵
      PID:1648
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  PID:2424
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
    3⤵
    PID:1048
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  PID:1232
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    PID:1328
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+615052.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
      4⤵
      PID:1288
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:2076
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:1184
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:2528
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:3592
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /autoup 1698530904
        6⤵
        
        PID:612
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
      4⤵
      PID:2656
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:2444
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:3116
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4440
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        6⤵
        
        PID:1908
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+018849.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
      4⤵
      PID:1228
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  PID:2400
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
    3⤵
    PID:1524
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  PID:544
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    PID:328
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+615052.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
      4⤵
      PID:1912
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
        5⤵
        
        PID:3056
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:2588
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:2952
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /protect 1698530904
        6⤵
        
        PID:1780
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /protect 1698530904
        7⤵
        Executes dropped EXE
        
        PID:2676
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe+132367.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7061.exe
        8⤵
        
        PID:3296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7061.exe 1698530904
        8⤵
        
        PID:4944
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7061.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7061.exe 1698530904
        9⤵
        Executes dropped EXE
        
        PID:5316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe+522640.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7065.exe
        8⤵
        
        PID:5452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7065.exe 1698530904
        8⤵
        
        PID:5716
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7065.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7065.exe 1698530904
        9⤵
        Executes dropped EXE
        
        PID:5820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:5040
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /save 1698530904
        6⤵
        
        PID:1028
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /save 1698530904
        7⤵
        Executes dropped EXE
        
        PID:3352
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:3888
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4616
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /autoup 1698530904
        6⤵
        
        PID:2308
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:268
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:2792
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+018849.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
      4⤵
      PID:3060
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  PID:1672
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
    3⤵
    PID:2260
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  PID:2352
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    PID:2168
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+925801.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe
      4⤵
      PID:640
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:1924
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:2056
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe /protect 1698530904
        6⤵
        
        PID:2528
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe /protect 1698530904
        7⤵
        Executes dropped EXE
        
        PID:1644
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe+132367.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7091.exe
        8⤵
        
        PID:3324
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe /save 1698530904
        6⤵
        
        PID:852
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe /save 1698530904
        7⤵
        Executes dropped EXE
        
        PID:3872
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:3796
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4968
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe /autoup 1698530904
        6⤵
        
        PID:5160
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+422776.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe
      4⤵
      PID:2084
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:1020
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  PID:2392
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
    3⤵
    PID:2892
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  PID:2804
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    PID:2100
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+925801.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe
      4⤵
      PID:928
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe 1698530904
      4⤵
      PID:1484
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe 1698530904
      4⤵
      Loads dropped DLL
      PID:1016
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+422776.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe
      4⤵
      PID:2728
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  PID:1388
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
    3⤵
    PID:2360
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  PID:2308
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    PID:2276
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+514007.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
      4⤵
      PID:1036
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe 1698530904
      4⤵
      PID:3836
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:4348
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:7092
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+99641.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe
      4⤵
      PID:4936
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe 1698530904
      4⤵
      PID:5284
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:5504
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:6212
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  PID:396
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
    3⤵
    PID:784
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  PID:1920
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    PID:1684
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+514007.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
      4⤵
      PID:2408
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe 1698530904
      4⤵
      PID:3844
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:4340
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:4748
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:5016
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /autoup 1698530904
        6⤵
        
        PID:2592
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+99641.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe
      4⤵
      PID:4996
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe 1698530904
      4⤵
      PID:5424
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:5616
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:6940
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  PID:944
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
    3⤵
    PID:2220
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  PID:1780
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    PID:1152
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+824755.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d708.exe
      4⤵
      PID:2772
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d708.exe 1698530904
      4⤵
      PID:3880
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d708.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d708.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:4832
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:6688
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+613568.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
      4⤵
      PID:3488
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
      4⤵
      PID:5292
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:5528
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:6180
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  PID:2688
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
    3⤵
    PID:2940
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  PID:1296
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
    3⤵
    PID:2724
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+11167.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d701.exe
      4⤵
      PID:3272
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d701.exe 1698530904
      4⤵
      PID:3912
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d701.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d701.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:5068
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:6232
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+720067.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
      4⤵
      PID:4356
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe 1698530904
      4⤵
      PID:5588
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe 1698530904
        5⤵
        Executes dropped EXE
        
        PID:5812
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:1688
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  PID:1912
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
  2⤵
  PID:1860
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
    3⤵
    PID:1652
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
  2⤵
  PID:240
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
  2⤵
  PID:836
- - C:\Windows\system32\taskkill.exe
    taskkill /f /im explorer.exe
    3⤵
    - Kills process with taskkill
    PID:3440
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /autoup 1698530904
  2⤵
  PID:4600

C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
1⤵
PID:2316

C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
1⤵
PID:2660
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+615052.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
  2⤵
  PID:884
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
  2⤵
  PID:2692
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+018849.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
  2⤵
  PID:884
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
  2⤵
  PID:1604
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
    3⤵
    - Executes dropped EXE
    PID:1268
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
      4⤵
      PID:3084
    - - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        5⤵
        Kills process with taskkill
        
        PID:4544
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:5000
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        Executes dropped EXE
        
        PID:5436
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
      4⤵
      PID:5448
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
        5⤵
        Executes dropped EXE
        
        PID:3256
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:6972
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
      4⤵
      PID:5480
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
        5⤵
        Executes dropped EXE
        
        PID:5536
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        6⤵
        
        PID:5064
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
      4⤵
      PID:3252
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
        5⤵
        Executes dropped EXE
        Writes to the Master Boot Record (MBR)
        
        PID:4356
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
      4⤵
      PID:5340
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
        5⤵
        Executes dropped EXE
        
        PID:5272
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe+412209.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7004.exe
        6⤵
        
        PID:3900
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:5284
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:5292
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe C:\windows\system32\taskmgr.exe
      4⤵
      PID:5328
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:2340
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:3080
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
      4⤵
      PID:1088
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
        5⤵
        
        PID:2604
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:7084
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
      4⤵
      PID:3136
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
        5⤵
        
        PID:3132
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        6⤵
        
        PID:7028
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
      4⤵
      PID:5704
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
        5⤵
        
        PID:1684
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
      4⤵
      PID:5672
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
        5⤵
        
        PID:5668
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe+412731.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7004.exe
        6⤵
        
        PID:2296
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:3380
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:5712
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe C:\windows\system32\taskmgr.exe
      4⤵
      PID:4064
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:5716
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:5600
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
      4⤵
      PID:5896
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
        5⤵
        
        PID:4868
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:5176
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
      4⤵
      PID:5588
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
        5⤵
        
        PID:2676
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        6⤵
        
        PID:7076
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
      4⤵
      PID:3220
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
        5⤵
        
        PID:5944
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
      4⤵
      PID:4884
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
        5⤵
        
        PID:4144
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe+723480.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7007.exe
        6⤵
        
        PID:2128
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:2388
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:4272
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe C:\windows\system32\taskmgr.exe
      4⤵
      PID:3188
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:6004
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:2372
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
      4⤵
      PID:3044
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
        5⤵
        
        PID:5868
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:3068
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
      4⤵
      PID:2708
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
        5⤵
        
        PID:1336
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        6⤵
        
        PID:7044
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
      4⤵
      PID:4052
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
        5⤵
        
        PID:2344
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
      4⤵
      PID:2968
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
        5⤵
        
        PID:5152
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe+11983.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7001.exe
        6⤵
        
        PID:5180
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:2036
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:908
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe C:\windows\system32\taskmgr.exe
      4⤵
      PID:4548
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:5448
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        Adds Run key to start application
        
        PID:5480
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
      4⤵
      PID:5360
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
        5⤵
        
        PID:5300
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:7060
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
      4⤵
      PID:5328
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
        5⤵
        
        PID:1088
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
      4⤵
      PID:3136
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
        5⤵
        
        PID:5564
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
      4⤵
      PID:5672
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
        5⤵
        
        PID:3816
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe+412209.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7004.exe
        6⤵
        
        PID:5184
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:2368
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:5588
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe C:\windows\system32\taskmgr.exe
      4⤵
      PID:3232
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:3200
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:2388
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
      4⤵
      PID:3188
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
        5⤵
        
        PID:6004
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:3856
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
      4⤵
      PID:2708
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
        5⤵
        
        PID:2964
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        6⤵
        
        PID:6912
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
      4⤵
      PID:2036
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
        5⤵
        
        PID:5476
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
      4⤵
      PID:5360
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
        5⤵
        
        PID:2076
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe+723480.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7007.exe
        6⤵
        
        PID:3892
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:3124
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:4864
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe C:\windows\system32\taskmgr.exe
      4⤵
      PID:1688
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:5852
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:3044
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
      4⤵
      PID:2036
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
        5⤵
        
        PID:4088
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:3564
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
      4⤵
      PID:3124
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
        5⤵
        
        PID:5852
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        6⤵
        
        PID:7068
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
      4⤵
      PID:1688
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
        5⤵
        
        PID:6160
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
      4⤵
      PID:6180
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
        5⤵
        
        PID:6192
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe+11983.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7001.exe
        6⤵
        
        PID:6840
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:6208
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:6220
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe C:\windows\system32\taskmgr.exe
      4⤵
      PID:6240
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:6260
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:6272
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
      4⤵
      PID:6288
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
        5⤵
        
        PID:6300
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:6784
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
      4⤵
      PID:6316
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
        5⤵
        
        PID:6324
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        6⤵
        
        PID:6748
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
      4⤵
      PID:6348
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
        5⤵
        Writes to the Master Boot Record (MBR)
        
        PID:6360
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
      4⤵
      PID:6368
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
        5⤵
        
        PID:6388
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe+11983.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7001.exe
        6⤵
        
        PID:6712
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:6412
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        Adds Run key to start application
        
        PID:6428
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe C:\windows\system32\taskmgr.exe
      4⤵
      PID:6444
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:6464
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        Adds Run key to start application
        
        PID:6472
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
      4⤵
      PID:6492
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
        5⤵
        
        PID:6504
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:1252
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
      4⤵
      PID:6512
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
        5⤵
        
        PID:6536
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        6⤵
        
        PID:6176
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
      4⤵
      PID:6544
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
        5⤵
        
        PID:6568
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
      4⤵
      PID:6584
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
        5⤵
        
        PID:6596
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe+11983.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7001.exe
        6⤵
        
        PID:6816
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:6616
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:6628
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe C:\windows\system32\taskmgr.exe
      4⤵
      PID:6640
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:6660
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:6672
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
      4⤵
      PID:6688
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
        5⤵
        
        PID:6700
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:3124
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
      4⤵
      PID:6712
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
        5⤵
        
        PID:6736
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        6⤵
        
        PID:3836
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
      4⤵
      PID:6744
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
        5⤵
        
        PID:6768
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
      4⤵
      PID:6784
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
        5⤵
        
        PID:6796
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:6816
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:6828
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe C:\windows\system32\taskmgr.exe
      4⤵
      PID:6844
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:6852
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:6872
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
      4⤵
      PID:6888
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killwindows 1698530904
        5⤵
        
        PID:6900
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
      4⤵
      PID:6908
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /KillHardDisk 1698530904
        5⤵
        
        PID:6932
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
      4⤵
      PID:6940
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /killMBR 1698530904
        5⤵
        
        PID:6960
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
      4⤵
      PID:6972
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530904
        5⤵
        
        PID:6992
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
      4⤵
      PID:7004
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
        5⤵
        
        PID:3472

C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
1⤵
PID:2520

C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530904
1⤵
PID:760

C:\Program Files\VideoLAN\VLC\vlc.exe
"C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file "C:\Users\Admin\Desktop\EnterSelect.ram"
1⤵
PID:1348

C:\Program Files\VideoLAN\VLC\vlc.exe
"C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file "C:\Users\Admin\Desktop\EnterSelect.ram"
1⤵
- Suspicious behavior: AddClipboardFormatListener
PID:2996

C:\Program Files\VideoLAN\VLC\vlc.exe
"C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file "C:\Users\Admin\Desktop\EnterStop.mpeg"
1⤵
PID:1452

C:\Program Files\VideoLAN\VLC\vlc.exe
"C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file "C:\Users\Admin\Desktop\EnterStop.mpeg"
1⤵
PID:688

C:\Program Files\VideoLAN\VLC\vlc.exe
"C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file "C:\Users\Admin\Desktop\EnterStop.mpeg"
1⤵
PID:908

C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE
"C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE" /n "C:\Users\Admin\Desktop\ExpandExport.potm"
1⤵
PID:1732

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1348689416650267769386180454-28929542816955339173164102582109498580312973430"
1⤵
- Loads dropped DLL
PID:2084

C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe 1698530904
1⤵
- Executes dropped EXE
PID:2904
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
  2⤵
  PID:1912
- - C:\Windows\system32\taskkill.exe
    taskkill /f /im explorer.exe
    3⤵
    - Kills process with taskkill
    PID:4552
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /autoup 1698530904
  2⤵
  PID:1904

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "105573926768844283-30817484498751689019116295271734403274-146472962-399717609"
1⤵
- Loads dropped DLL
PID:3000
- C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
  C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
  2⤵
  - Executes dropped EXE
  PID:2424
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
    3⤵
    PID:1020
  - - C:\Windows\system32\taskkill.exe
      taskkill /f /im explorer.exe
      4⤵
      Kills process with taskkill
      PID:4524
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /autoup 1698530904
    3⤵
    PID:580

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "201347762614258067658911768981435724482862940383627402002040125259-368051675"
1⤵
- Loads dropped DLL
PID:1484
- C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe
  C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe 1698530904
  2⤵
  - Executes dropped EXE
  PID:2800
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe /protect 1698530904
    3⤵
    PID:1536
  - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe
      C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe /protect 1698530904
      4⤵
      Executes dropped EXE
      PID:2612
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe+132367.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7091.exe
        5⤵
        
        PID:3308
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7091.exe 1698530904
        5⤵
        
        PID:4368
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe+522640.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7095.exe
        5⤵
        
        PID:5708
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7095.exe 1698530904
        5⤵
        
        PID:5884
      - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7095.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7095.exe 1698530904
        6⤵
        
        PID:5164
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe /save 1698530904
    3⤵
    PID:2632
  - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe
      C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe /save 1698530904
      4⤵
      Executes dropped EXE
      PID:3396
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
    3⤵
    PID:3824
  - - C:\Windows\system32\taskkill.exe
      taskkill /f /im explorer.exe
      4⤵
      Kills process with taskkill
      PID:4560
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe /autoup 1698530904
    3⤵
    PID:6888

C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe 1698530904
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:896
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
  2⤵
  PID:2732
- - C:\Windows\system32\taskkill.exe
    taskkill /f /im explorer.exe
    3⤵
    - Kills process with taskkill
    PID:2308
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /autoup 1698530904
  2⤵
  PID:1928

C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530904
1⤵
- Executes dropped EXE
PID:2204
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
  2⤵
  PID:2596
- - C:\Windows\system32\taskkill.exe
    taskkill /f /im explorer.exe
    3⤵
    - Kills process with taskkill
    PID:3428
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /autoup 1698530904
  2⤵
  PID:4972

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "165336961356690973612251395201043458009109315629611651245305635029811385953830"
1⤵
- Loads dropped DLL
PID:2692
- C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
  C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530904
  2⤵
  - Executes dropped EXE
  PID:928
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
    3⤵
    PID:1780
  - - C:\Windows\system32\taskkill.exe
      taskkill /f /im explorer.exe
      4⤵
      Kills process with taskkill
      PID:3540
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /autoup 1698530904
    3⤵
    PID:5056

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-665858777-1200545529-1081087447-1986568893-117947230953443875319587668961600819983"
1⤵
PID:2804

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-2058069507-19676023311204597694-1427148927-6077329682146704624-580480230714313350"
1⤵
PID:1576

C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530904
1⤵
PID:1288
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+11167.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d701.exe
  2⤵
  PID:3284
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d701.exe 1698530904
  2⤵
  PID:5324
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d701.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d701.exe 1698530904
    3⤵
    - Executes dropped EXE
    PID:5540
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
      4⤵
      PID:4316
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+720067.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
  2⤵
  PID:5668
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe 1698530904
  2⤵
  PID:5756
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe 1698530904
    3⤵
    - Executes dropped EXE
    PID:5900
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
      4⤵
      PID:7052

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1135296113-8834623781589260433-1761605162-282775054-1406293420-819829462-1765964339"
1⤵
- Loads dropped DLL
PID:1100

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1310137078-1885276574-37697631-461071768947731995575069110667729321267225707"
1⤵
- Loads dropped DLL
PID:1672

C:\Program Files\VideoLAN\VLC\vlc.exe
"C:\Program Files\VideoLAN\VLC\vlc.exe"
1⤵
- Loads dropped DLL
- Suspicious behavior: AddClipboardFormatListener
PID:2656

C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe
"C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe"
1⤵
PID:3740

C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe
"C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe"
1⤵
PID:3732

C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe
"C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe"
1⤵
PID:3724

C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe
"C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe"
1⤵
PID:3716

C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE
"C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE" /n "C:\Users\Admin\Desktop\ExpandExport.potm"
1⤵
PID:3752

C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE
"C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE" /n "C:\Users\Admin\Desktop\ExpandExport.potm"
1⤵
PID:3760

C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE
"C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE" /n "C:\Users\Admin\Desktop\ExpandExport.potm"
1⤵
PID:3776

C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE
"C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE" /n "C:\Users\Admin\Desktop\ExpandExport.potm"
1⤵
PID:3768

C:\Program Files\Google\Chrome\Application\chrome.exe
"C:\Program Files\Google\Chrome\Application\chrome.exe"
1⤵
- Enumerates system info in registry
PID:3940
- C:\Program Files\Google\Chrome\Application\chrome.exe
  "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=crashpad-handler "--user-data-dir=C:\Users\Admin\AppData\Local\Google\Chrome\User Data" /prefetch:7 --monitor-self-annotation=ptype=crashpad-handler "--database=C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Crashpad" "--metrics-dir=C:\Users\Admin\AppData\Local\Google\Chrome\User Data" --url=https://clients2.google.com/cr/report --annotation=channel= --annotation=plat=Win64 --annotation=prod=Chrome --annotation=ver=106.0.5249.119 --initial-client-data=0xbc,0xc0,0xc4,0x90,0xc8,0x7fef4c49758,0x7fef4c49768,0x7fef4c49778
  2⤵
  PID:4028

C:\Windows\system32\rundll32.exe
"C:\Windows\system32\rundll32.exe" C:\Windows\system32\shell32.dll,OpenAs_RunDLL C:\Users\Admin\Desktop\RedoRegister.cfg
1⤵
PID:3976

C:\Program Files\Google\Chrome\Application\chrome.exe
"C:\Program Files\Google\Chrome\Application\chrome.exe"
1⤵
- Enumerates system info in registry
PID:3968
- C:\Program Files\Google\Chrome\Application\chrome.exe
  "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=crashpad-handler "--user-data-dir=C:\Users\Admin\AppData\Local\Google\Chrome\User Data" /prefetch:7 --monitor-self-annotation=ptype=crashpad-handler "--database=C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Crashpad" "--metrics-dir=C:\Users\Admin\AppData\Local\Google\Chrome\User Data" --url=https://clients2.google.com/cr/report --annotation=channel= --annotation=plat=Win64 --annotation=prod=Chrome --annotation=ver=106.0.5249.119 --initial-client-data=0xbc,0xc0,0xc4,0x90,0xc8,0x7fef4c49758,0x7fef4c49768,0x7fef4c49778
  2⤵
  PID:4036

C:\Program Files\Google\Chrome\Application\chrome.exe
"C:\Program Files\Google\Chrome\Application\chrome.exe"
1⤵
- Enumerates system info in registry
PID:3960
- C:\Program Files\Google\Chrome\Application\chrome.exe
  "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=crashpad-handler "--user-data-dir=C:\Users\Admin\AppData\Local\Google\Chrome\User Data" /prefetch:7 --monitor-self-annotation=ptype=crashpad-handler "--database=C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Crashpad" "--metrics-dir=C:\Users\Admin\AppData\Local\Google\Chrome\User Data" --url=https://clients2.google.com/cr/report --annotation=channel= --annotation=plat=Win64 --annotation=prod=Chrome --annotation=ver=106.0.5249.119 --initial-client-data=0xc0,0xc4,0xc8,0x94,0xcc,0x7fef4c49758,0x7fef4c49768,0x7fef4c49778
  2⤵
  PID:3988

C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE
"C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE" /n "C:\Users\Admin\Desktop\ExpandExport.potm"
1⤵
PID:3548

C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe
"C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe"
1⤵
PID:2772

C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe
"C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe"
1⤵
PID:3272

C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe
"C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe"
1⤵
PID:3868

C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe
"C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe"
1⤵
PID:2156

C:\Windows\system32\taskkill.exe
taskkill /f /im explorer.exe
1⤵
- Kills process with taskkill
PID:5052

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Pre-OS Boot

T1542

Bootkit

T1542.003

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Modify Registry

T1112

Pre-OS Boot

T1542

Bootkit

T1542.003

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\0.bat

Filesize
123B

MD5
28006645a4f84d40fc321d4b4ed94117

SHA1
74145910be596b240bddf162723f7f2defc03fd3

SHA256
b67ae1a2301ed75438cc085d1ff7beea1f6b797a0957547ce4dbe3c782cf56cb

SHA512
b720c7f1d9fd7ce8ddcc820bd6e69244a17a370d6c035acca5f80fd74f097e51ec62497f988c0dc3043f794ac28721f40178eaaf3a97f474005cc5cad2aa2f51

Download Submit
C:\Users\Admin\AppData\Local\Temp\0.bat

Filesize
123B

MD5
28006645a4f84d40fc321d4b4ed94117

SHA1
74145910be596b240bddf162723f7f2defc03fd3

SHA256
b67ae1a2301ed75438cc085d1ff7beea1f6b797a0957547ce4dbe3c782cf56cb

SHA512
b720c7f1d9fd7ce8ddcc820bd6e69244a17a370d6c035acca5f80fd74f097e51ec62497f988c0dc3043f794ac28721f40178eaaf3a97f474005cc5cad2aa2f51

Download Submit
C:\Users\Admin\AppData\Local\Temp\0.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\0.bat

Filesize
123B

MD5
28006645a4f84d40fc321d4b4ed94117

SHA1
74145910be596b240bddf162723f7f2defc03fd3

SHA256
b67ae1a2301ed75438cc085d1ff7beea1f6b797a0957547ce4dbe3c782cf56cb

SHA512
b720c7f1d9fd7ce8ddcc820bd6e69244a17a370d6c035acca5f80fd74f097e51ec62497f988c0dc3043f794ac28721f40178eaaf3a97f474005cc5cad2aa2f51

Download Submit
C:\Users\Admin\AppData\Local\Temp\0.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\018849.txt

Filesize
5B

MD5
bbe6445ca28586ce6f293d9dabc1c579

SHA1
d0c134594a40d56a596b81c861dfb71811472c86

SHA256
75e7251298f2d62406dbfe1a11011cffdad90b27704687fc9877610aec937e85

SHA512
57a64d6d6d6d23db9ecfdaf503756a850f9511a88014b51c47488e4ff68421294b8f523a3a742c496041f2d1d332dc90d9e1f075b314719eee5dc7a27899c242

Download Submit
C:\Users\Admin\AppData\Local\Temp\018849.txt

Filesize
5B

MD5
bbe6445ca28586ce6f293d9dabc1c579

SHA1
d0c134594a40d56a596b81c861dfb71811472c86

SHA256
75e7251298f2d62406dbfe1a11011cffdad90b27704687fc9877610aec937e85

SHA512
57a64d6d6d6d23db9ecfdaf503756a850f9511a88014b51c47488e4ff68421294b8f523a3a742c496041f2d1d332dc90d9e1f075b314719eee5dc7a27899c242

Download Submit
C:\Users\Admin\AppData\Local\Temp\018849.txt

Filesize
5B

MD5
bbe6445ca28586ce6f293d9dabc1c579

SHA1
d0c134594a40d56a596b81c861dfb71811472c86

SHA256
75e7251298f2d62406dbfe1a11011cffdad90b27704687fc9877610aec937e85

SHA512
57a64d6d6d6d23db9ecfdaf503756a850f9511a88014b51c47488e4ff68421294b8f523a3a742c496041f2d1d332dc90d9e1f075b314719eee5dc7a27899c242

Download Submit
C:\Users\Admin\AppData\Local\Temp\018849.txt

Filesize
5B

MD5
bbe6445ca28586ce6f293d9dabc1c579

SHA1
d0c134594a40d56a596b81c861dfb71811472c86

SHA256
75e7251298f2d62406dbfe1a11011cffdad90b27704687fc9877610aec937e85

SHA512
57a64d6d6d6d23db9ecfdaf503756a850f9511a88014b51c47488e4ff68421294b8f523a3a742c496041f2d1d332dc90d9e1f075b314719eee5dc7a27899c242

Download Submit
C:\Users\Admin\AppData\Local\Temp\018849.txt

Filesize
5B

MD5
bbe6445ca28586ce6f293d9dabc1c579

SHA1
d0c134594a40d56a596b81c861dfb71811472c86

SHA256
75e7251298f2d62406dbfe1a11011cffdad90b27704687fc9877610aec937e85

SHA512
57a64d6d6d6d23db9ecfdaf503756a850f9511a88014b51c47488e4ff68421294b8f523a3a742c496041f2d1d332dc90d9e1f075b314719eee5dc7a27899c242

Download Submit
C:\Users\Admin\AppData\Local\Temp\018849.txt

Filesize
5B

MD5
bbe6445ca28586ce6f293d9dabc1c579

SHA1
d0c134594a40d56a596b81c861dfb71811472c86

SHA256
75e7251298f2d62406dbfe1a11011cffdad90b27704687fc9877610aec937e85

SHA512
57a64d6d6d6d23db9ecfdaf503756a850f9511a88014b51c47488e4ff68421294b8f523a3a742c496041f2d1d332dc90d9e1f075b314719eee5dc7a27899c242

Download Submit
C:\Users\Admin\AppData\Local\Temp\127773.bat

Filesize
84B

MD5
1d1649e7ad8f3466d0f0e931bd24bc20

SHA1
34f46667709832bde08c44c312d053109226db3b

SHA256
c709bcc97b761b655be973f87ab73bbead7481690c74650b6a3faa891ab7d526

SHA512
0bc589b13204805e56c9e74fad588545c86805b69b7d73e794993c0b133ff9bd78f6b5efd1e2ed1d1f3676e3d62faa55ca5f4a64dd5d6b5e71442de9dbde0131

Download Submit
C:\Users\Admin\AppData\Local\Temp\127773.bat

Filesize
111B

MD5
a530c4efe4eb10f03774b3d8135c23cc

SHA1
e22a027cfb7d60ca51a1bd060f8a7dc13dce82c4

SHA256
3913bd7ccdf2535c7411b5c788d09585555e2c937da8b5656be7237d9941e066

SHA512
0996b323bab99fcc16c4280d3c3d482fdfb4d39259d5804e99f7b3b12bd8bef1490949b81bafe73b122e5df73e9b758014f53e73b0805d910336969df38e29dc

Download Submit
C:\Users\Admin\AppData\Local\Temp\132367.txt

Filesize
5B

MD5
367afa16af963542400d7e21da891b75

SHA1
bd2119f2ef9a927746f2a383e7d7df06d9ec9d2b

SHA256
56e653f01a7c4f7346b99a35650f474442600b2ab7119c8e5503c3812f910437

SHA512
5926845414e201c464fde70d4cc62a8ffc92cc7248cec969ea79620ed047e4758db0020036309e57e26a1411deeeb1044e3ebd7960c76306175744a9c76e2844

Download Submit
C:\Users\Admin\AppData\Local\Temp\174600.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\174600.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\174600.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\174600.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\174600.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\174600.bat

Filesize
84B

MD5
1d1649e7ad8f3466d0f0e931bd24bc20

SHA1
34f46667709832bde08c44c312d053109226db3b

SHA256
c709bcc97b761b655be973f87ab73bbead7481690c74650b6a3faa891ab7d526

SHA512
0bc589b13204805e56c9e74fad588545c86805b69b7d73e794993c0b133ff9bd78f6b5efd1e2ed1d1f3676e3d62faa55ca5f4a64dd5d6b5e71442de9dbde0131

Download Submit
C:\Users\Admin\AppData\Local\Temp\174600.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\174600.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\174600.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\422776.txt

Filesize
5B

MD5
f37198c7cdaff10d18b9db53d7911cc3

SHA1
8bd0421aa8b8fecd874559fb87b8245550093e13

SHA256
e362f4dda90cea07f918259c606b00e9345961750bef6584cf78d851e08add33

SHA512
19c8a915f6ba2e76cb090e6b6f3c6c91841b9ae573c64a01ec87b4a14e187a0a6a9e3c387d419fce068cf09351aa9daa8275f646a77b928b37609dcb35963478

Download Submit
C:\Users\Admin\AppData\Local\Temp\615052.txt

Filesize
5B

MD5
8a27c2ddc3d3fe74aa037f4b7d262e34

SHA1
29ba298b4ec994b053b26cdfdeea7e9ffc12c76b

SHA256
5c0b64218f30dcfe02ae308d1fa5efd207f9502a7e0acfd6e7a1f8852677b503

SHA512
91aa799193a27b8d424abff364a775ee59ca1cf70cbdc115aba2447732956705fe78be95299f282b9d161dfd2bdf53e0d4eb21dc817d96c93158bfc8a75d2b35

Download Submit
C:\Users\Admin\AppData\Local\Temp\615052.txt

Filesize
5B

MD5
8a27c2ddc3d3fe74aa037f4b7d262e34

SHA1
29ba298b4ec994b053b26cdfdeea7e9ffc12c76b

SHA256
5c0b64218f30dcfe02ae308d1fa5efd207f9502a7e0acfd6e7a1f8852677b503

SHA512
91aa799193a27b8d424abff364a775ee59ca1cf70cbdc115aba2447732956705fe78be95299f282b9d161dfd2bdf53e0d4eb21dc817d96c93158bfc8a75d2b35

Download Submit
C:\Users\Admin\AppData\Local\Temp\615052.txt

Filesize
5B

MD5
8a27c2ddc3d3fe74aa037f4b7d262e34

SHA1
29ba298b4ec994b053b26cdfdeea7e9ffc12c76b

SHA256
5c0b64218f30dcfe02ae308d1fa5efd207f9502a7e0acfd6e7a1f8852677b503

SHA512
91aa799193a27b8d424abff364a775ee59ca1cf70cbdc115aba2447732956705fe78be95299f282b9d161dfd2bdf53e0d4eb21dc817d96c93158bfc8a75d2b35

Download Submit
C:\Users\Admin\AppData\Local\Temp\615052.txt

Filesize
5B

MD5
8a27c2ddc3d3fe74aa037f4b7d262e34

SHA1
29ba298b4ec994b053b26cdfdeea7e9ffc12c76b

SHA256
5c0b64218f30dcfe02ae308d1fa5efd207f9502a7e0acfd6e7a1f8852677b503

SHA512
91aa799193a27b8d424abff364a775ee59ca1cf70cbdc115aba2447732956705fe78be95299f282b9d161dfd2bdf53e0d4eb21dc817d96c93158bfc8a75d2b35

Download Submit
C:\Users\Admin\AppData\Local\Temp\615052.txt

Filesize
5B

MD5
8a27c2ddc3d3fe74aa037f4b7d262e34

SHA1
29ba298b4ec994b053b26cdfdeea7e9ffc12c76b

SHA256
5c0b64218f30dcfe02ae308d1fa5efd207f9502a7e0acfd6e7a1f8852677b503

SHA512
91aa799193a27b8d424abff364a775ee59ca1cf70cbdc115aba2447732956705fe78be95299f282b9d161dfd2bdf53e0d4eb21dc817d96c93158bfc8a75d2b35

Download Submit
C:\Users\Admin\AppData\Local\Temp\615052.txt

Filesize
5B

MD5
8a27c2ddc3d3fe74aa037f4b7d262e34

SHA1
29ba298b4ec994b053b26cdfdeea7e9ffc12c76b

SHA256
5c0b64218f30dcfe02ae308d1fa5efd207f9502a7e0acfd6e7a1f8852677b503

SHA512
91aa799193a27b8d424abff364a775ee59ca1cf70cbdc115aba2447732956705fe78be95299f282b9d161dfd2bdf53e0d4eb21dc817d96c93158bfc8a75d2b35

Download Submit
C:\Users\Admin\AppData\Local\Temp\615052.txt

Filesize
5B

MD5
8a27c2ddc3d3fe74aa037f4b7d262e34

SHA1
29ba298b4ec994b053b26cdfdeea7e9ffc12c76b

SHA256
5c0b64218f30dcfe02ae308d1fa5efd207f9502a7e0acfd6e7a1f8852677b503

SHA512
91aa799193a27b8d424abff364a775ee59ca1cf70cbdc115aba2447732956705fe78be95299f282b9d161dfd2bdf53e0d4eb21dc817d96c93158bfc8a75d2b35

Download Submit
C:\Users\Admin\AppData\Local\Temp\615052.txt

Filesize
5B

MD5
8a27c2ddc3d3fe74aa037f4b7d262e34

SHA1
29ba298b4ec994b053b26cdfdeea7e9ffc12c76b

SHA256
5c0b64218f30dcfe02ae308d1fa5efd207f9502a7e0acfd6e7a1f8852677b503

SHA512
91aa799193a27b8d424abff364a775ee59ca1cf70cbdc115aba2447732956705fe78be95299f282b9d161dfd2bdf53e0d4eb21dc817d96c93158bfc8a75d2b35

Download Submit
C:\Users\Admin\AppData\Local\Temp\615052.txt

Filesize
5B

MD5
8a27c2ddc3d3fe74aa037f4b7d262e34

SHA1
29ba298b4ec994b053b26cdfdeea7e9ffc12c76b

SHA256
5c0b64218f30dcfe02ae308d1fa5efd207f9502a7e0acfd6e7a1f8852677b503

SHA512
91aa799193a27b8d424abff364a775ee59ca1cf70cbdc115aba2447732956705fe78be95299f282b9d161dfd2bdf53e0d4eb21dc817d96c93158bfc8a75d2b35

Download Submit
C:\Users\Admin\AppData\Local\Temp\615052.txt

Filesize
5B

MD5
8a27c2ddc3d3fe74aa037f4b7d262e34

SHA1
29ba298b4ec994b053b26cdfdeea7e9ffc12c76b

SHA256
5c0b64218f30dcfe02ae308d1fa5efd207f9502a7e0acfd6e7a1f8852677b503

SHA512
91aa799193a27b8d424abff364a775ee59ca1cf70cbdc115aba2447732956705fe78be95299f282b9d161dfd2bdf53e0d4eb21dc817d96c93158bfc8a75d2b35

Download Submit
C:\Users\Admin\AppData\Local\Temp\65424.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\925801.txt

Filesize
4B

MD5
0dbd53751c00e0784799008b44471a77

SHA1
d0b4db2bc4e12a863e48a7d375e595b36af9b69a

SHA256
bb75dee316edb78b8d6ae1c9e7ef9b1739812fb548ee268e2b232f0e0c9556e4

SHA512
2ab7c50046e82c46b7f6ce1ef34a2d0c3294972bed0ec9ae18a55369cbf4bfb85f4a87db825adc09bc4f3bd2bd3ea5bc05ec8b72f83ee654d23fd6cfef529498

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe

Filesize
3.0MB

MD5
e79b3ce58d1945c53c4ec3c5d0cb5280

SHA1
1b5c0c06c74c34fb550444bd158dc57cf97c13d8

SHA256
db238bc89be1488d6eeb4d303da6abb52578a1ea0b805212b5432f30303aaaf9

SHA512
ae5b3adc36c6e75938860755eec254e05dba555f59caeba2d70fac92473474f490e6c4d04146089095677f8050f3a15b89d5477eec22e7c3bb1260ff66855bb5

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe

Filesize
3.0MB

MD5
03735ee64453979e289a54566ae0514b

SHA1
60a0ac9ba5efa057d63b15e0358a4a95358bea6d

SHA256
decef16ce4b0a061d49172a78d05898c0c9657346dddd01db0d97075ed33327a

SHA512
9cd93e94594fd69e0d8f60e2ab9bb8bb76bb971194baad5c3d6fa3b08dafe59cf4bc4ecfb55299f4c2f342e705b139a3fa3cbe7a61004f9aae1aa2e1d6f98d64

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe

Filesize
3.0MB

MD5
03735ee64453979e289a54566ae0514b

SHA1
60a0ac9ba5efa057d63b15e0358a4a95358bea6d

SHA256
decef16ce4b0a061d49172a78d05898c0c9657346dddd01db0d97075ed33327a

SHA512
9cd93e94594fd69e0d8f60e2ab9bb8bb76bb971194baad5c3d6fa3b08dafe59cf4bc4ecfb55299f4c2f342e705b139a3fa3cbe7a61004f9aae1aa2e1d6f98d64

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe

Filesize
3.0MB

MD5
03735ee64453979e289a54566ae0514b

SHA1
60a0ac9ba5efa057d63b15e0358a4a95358bea6d

SHA256
decef16ce4b0a061d49172a78d05898c0c9657346dddd01db0d97075ed33327a

SHA512
9cd93e94594fd69e0d8f60e2ab9bb8bb76bb971194baad5c3d6fa3b08dafe59cf4bc4ecfb55299f4c2f342e705b139a3fa3cbe7a61004f9aae1aa2e1d6f98d64

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe

Filesize
3.0MB

MD5
608e903d4dd7fb4313f59dac74b5cef3

SHA1
0a86c823bb51e2cdd4900d5799dd7640e73ba3b1

SHA256
eb3163860e4d386e7ed23c41c16fa19bb83d65221b8c0b0902c25d95e466e5bb

SHA512
40e8654923715617a9e998ffe501a65e46453106ebd6d15a1b93a3fd7dd307bad4033ddaaa002259451eba312c892dc9733bafa34f34c9a94f71dd638d02e722

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe

Filesize
3.0MB

MD5
03735ee64453979e289a54566ae0514b

SHA1
60a0ac9ba5efa057d63b15e0358a4a95358bea6d

SHA256
decef16ce4b0a061d49172a78d05898c0c9657346dddd01db0d97075ed33327a

SHA512
9cd93e94594fd69e0d8f60e2ab9bb8bb76bb971194baad5c3d6fa3b08dafe59cf4bc4ecfb55299f4c2f342e705b139a3fa3cbe7a61004f9aae1aa2e1d6f98d64

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe

Filesize
3.0MB

MD5
03735ee64453979e289a54566ae0514b

SHA1
60a0ac9ba5efa057d63b15e0358a4a95358bea6d

SHA256
decef16ce4b0a061d49172a78d05898c0c9657346dddd01db0d97075ed33327a

SHA512
9cd93e94594fd69e0d8f60e2ab9bb8bb76bb971194baad5c3d6fa3b08dafe59cf4bc4ecfb55299f4c2f342e705b139a3fa3cbe7a61004f9aae1aa2e1d6f98d64

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe

Filesize
3.0MB

MD5
03735ee64453979e289a54566ae0514b

SHA1
60a0ac9ba5efa057d63b15e0358a4a95358bea6d

SHA256
decef16ce4b0a061d49172a78d05898c0c9657346dddd01db0d97075ed33327a

SHA512
9cd93e94594fd69e0d8f60e2ab9bb8bb76bb971194baad5c3d6fa3b08dafe59cf4bc4ecfb55299f4c2f342e705b139a3fa3cbe7a61004f9aae1aa2e1d6f98d64

Download Submit
\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe

Filesize
3.0MB

MD5
03735ee64453979e289a54566ae0514b

SHA1
60a0ac9ba5efa057d63b15e0358a4a95358bea6d

SHA256
decef16ce4b0a061d49172a78d05898c0c9657346dddd01db0d97075ed33327a

SHA512
9cd93e94594fd69e0d8f60e2ab9bb8bb76bb971194baad5c3d6fa3b08dafe59cf4bc4ecfb55299f4c2f342e705b139a3fa3cbe7a61004f9aae1aa2e1d6f98d64

Download Submit
memory/328-118-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/584-110-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/688-164-0x000007FEF60A0000-0x000007FEF6354000-memory.dmp

Filesize
2.7MB

Download
memory/688-157-0x000007FEFB010000-0x000007FEFB044000-memory.dmp

Filesize
208KB

Download
memory/688-171-0x000007FEFB280000-0x000007FEFB298000-memory.dmp

Filesize
96KB

Download
memory/688-153-0x000000013FC30000-0x000000013FD28000-memory.dmp

Filesize
992KB

Download
memory/688-175-0x000007FEF78D0000-0x000007FEF78E7000-memory.dmp

Filesize
92KB

Download
memory/688-192-0x000007FEF78B0000-0x000007FEF78C1000-memory.dmp

Filesize
68KB

Download
memory/760-129-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/908-169-0x000007FEF60A0000-0x000007FEF6354000-memory.dmp

Filesize
2.7MB

Download
memory/908-189-0x000007FEF78D0000-0x000007FEF78E7000-memory.dmp

Filesize
92KB

Download
memory/908-179-0x000007FEFB280000-0x000007FEFB298000-memory.dmp

Filesize
96KB

Download
memory/908-202-0x000007FEF78B0000-0x000007FEF78C1000-memory.dmp

Filesize
68KB

Download
memory/908-155-0x000000013FC30000-0x000000013FD28000-memory.dmp

Filesize
992KB

Download
memory/908-159-0x000007FEFB010000-0x000007FEFB044000-memory.dmp

Filesize
208KB

Download
memory/1048-133-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1328-116-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1348-196-0x000007FEF78D0000-0x000007FEF78E7000-memory.dmp

Filesize
92KB

Download
memory/1348-150-0x000007FEFB010000-0x000007FEFB044000-memory.dmp

Filesize
208KB

Download
memory/1348-176-0x000007FEFB280000-0x000007FEFB298000-memory.dmp

Filesize
96KB

Download
memory/1348-138-0x000000013FC30000-0x000000013FD28000-memory.dmp

Filesize
992KB

Download
memory/1348-165-0x000007FEF60A0000-0x000007FEF6354000-memory.dmp

Filesize
2.7MB

Download
memory/1348-201-0x000007FEF78B0000-0x000007FEF78C1000-memory.dmp

Filesize
68KB

Download
memory/1452-188-0x000007FEF78D0000-0x000007FEF78E7000-memory.dmp

Filesize
92KB

Download
memory/1452-173-0x000007FEF60A0000-0x000007FEF6354000-memory.dmp

Filesize
2.7MB

Download
memory/1452-177-0x000007FEFB280000-0x000007FEFB298000-memory.dmp

Filesize
96KB

Download
memory/1452-191-0x000007FEF78B0000-0x000007FEF78C1000-memory.dmp

Filesize
68KB

Download
memory/1452-156-0x000007FEFB010000-0x000007FEFB044000-memory.dmp

Filesize
208KB

Download
memory/1452-152-0x000000013FC30000-0x000000013FD28000-memory.dmp

Filesize
992KB

Download
memory/1524-134-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1644-168-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1652-163-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1708-115-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2100-112-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2168-109-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2212-128-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2260-135-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2308-131-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2316-126-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2360-137-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2520-127-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2524-114-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2576-120-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2640-124-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2660-119-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2716-113-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2744-111-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2752-130-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2784-139-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2792-132-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2880-125-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2892-136-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2996-205-0x000007FEFB010000-0x000007FEFB044000-memory.dmp

Filesize
208KB

Download
memory/2996-203-0x000000013FC30000-0x000000013FD28000-memory.dmp

Filesize
992KB

Download
memory/2996-206-0x000007FEF60A0000-0x000007FEF6354000-memory.dmp

Filesize
2.7MB

Download
memory/3024-117-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/3028-108-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/3352-162-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/4356-187-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads