a18457469d087017a65d5faac4a1e529d20d409305ba832acec2bfc04b13e076

General

Target

0544b576c9eb86795101fdb3214b4597.exe
Size

16KB
MD5

0544b576c9eb86795101fdb3214b4597
SHA1

d7c5d62fb5faaed5afbf2b4ef400204ecee2e641
SHA256

a18457469d087017a65d5faac4a1e529d20d409305ba832acec2bfc04b13e076
SHA512

55a1294b9566014e4e45eeadcc99c0356f274ac305e9ab985ebfcc14c352c2d52bda862618033b1da5e1ce9c97702d9bcc8c5747e82c7bd8a8961bad8f1d64e3
SSDEEP

384:IK766GhJ2MhwwY0ruPJlvVxJ859xJDIdsYhcOYb3:+/zhwwY06PJxW5pDIADr

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 1 IoCs

pid	Process
1272	pldhadwd.exe

Installs/modifies Browser Helper Object 2 TTPs 2 IoCs

BHOs are DLL modules which act as plugins for Internet Explorer.

stealer adware

Modify Registry

T1112

Browser Extensions

T1176

description	ioc	Process
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6C648541-1025-9650-9057-6541258720C6}	0544b576c9eb86795101fdb3214b4597.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6C648541-1025-9650-9057-6541258720C6}\ = "mndhfdwd.dll"	0544b576c9eb86795101fdb3214b4597.exe

Drops file in System32 directory 9 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\verclsid.exe	0544b576c9eb86795101fdb3214b4597.exe
File opened for modification	C:\Windows\SysWOW64\mndhfdwd.dll	0544b576c9eb86795101fdb3214b4597.exe
File created	C:\Windows\SysWOW64\mndhfdwd.dll	0544b576c9eb86795101fdb3214b4597.exe
File opened for modification	C:\Windows\SysWOW64\pldhadwd.exe	0544b576c9eb86795101fdb3214b4597.exe
File opened for modification	C:\Windows\SysWOW64\verclsid.exe	pldhadwd.exe
File opened for modification	C:\Windows\SysWOW64\gsdhadwd.sys	0544b576c9eb86795101fdb3214b4597.exe
File created	C:\Windows\SysWOW64\pldhadwd.exe	0544b576c9eb86795101fdb3214b4597.exe
File opened for modification	C:\Windows\SysWOW64\mndhfdwd.dll	pldhadwd.exe
File created	C:\Windows\SysWOW64\mndhfdwd.dll	pldhadwd.exe

Modifies registry class 6 IoCs

description	ioc	Process
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node	0544b576c9eb86795101fdb3214b4597.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID	0544b576c9eb86795101fdb3214b4597.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{6C648541-1025-9650-9057-6541258720C6}	0544b576c9eb86795101fdb3214b4597.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{6C648541-1025-9650-9057-6541258720C6}\InprocServer32\ = "C:\\Windows\\SysWow64\\mndhfdwd.dll"	0544b576c9eb86795101fdb3214b4597.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{6C648541-1025-9650-9057-6541258720C6}\InprocServer32\ThreadingModel = "Apartment"	0544b576c9eb86795101fdb3214b4597.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{6C648541-1025-9650-9057-6541258720C6}\InprocServer32	0544b576c9eb86795101fdb3214b4597.exe

Suspicious behavior: EnumeratesProcesses 2 IoCs

pid	Process
2904	0544b576c9eb86795101fdb3214b4597.exe
2904	0544b576c9eb86795101fdb3214b4597.exe

Suspicious use of AdjustPrivilegeToken 1 IoCs

description	pid	Process
Token: SeDebugPrivilege	2904	0544b576c9eb86795101fdb3214b4597.exe

Suspicious use of WriteProcessMemory 9 IoCs

description	pid	Process	procid_target
PID 2904 wrote to memory of 2888	2904	0544b576c9eb86795101fdb3214b4597.exe	783
PID 2904 wrote to memory of 2888	2904	0544b576c9eb86795101fdb3214b4597.exe	783
PID 2904 wrote to memory of 2888	2904	0544b576c9eb86795101fdb3214b4597.exe	783
PID 2904 wrote to memory of 1272	2904	0544b576c9eb86795101fdb3214b4597.exe	782
PID 2904 wrote to memory of 1272	2904	0544b576c9eb86795101fdb3214b4597.exe	782
PID 2904 wrote to memory of 1272	2904	0544b576c9eb86795101fdb3214b4597.exe	782
PID 1272 wrote to memory of 5124	1272	pldhadwd.exe	781
PID 1272 wrote to memory of 5124	1272	pldhadwd.exe	781
PID 1272 wrote to memory of 5124	1272	pldhadwd.exe	781

C:\Users\Admin\AppData\Local\Temp\0544b576c9eb86795101fdb3214b4597.exe
"C:\Users\Admin\AppData\Local\Temp\0544b576c9eb86795101fdb3214b4597.exe"
1⤵
- Installs/modifies Browser Helper Object
- Drops file in System32 directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2904
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240632921.bat
  2⤵
  PID:13204
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  - Executes dropped EXE
  - Drops file in System32 directory
  - Suspicious use of WriteProcessMemory
  PID:1272
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240602156.bat
  2⤵
  PID:2888

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240602625.bat
1⤵
PID:2852

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:8060
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240603375.bat
  2⤵
  PID:8100
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:8044
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:6672
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240604156.bat
      4⤵
      PID:6572
  - - C:\Windows\SysWOW64\pldhadwd.exe
      C:\Windows\system32\pldhadwd.exe
      4⤵
      PID:7004
    - - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        5⤵
        
        PID:1540
      - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        6⤵
        
        PID:7512
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240635625.bat
        7⤵
        
        PID:11828
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240604640.bat
        6⤵
        
        PID:4700
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240635578.bat
        6⤵
        
        PID:12652
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240604390.bat
        5⤵
        
        PID:4324
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240635265.bat
        5⤵
        
        PID:13060
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240635062.bat
      4⤵
      PID:12904
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240603625.bat
    3⤵
    PID:4704
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240634500.bat
    3⤵
    PID:7156
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240634250.bat
  2⤵
  PID:7120

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240603093.bat
1⤵
PID:5692

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:1360
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:8952
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:6488
  - - C:\Windows\SysWOW64\pldhadwd.exe
      C:\Windows\system32\pldhadwd.exe
      4⤵
      PID:6416
    - - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        5⤵
        
        PID:15280
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240641875.bat
        6⤵
        
        PID:12424
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655234.bat
        6⤵
        
        PID:9988
      - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        6⤵
        
        PID:10764
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655281.bat
        5⤵
        
        PID:18400
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240641531.bat
        5⤵
        
        PID:15188
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240605968.bat
      4⤵
      PID:3644
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240637015.bat
      4⤵
      PID:12544
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240605671.bat
    3⤵
    PID:8904
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240636734.bat
    3⤵
    PID:7492
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240605406.bat
  2⤵
  PID:8132
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240636375.bat
  2⤵
  PID:14492

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240606296.bat
1⤵
PID:6008

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240606515.bat
1⤵
PID:3100

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240607250.bat
1⤵
PID:8868

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:4908
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:10104
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240608000.bat
    3⤵
    PID:10140
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:10716
  - - C:\Windows\SysWOW64\pldhadwd.exe
      C:\Windows\system32\pldhadwd.exe
      4⤵
      PID:5536
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240639453.bat
        5⤵
        
        PID:16092
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240639296.bat
      4⤵
      PID:16008
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240639093.bat
    3⤵
    PID:13892
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240607765.bat
  2⤵
  PID:6104
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240638734.bat
  2⤵
  PID:8464

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240608312.bat
1⤵
PID:10736

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240608578.bat
1⤵
PID:7292

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:8384
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:10556
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240609046.bat
    3⤵
    PID:10508
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:6272
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240609390.bat
      4⤵
      PID:6264
  - - C:\Windows\SysWOW64\pldhadwd.exe
      C:\Windows\system32\pldhadwd.exe
      4⤵
      PID:7816
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240609609.bat
        5⤵
        
        PID:7892
    - - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        5⤵
        
        PID:10356
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240610015.bat
        6⤵
        
        PID:10388
      - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        6⤵
        
        PID:8440
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240610296.bat
        7⤵
        
        PID:6888
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        7⤵
        
        PID:6360
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240610562.bat
        8⤵
        
        PID:11816
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        8⤵
        
        PID:3588
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240611031.bat
        9⤵
        
        PID:1512
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        9⤵
        
        PID:8220
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        10⤵
        
        PID:6960
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240611640.bat
        11⤵
        
        PID:7684
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        11⤵
        
        PID:5132
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        12⤵
        
        PID:5776
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240612203.bat
        13⤵
        
        PID:7524
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        13⤵
        
        PID:7772
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240612484.bat
        14⤵
        
        PID:8740
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        14⤵
        
        PID:7532
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        15⤵
        
        PID:10704
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240613203.bat
        16⤵
        
        PID:7092
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        16⤵
        
        PID:10340
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240613546.bat
        17⤵
        
        PID:12144
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        17⤵
        
        PID:11044
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        18⤵
        
        PID:7692
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        19⤵
        
        PID:10320
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240614343.bat
        20⤵
        
        PID:11964
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        20⤵
        
        PID:9288
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        21⤵
        
        PID:3680
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240645843.bat
        22⤵
        
        PID:4388
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240645484.bat
        21⤵
        
        PID:13264
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240614109.bat
        19⤵
        
        PID:6516
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240645015.bat
        19⤵
        
        PID:9176
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240613828.bat
        18⤵
        
        PID:11600
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240644750.bat
        18⤵
        
        PID:4508
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240644281.bat
        17⤵
        
        PID:11868
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240644203.bat
        16⤵
        
        PID:14796
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240643796.bat
        15⤵
        
        PID:5476
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240643453.bat
        14⤵
        
        PID:5140
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240643125.bat
        13⤵
        
        PID:14680
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240611953.bat
        12⤵
        
        PID:10404
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240642812.bat
        12⤵
        
        PID:16240
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240642546.bat
        11⤵
        
        PID:6948
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240642437.bat
        10⤵
        
        PID:12796
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240642156.bat
        9⤵
        
        PID:13064
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240641515.bat
        8⤵
        
        PID:10768
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240641359.bat
        7⤵
        
        PID:10516
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240641031.bat
        6⤵
        
        PID:14264
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240640671.bat
        5⤵
        
        PID:5400
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240640125.bat
      4⤵
      PID:9844
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240639781.bat
    3⤵
    PID:3160
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240608859.bat
  2⤵
  PID:2404
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240639718.bat
  2⤵
  PID:8044

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240607531.bat
1⤵
PID:5604

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240611375.bat
1⤵
PID:8392

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240612765.bat
1⤵
PID:12280

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:9712
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240638281.bat
  2⤵
  PID:3744

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:8912
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240638125.bat
  2⤵
  PID:14572

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240614656.bat
1⤵
PID:11272

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240614921.bat
1⤵
PID:10236

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:6628
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240615187.bat
  2⤵
  PID:9612
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:8748
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:4484
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240615812.bat
      4⤵
      PID:10648
  - - C:\Windows\SysWOW64\pldhadwd.exe
      C:\Windows\system32\pldhadwd.exe
      4⤵
      PID:6180
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240647015.bat
        5⤵
        
        PID:8608
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240646703.bat
      4⤵
      PID:16836
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240648109.bat
      4⤵
      PID:15580
  - - C:\Windows\SysWOW64\pldhadwd.exe
      C:\Windows\system32\pldhadwd.exe
      4⤵
      PID:16156
    - - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        5⤵
        
        PID:17976
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240648531.bat
        5⤵
        
        PID:15696
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654296.bat
      4⤵
      PID:13344
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240646484.bat
    3⤵
    PID:16152
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240646203.bat
  2⤵
  PID:7992

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240615500.bat
1⤵
PID:8764

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240607046.bat
1⤵
PID:6700

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240616140.bat
1⤵
PID:1316

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:6860
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240616468.bat
  2⤵
  PID:8652
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:4800
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240647656.bat
    3⤵
    PID:15724

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240616687.bat
1⤵
PID:3440

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:11768
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240617015.bat
  2⤵
  PID:9948
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:7320
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240617312.bat
    3⤵
    PID:8888
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:2976
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240617578.bat
      4⤵
      PID:11216
  - - C:\Windows\SysWOW64\pldhadwd.exe
      C:\Windows\system32\pldhadwd.exe
      4⤵
      PID:10876
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240617921.bat
        5⤵
        
        PID:9736
    - - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        5⤵
        
        PID:10892
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240618187.bat
        6⤵
        
        PID:5292
      - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        6⤵
        
        PID:11812
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240618718.bat
        7⤵
        
        PID:11616
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        7⤵
        
        PID:10060
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240619031.bat
        8⤵
        
        PID:12056
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        8⤵
        
        PID:4404
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240619328.bat
        9⤵
        
        PID:9416
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        9⤵
        
        PID:7180
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        10⤵
        
        PID:10924
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240619921.bat
        11⤵
        
        PID:4372
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        11⤵
        
        PID:11640
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240620265.bat
        12⤵
        
        PID:10588
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        12⤵
        
        PID:4348
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240620546.bat
        13⤵
        
        PID:11856
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        13⤵
        
        PID:10048
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240620859.bat
        14⤵
        
        PID:4552
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        14⤵
        
        PID:7908
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240621156.bat
        15⤵
        
        PID:3704
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        15⤵
        
        PID:2848
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        16⤵
        
        PID:5276
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240621875.bat
        17⤵
        
        PID:10452
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        17⤵
        
        PID:4460
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240622203.bat
        18⤵
        
        PID:11460
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        18⤵
        
        PID:8664
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240622484.bat
        19⤵
        
        PID:6056
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        19⤵
        
        PID:9528
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        20⤵
        
        PID:12160
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240623000.bat
        21⤵
        
        PID:9644
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        21⤵
        
        PID:11944
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        22⤵
        
        PID:6840
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        23⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240623859.bat
        24⤵
        
        PID:6468
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        24⤵
        
        PID:10480
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240624140.bat
        25⤵
        
        PID:8168
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        25⤵
        
        PID:6508
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655062.bat
        26⤵
        
        PID:17532
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654625.bat
        24⤵
        
        PID:7996
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240623640.bat
        23⤵
        
        PID:10260
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654328.bat
        23⤵
        
        PID:7952
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240623375.bat
        22⤵
        
        PID:1344
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240653953.bat
        21⤵
        
        PID:17144
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240622734.bat
        20⤵
        
        PID:12040
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240653546.bat
        20⤵
        
        PID:11720
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240653187.bat
        18⤵
        
        PID:17940
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240652906.bat
        17⤵
        
        PID:15208
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240621687.bat
        16⤵
        
        PID:7308
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240652546.bat
        16⤵
        
        PID:18372
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240652296.bat
        15⤵
        
        PID:16816
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240651875.bat
        14⤵
        
        PID:18388
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240651734.bat
        13⤵
        
        PID:14540
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240651140.bat
        12⤵
        
        PID:9536
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240637546.bat
        13⤵
        
        PID:7044
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240650828.bat
        11⤵
        
        PID:18560
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240619625.bat
        10⤵
        
        PID:9832
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240650562.bat
        10⤵
        
        PID:16488
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240650234.bat
        9⤵
        
        PID:11256
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240649812.bat
        8⤵
        
        PID:16484
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240649578.bat
        7⤵
        
        PID:17808
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240649203.bat
        6⤵
        
        PID:18052
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240648968.bat
        5⤵
        
        PID:15248
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240648546.bat
      4⤵
      PID:19264
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240647906.bat
  2⤵
  PID:15160

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:6548
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240637921.bat
  2⤵
  PID:8112

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240606781.bat
1⤵
PID:9756

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:9536

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:6792
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240637484.bat
  2⤵
  PID:7380

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240624359.bat
1⤵
PID:5088

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:6188
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240624625.bat
  2⤵
  PID:7848
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:11932
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240624937.bat
    3⤵
    PID:8584
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:6044
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240625234.bat
      4⤵
      PID:5412
  - - C:\Windows\SysWOW64\pldhadwd.exe
      C:\Windows\system32\pldhadwd.exe
      4⤵
      PID:11060
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240625546.bat
        5⤵
        
        PID:7340
    - - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        5⤵
        
        PID:5872
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240625875.bat
        6⤵
        
        PID:6000
      - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        6⤵
        
        PID:5112
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240626140.bat
        7⤵
        
        PID:7256
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        7⤵
        
        PID:12468
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656921.bat
        7⤵
        
        PID:15824
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656796.bat
        6⤵
        
        PID:12924
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656421.bat
        5⤵
        
        PID:19092
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656156.bat
      4⤵
      PID:17056
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655750.bat
    3⤵
    PID:4464

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240605140.bat
1⤵
PID:8472

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:8424
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240635937.bat
  2⤵
  PID:6288

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240604875.bat
1⤵
PID:7452

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240626390.bat
1⤵
PID:12488

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:7368
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240626671.bat
  2⤵
  PID:5936
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:8260
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240657625.bat
    3⤵
    PID:18188
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240657453.bat
  2⤵
  PID:13608

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:7888
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:10312
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240627406.bat
    3⤵
    PID:4480
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:5460
  - - C:\Windows\SysWOW64\pldhadwd.exe
      C:\Windows\system32\pldhadwd.exe
      4⤵
      PID:10988
    - - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        5⤵
        
        PID:7844
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240628125.bat
        6⤵
        
        PID:6580
      - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        6⤵
        
        PID:10696
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240628437.bat
        7⤵
        
        PID:11124
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        7⤵
        
        PID:5552
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240657406.bat
        6⤵
        
        PID:17728
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240627875.bat
        5⤵
        
        PID:9212
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240657468.bat
        5⤵
        
        PID:10196
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240657515.bat
      4⤵
      PID:19416
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240657546.bat
    3⤵
    PID:18792
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240627156.bat
  2⤵
  PID:11972
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240657609.bat
  2⤵
  PID:3216

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240626875.bat
1⤵
PID:5792

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240627625.bat
1⤵
PID:5508

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240628718.bat
1⤵
PID:11664

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:8416
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240629281.bat
  2⤵
  PID:4912
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:12416
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:11036
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240630125.bat
      4⤵
      PID:12596
  - - C:\Windows\SysWOW64\pldhadwd.exe
      C:\Windows\system32\pldhadwd.exe
      4⤵
      PID:6140
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240630515.bat
        5⤵
        
        PID:6856
    - - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        5⤵
        
        PID:13112
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240630843.bat
        6⤵
        
        PID:13028
      - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        6⤵
        
        PID:8508
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240631250.bat
        7⤵
        
        PID:10200
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        7⤵
        
        PID:10624
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240631562.bat
        8⤵
        
        PID:9868
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        8⤵
        
        PID:8144
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240631843.bat
        9⤵
        
        PID:13044
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        9⤵
        
        PID:13492
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240632312.bat
        10⤵
        
        PID:13520
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        10⤵
        
        PID:13000
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240632656.bat
        11⤵
        
        PID:10272
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656734.bat
        11⤵
        
        PID:19056
        
        C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        11⤵
        
        PID:13032
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656781.bat
        10⤵
        
        PID:17344
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656875.bat
        9⤵
        
        PID:17260
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656906.bat
        8⤵
        
        PID:6980
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656937.bat
        7⤵
        
        PID:14644
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656984.bat
        6⤵
        
        PID:7600
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240657015.bat
        5⤵
        
        PID:18528
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240657078.bat
      4⤵
      PID:12164
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240629531.bat
    3⤵
    PID:8
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240657156.bat
    3⤵
    PID:16932

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:5852
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240634000.bat
  2⤵
  PID:10464

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240602828.bat
1⤵
PID:5444

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:5748
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240633671.bat
  2⤵
  PID:12984

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240632984.bat
1⤵
PID:11976

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:14316
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240633359.bat
  2⤵
  PID:14248
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:7288
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:9888
  - - C:\Windows\SysWOW64\pldhadwd.exe
      C:\Windows\system32\pldhadwd.exe
      4⤵
      PID:8360
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656359.bat
        5⤵
        
        PID:15756
    - - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        5⤵
        
        PID:13844
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240634265.bat
        5⤵
        
        PID:6744
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656406.bat
      4⤵
      PID:17716
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240634031.bat
      4⤵
      PID:12240
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656500.bat
    3⤵
    PID:15668
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240633687.bat
    3⤵
    PID:6784
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656609.bat
  2⤵
  PID:15736

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240634625.bat
1⤵
PID:4796

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:11452
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656156.bat
  2⤵
  PID:13708
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:11864
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240634984.bat
  2⤵
  PID:12580

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240635593.bat
1⤵
PID:6984

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:9156
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240635984.bat
  2⤵
  PID:10052
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:14460
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655890.bat
    3⤵
    PID:16720
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:6968
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240636406.bat
    3⤵
    PID:14520

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240636796.bat
1⤵
PID:11112

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:1752
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:13820
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240637140.bat
  2⤵
  PID:10972

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240637859.bat
1⤵
PID:9228

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:6824
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240638531.bat
  2⤵
  PID:14428
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655640.bat
  2⤵
  PID:4664
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:12856

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240638875.bat
1⤵
PID:15124

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240639796.bat
1⤵
PID:10936

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:6880
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:9712
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240640406.bat
    3⤵
    PID:14420
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655453.bat
    3⤵
    PID:15912
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:15036
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240640109.bat
  2⤵
  PID:14232

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240641156.bat
1⤵
PID:5624

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240642359.bat
1⤵
PID:15844

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:13632
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240642843.bat
  2⤵
  PID:6396
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655015.bat
  2⤵
  PID:16644
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:14612

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240643515.bat
1⤵
PID:14440

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:712
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240643875.bat
  2⤵
  PID:10372
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654906.bat
  2⤵
  PID:15176
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:6460

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:16392
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240644656.bat
  2⤵
  PID:16448
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654781.bat
  2⤵
  PID:15444
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:14296

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240645078.bat
1⤵
PID:13396

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:13596
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240645531.bat
  2⤵
  PID:7212
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:7020
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:13716
  - - C:\Windows\SysWOW64\pldhadwd.exe
      C:\Windows\system32\pldhadwd.exe
      4⤵
      PID:16972
    - - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        5⤵
        
        PID:17400
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654531.bat
        6⤵
        
        PID:18160
      - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        6⤵
        
        PID:17368
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240646953.bat
        6⤵
        
        PID:16276
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654578.bat
        5⤵
        
        PID:18816
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240646468.bat
        5⤵
        
        PID:16868
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654609.bat
      4⤵
      PID:7440
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240646062.bat
      4⤵
      PID:14908
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654640.bat
    3⤵
    PID:17468
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240645796.bat
    3⤵
    PID:15076
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654687.bat
  2⤵
  PID:18468

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240647203.bat
1⤵
PID:16704

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:16948
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:9772
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:4484
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240647937.bat
    3⤵
    PID:14032
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654390.bat
  2⤵
  PID:16104
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240647656.bat
  2⤵
  PID:16748

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240648718.bat
1⤵
PID:18012

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:18872
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:10112
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240649140.bat
  2⤵
  PID:18992

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240649781.bat
1⤵
PID:17464

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:17628
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240650140.bat
  2⤵
  PID:19188
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:14260
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:16648
  - - C:\Windows\SysWOW64\pldhadwd.exe
      C:\Windows\system32\pldhadwd.exe
      4⤵
      PID:11268
    - - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        5⤵
        
        PID:16140
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240653750.bat
        6⤵
        
        PID:9896
      - C:\Windows\SysWOW64\pldhadwd.exe
        
        C:\Windows\system32\pldhadwd.exe
        6⤵
        
        PID:18316
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240651703.bat
        6⤵
        
        PID:7416
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240651078.bat
        5⤵
        
        PID:18760
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240653859.bat
      4⤵
      PID:19168
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240650781.bat
      4⤵
      PID:13848
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240653890.bat
    3⤵
    PID:14604
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240650453.bat
    3⤵
    PID:11372
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654015.bat
  2⤵
  PID:2568

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:14624
- C:\Windows\SysWOW64\pldhadwd.exe
  C:\Windows\system32\pldhadwd.exe
  2⤵
  PID:5732
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240652671.bat
    3⤵
    PID:18720
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240653578.bat
    3⤵
    PID:9616
- - C:\Windows\SysWOW64\pldhadwd.exe
    C:\Windows\system32\pldhadwd.exe
    3⤵
    PID:9892
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240653625.bat
  2⤵
  PID:13208
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240652328.bat
  2⤵
  PID:17180

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240653078.bat
1⤵
PID:18944

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240653421.bat
1⤵
PID:19000

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654468.bat
1⤵
PID:17204

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654812.bat
1⤵
PID:18988

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655343.bat
1⤵
PID:14052

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655390.bat
1⤵
PID:17564

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655578.bat
1⤵
PID:17412

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655703.bat
1⤵
PID:16612

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656296.bat
1⤵
PID:17320

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240656640.bat
1⤵
PID:16640

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655750.bat
1⤵
PID:18476

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655625.bat
1⤵
PID:14948

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655187.bat
1⤵
PID:8220

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240655109.bat
1⤵
PID:15672

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654968.bat
1⤵
PID:14188

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654734.bat
1⤵
PID:7320
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240648265.bat
  2⤵
  PID:15816

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654140.bat
1⤵
PID:7128

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240654093.bat
1⤵
PID:16848

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240652015.bat
1⤵
PID:19336

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:17440

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240649500.bat
1⤵
PID:2692

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240647359.bat
1⤵
PID:13212

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240645375.bat
1⤵
PID:8412

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240644312.bat
1⤵
PID:9104

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:11328

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240643187.bat
1⤵
PID:13336

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:15952

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240642140.bat
1⤵
PID:12096

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:6416
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240637093.bat
  2⤵
  PID:13360

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:4056

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240640718.bat
1⤵
PID:4068

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:3252

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240639453.bat
1⤵
PID:16088

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:15984

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240639156.bat
1⤵
PID:15164

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:2588

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240638187.bat
1⤵
PID:15156

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:3068

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:12616

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240635265.bat
1⤵
PID:9000

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240633375.bat
1⤵
PID:6368

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240633343.bat
1⤵
PID:14268

C:\Windows\SysWOW64\pldhadwd.exe
C:\Windows\system32\pldhadwd.exe
1⤵
PID:1680

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\~DFD240602390.bat
1⤵
PID:5124

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Browser Extensions

1

T1176

Privilege Escalation

Defense Evasion

Modify Registry

1

T1112

Credential Access

Discovery

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\~DFD240602156.bat

Filesize
121B

MD5
09517fc62284f33e877a276463580bd1

SHA1
0b14fe1db4493818f9de0bf2a56ee5370b8d479a

SHA256
6cc6bbb1f3f754b6894d84130f5f2d86569ac3a603e1632d3cefa028f22b6238

SHA512
1b924dd216d0f38199cc6df215e65ff260aa48fa37aa620dabcbc616f434643bd1f2e617d66b14bd52900214148741565128ba9589782ba582fd7308369f4a4d

Download Submit
C:\Users\Admin\AppData\Local\Temp\~DFD240633671.bat

Filesize
121B

MD5
c43461dbb2f42af0dee63f44107fff1c

SHA1
f631382a6c7567f3b4b7b2a3f27aa79d0596d054

SHA256
6b30a06fc58e233e74e88e3f144f63a2ab13cd987f97102a86cc11908479e1b6

SHA512
cc75c92f84f7a7ca2c02c1b5e8e506cdd19d1180f58986e43e557295880d093100395c945edba2a76cf1b3f1fc51f51a8b2b9aad9df451ef6842bf19e4908bac

Download Submit
C:\Windows\SysWOW64\gsdhadwd.sys

Filesize
520B

MD5
5ef99e061b8608f44171d7d594186db7

SHA1
cd241c2028aedd73f1d4c586f8480447dc55b7ba

SHA256
bca2dfa824e9a552ef86edf132b1b4590c149de08caef9e5e250b167928d7036

SHA512
49a4021951e001590b2e84f40eb9907f98aa00333bcb31ffcfbb73763cba23b2b917413e557301356276f9455ce35947215ef5ead54451875e707af9dd468bf6

Download Submit
C:\Windows\SysWOW64\mndhfdwd.dll

Filesize
524KB

MD5
27c3512ea1b9744204f50c55c2482cb9

SHA1
1f052f699c3a51ff36035efa8d2fad6b7400a99a

SHA256
80e74d3cb8bf3fa3f4a1cdebf6fd55b0934ed164e8a4dbfe9d7d2e07bd36dc58

SHA512
21ef64df661d62fe1a259eccfc5135b9a9ff5242b4598b1eaf3080e86887a1229715da311afa5a6b26b0f24d95153b59ef5538d5c9504a3a71623f85493ac0d5

Download Submit
C:\Windows\SysWOW64\mndhfdwd.dll

Filesize
93KB

MD5
1a472dda5787964b585bd9aefe6f75ef

SHA1
105d9b1f0f84ebd509574c73092dbade245aa3f9

SHA256
8dd81a7c4e088aae815e6691639d3f7cdb7b30fca13e9f2ce8415f0f9de63a36

SHA512
15fca2515c3c37f3187a74788e518ce93fd36da180676e2254f42d50cc48884fa4c88f5112f051c57a3c66b2b076245e2d827b3c792f9ab7c18a6333d9fc179d

Download Submit
C:\Windows\SysWOW64\mndhfdwd.dll

Filesize
379KB

MD5
26c312082e2862a796e9fc862f518e06

SHA1
520fd5486c5ad778b50584160aff6162f3c0f496

SHA256
3de96adfa6e538c464ff9414b61bbfc4421bdd170285246121b64405b2ddcabb

SHA512
627cececa822f6d13d4149f56637953d8dc8010c073cbb6f4889ad343fe345d8b4666ac43b1477d1bed92d8626ec7c7512789c5799bc3b2a51c9bd0c45b6267a

Download Submit
C:\Windows\SysWOW64\pldhadwd.exe

Filesize
16KB

MD5
0544b576c9eb86795101fdb3214b4597

SHA1
d7c5d62fb5faaed5afbf2b4ef400204ecee2e641

SHA256
a18457469d087017a65d5faac4a1e529d20d409305ba832acec2bfc04b13e076

SHA512
55a1294b9566014e4e45eeadcc99c0356f274ac305e9ab985ebfcc14c352c2d52bda862618033b1da5e1ce9c97702d9bcc8c5747e82c7bd8a8961bad8f1d64e3

Download Submit
memory/1272-1023-0x0000000000400000-0x000000000041A000-memory.dmp

Filesize
104KB

Download
memory/1680-2038-0x0000000000400000-0x000000000041A000-memory.dmp

Filesize
104KB

Download
memory/2904-10144-0x0000000000400000-0x000000000041A000-memory.dmp

Filesize
104KB

Download
memory/2904-0-0x0000000000400000-0x000000000041A000-memory.dmp

Filesize
104KB

Download
memory/5536-24319-0x0000000000400000-0x000000000041A000-memory.dmp

Filesize
104KB

Download
memory/5852-4065-0x0000000000400000-0x000000000041A000-memory.dmp

Filesize
104KB

Download
memory/6860-50580-0x0000000000400000-0x000000000041A000-memory.dmp

Filesize
104KB

Download
memory/8912-19259-0x0000000000400000-0x000000000041A000-memory.dmp

Filesize
104KB

Download

Analysis

Sharing