6f35c4eec84e63cfbebe6b8dfbfec7cc5950ffa0c96282a703725691e8b56b60

Analysis

max time kernel
149s
max time network
124s
platform
windows7_x64
resource
win7-20231215-en
resource tags

arch:x64arch:x86image:win7-20231215-enlocale:en-usos:windows7-x64system
submitted
25-12-2023 21:05

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

3cb10c921486679049bcb430c74aa858.exe
Size

288KB
MD5

3cb10c921486679049bcb430c74aa858
SHA1

d3e908e1494ab814a5a6a00341fefe717c106c88
SHA256

6f35c4eec84e63cfbebe6b8dfbfec7cc5950ffa0c96282a703725691e8b56b60
SHA512

d7b127364f73ef2f8774a5f732a5a912e10a903a98c9d6f9358ea605768685f06c80f3194f09e2455a251433cffb5e4f4e7af3c1075f6795ca25e1b39d01d282
SSDEEP

6144:0eQ2xaPuSD4hCb4SLiid1dAkpQmQhckyPsaQytv5+go2Snbo:0eQAaDDeCbN1d1pQvagyF5+XLnbo

Score

7^/10

upx

Malware Config

Signatures

Executes dropped EXE 21 IoCs

pid	Process
2348	msiexec16.exe
2144	msiexec16.exe
2832	msiexec16.exe
2272	msiexec16.exe
2900	msiexec16.exe
2868	msiexec16.exe
2676	msiexec16.exe
2768	msiexec16.exe
2172	msiexec16.exe
2668	msiexec16.exe
2936	msiexec16.exe
1044	msiexec16.exe
1948	msiexec16.exe
1180	msiexec16.exe
2944	msiexec16.exe
3060	msiexec16.exe
3056	msiexec16.exe
2976	msiexec16.exe
1520	msiexec16.exe
708	msiexec16.exe
572	msiexec16.exe

Loads dropped DLL 42 IoCs

pid	Process
1300	3cb10c921486679049bcb430c74aa858.exe
1300	3cb10c921486679049bcb430c74aa858.exe
2348	msiexec16.exe
2348	msiexec16.exe
2144	msiexec16.exe
2144	msiexec16.exe
2832	msiexec16.exe
2832	msiexec16.exe
2272	msiexec16.exe
2272	msiexec16.exe
2900	msiexec16.exe
2900	msiexec16.exe
2868	msiexec16.exe
2868	msiexec16.exe
2676	msiexec16.exe
2676	msiexec16.exe
2768	msiexec16.exe
2768	msiexec16.exe
2172	msiexec16.exe
2172	msiexec16.exe
2668	msiexec16.exe
2668	msiexec16.exe
2936	msiexec16.exe
2936	msiexec16.exe
1044	msiexec16.exe
1044	msiexec16.exe
1948	msiexec16.exe
1948	msiexec16.exe
1180	msiexec16.exe
1180	msiexec16.exe
2944	msiexec16.exe
2944	msiexec16.exe
3060	msiexec16.exe
3060	msiexec16.exe
3056	msiexec16.exe
3056	msiexec16.exe
2976	msiexec16.exe
2976	msiexec16.exe
1520	msiexec16.exe
1520	msiexec16.exe
708	msiexec16.exe
708	msiexec16.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral1/files/0x000b000000012251-10.dat	upx
behavioral1/memory/2144-20-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/files/0x000b000000012251-35.dat	upx
behavioral1/memory/2768-54-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2676-56-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/708-128-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/984-163-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2224-167-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1592-172-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2544-185-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2612-187-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2768-191-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1892-195-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2000-196-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2776-199-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2944-208-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/972-223-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2256-227-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2984-237-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2420-247-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1708-272-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1808-268-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/848-264-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2436-258-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2996-254-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/908-251-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/776-242-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1676-232-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2884-217-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2700-214-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/300-194-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1820-193-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2172-192-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1388-190-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2596-189-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2620-188-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2736-186-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2144-184-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2692-182-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/984-160-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/472-156-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1976-154-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1976-152-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1636-151-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1636-147-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/928-145-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1292-143-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/928-142-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/276-139-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1292-137-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2472-133-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/572-132-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2472-131-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1520-124-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/708-123-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2976-118-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1520-117-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/3056-112-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/3060-108-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/3056-106-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2944-102-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/2944-97-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1180-96-0x0000000000400000-0x00000000004BE000-memory.dmp	upx
behavioral1/memory/1948-90-0x0000000000400000-0x00000000004BE000-memory.dmp	upx

Drops file in System32 directory 22 IoCs

description	ioc	Process
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File opened for modification	\??\c:\windows\SysWOW64\msiexec16.exe	3cb10c921486679049bcb430c74aa858.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	3cb10c921486679049bcb430c74aa858.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe
File created	\??\c:\windows\SysWOW64\msiexec16.exe	msiexec16.exe

Suspicious behavior: EnumeratesProcesses 39 IoCs

pid	Process
1300	3cb10c921486679049bcb430c74aa858.exe
2348	msiexec16.exe
2144	msiexec16.exe
2832	msiexec16.exe
2832	msiexec16.exe
2272	msiexec16.exe
2272	msiexec16.exe
2900	msiexec16.exe
2900	msiexec16.exe
2868	msiexec16.exe
2868	msiexec16.exe
2676	msiexec16.exe
2676	msiexec16.exe
2768	msiexec16.exe
2768	msiexec16.exe
2172	msiexec16.exe
2172	msiexec16.exe
2668	msiexec16.exe
2668	msiexec16.exe
2936	msiexec16.exe
2936	msiexec16.exe
1044	msiexec16.exe
1044	msiexec16.exe
1948	msiexec16.exe
1948	msiexec16.exe
1180	msiexec16.exe
1180	msiexec16.exe
2944	msiexec16.exe
2944	msiexec16.exe
3060	msiexec16.exe
3060	msiexec16.exe
3056	msiexec16.exe
3056	msiexec16.exe
2976	msiexec16.exe
2976	msiexec16.exe
1520	msiexec16.exe
1520	msiexec16.exe
708	msiexec16.exe
708	msiexec16.exe

Suspicious use of AdjustPrivilegeToken 42 IoCs

description	pid	Process
Token: SeDebugPrivilege	1300	3cb10c921486679049bcb430c74aa858.exe
Token: SeDebugPrivilege	1300	3cb10c921486679049bcb430c74aa858.exe
Token: SeDebugPrivilege	2348	msiexec16.exe
Token: SeDebugPrivilege	2348	msiexec16.exe
Token: SeDebugPrivilege	2144	msiexec16.exe
Token: SeDebugPrivilege	2144	msiexec16.exe
Token: SeDebugPrivilege	2832	msiexec16.exe
Token: SeDebugPrivilege	2832	msiexec16.exe
Token: SeDebugPrivilege	2272	msiexec16.exe
Token: SeDebugPrivilege	2272	msiexec16.exe
Token: SeDebugPrivilege	2900	msiexec16.exe
Token: SeDebugPrivilege	2900	msiexec16.exe
Token: SeDebugPrivilege	2868	msiexec16.exe
Token: SeDebugPrivilege	2868	msiexec16.exe
Token: SeDebugPrivilege	2676	msiexec16.exe
Token: SeDebugPrivilege	2676	msiexec16.exe
Token: SeDebugPrivilege	2768	msiexec16.exe
Token: SeDebugPrivilege	2768	msiexec16.exe
Token: SeDebugPrivilege	2172	msiexec16.exe
Token: SeDebugPrivilege	2172	msiexec16.exe
Token: SeDebugPrivilege	2668	msiexec16.exe
Token: SeDebugPrivilege	2668	msiexec16.exe
Token: SeDebugPrivilege	2936	msiexec16.exe
Token: SeDebugPrivilege	2936	msiexec16.exe
Token: SeDebugPrivilege	1044	msiexec16.exe
Token: SeDebugPrivilege	1044	msiexec16.exe
Token: SeDebugPrivilege	1948	msiexec16.exe
Token: SeDebugPrivilege	1948	msiexec16.exe
Token: SeDebugPrivilege	1180	msiexec16.exe
Token: SeDebugPrivilege	1180	msiexec16.exe
Token: SeDebugPrivilege	2944	msiexec16.exe
Token: SeDebugPrivilege	2944	msiexec16.exe
Token: SeDebugPrivilege	3060	msiexec16.exe
Token: SeDebugPrivilege	3060	msiexec16.exe
Token: SeDebugPrivilege	3056	msiexec16.exe
Token: SeDebugPrivilege	3056	msiexec16.exe
Token: SeDebugPrivilege	2976	msiexec16.exe
Token: SeDebugPrivilege	2976	msiexec16.exe
Token: SeDebugPrivilege	1520	msiexec16.exe
Token: SeDebugPrivilege	1520	msiexec16.exe
Token: SeDebugPrivilege	708	msiexec16.exe
Token: SeDebugPrivilege	708	msiexec16.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1300 wrote to memory of 2348	1300	3cb10c921486679049bcb430c74aa858.exe	639
PID 1300 wrote to memory of 2348	1300	3cb10c921486679049bcb430c74aa858.exe	639
PID 1300 wrote to memory of 2348	1300	3cb10c921486679049bcb430c74aa858.exe	639
PID 1300 wrote to memory of 2348	1300	3cb10c921486679049bcb430c74aa858.exe	639
PID 2348 wrote to memory of 2144	2348	msiexec16.exe	637
PID 2348 wrote to memory of 2144	2348	msiexec16.exe	637
PID 2348 wrote to memory of 2144	2348	msiexec16.exe	637
PID 2348 wrote to memory of 2144	2348	msiexec16.exe	637
PID 2144 wrote to memory of 2832	2144	msiexec16.exe	636
PID 2144 wrote to memory of 2832	2144	msiexec16.exe	636
PID 2144 wrote to memory of 2832	2144	msiexec16.exe	636
PID 2144 wrote to memory of 2832	2144	msiexec16.exe	636
PID 2832 wrote to memory of 2272	2832	msiexec16.exe	635
PID 2832 wrote to memory of 2272	2832	msiexec16.exe	635
PID 2832 wrote to memory of 2272	2832	msiexec16.exe	635
PID 2832 wrote to memory of 2272	2832	msiexec16.exe	635
PID 2272 wrote to memory of 2900	2272	msiexec16.exe	634
PID 2272 wrote to memory of 2900	2272	msiexec16.exe	634
PID 2272 wrote to memory of 2900	2272	msiexec16.exe	634
PID 2272 wrote to memory of 2900	2272	msiexec16.exe	634
PID 2900 wrote to memory of 2868	2900	msiexec16.exe	633
PID 2900 wrote to memory of 2868	2900	msiexec16.exe	633
PID 2900 wrote to memory of 2868	2900	msiexec16.exe	633
PID 2900 wrote to memory of 2868	2900	msiexec16.exe	633
PID 2868 wrote to memory of 2676	2868	msiexec16.exe	632
PID 2868 wrote to memory of 2676	2868	msiexec16.exe	632
PID 2868 wrote to memory of 2676	2868	msiexec16.exe	632
PID 2868 wrote to memory of 2676	2868	msiexec16.exe	632
PID 2676 wrote to memory of 2768	2676	msiexec16.exe	631
PID 2676 wrote to memory of 2768	2676	msiexec16.exe	631
PID 2676 wrote to memory of 2768	2676	msiexec16.exe	631
PID 2676 wrote to memory of 2768	2676	msiexec16.exe	631
PID 2768 wrote to memory of 2172	2768	msiexec16.exe	629
PID 2768 wrote to memory of 2172	2768	msiexec16.exe	629
PID 2768 wrote to memory of 2172	2768	msiexec16.exe	629
PID 2768 wrote to memory of 2172	2768	msiexec16.exe	629
PID 2172 wrote to memory of 2668	2172	msiexec16.exe	628
PID 2172 wrote to memory of 2668	2172	msiexec16.exe	628
PID 2172 wrote to memory of 2668	2172	msiexec16.exe	628
PID 2172 wrote to memory of 2668	2172	msiexec16.exe	628
PID 2668 wrote to memory of 2936	2668	msiexec16.exe	685
PID 2668 wrote to memory of 2936	2668	msiexec16.exe	685
PID 2668 wrote to memory of 2936	2668	msiexec16.exe	685
PID 2668 wrote to memory of 2936	2668	msiexec16.exe	685
PID 2936 wrote to memory of 1044	2936	msiexec16.exe	626
PID 2936 wrote to memory of 1044	2936	msiexec16.exe	626
PID 2936 wrote to memory of 1044	2936	msiexec16.exe	626
PID 2936 wrote to memory of 1044	2936	msiexec16.exe	626
PID 1044 wrote to memory of 1948	1044	msiexec16.exe	866
PID 1044 wrote to memory of 1948	1044	msiexec16.exe	866
PID 1044 wrote to memory of 1948	1044	msiexec16.exe	866
PID 1044 wrote to memory of 1948	1044	msiexec16.exe	866
PID 1948 wrote to memory of 1180	1948	msiexec16.exe	894
PID 1948 wrote to memory of 1180	1948	msiexec16.exe	894
PID 1948 wrote to memory of 1180	1948	msiexec16.exe	894
PID 1948 wrote to memory of 1180	1948	msiexec16.exe	894
PID 1180 wrote to memory of 2944	1180	msiexec16.exe	622
PID 1180 wrote to memory of 2944	1180	msiexec16.exe	622
PID 1180 wrote to memory of 2944	1180	msiexec16.exe	622
PID 1180 wrote to memory of 2944	1180	msiexec16.exe	622
PID 2944 wrote to memory of 3060	2944	msiexec16.exe	620
PID 2944 wrote to memory of 3060	2944	msiexec16.exe	620
PID 2944 wrote to memory of 3060	2944	msiexec16.exe	620
PID 2944 wrote to memory of 3060	2944	msiexec16.exe	620

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:276

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2408

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2736

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1388
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2768
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Drops file in System32 directory
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:2172

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2172

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1892

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1676
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2984
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2312
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:1636
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1660
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1976

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:848
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:1808
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1508
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2740
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:848
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:2088
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:1564
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:2060
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:1740
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:1816
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2876
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2736
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:768

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1708
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:1716
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2800

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2604
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2100
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2736
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:3052
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:3044
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:2896
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:1232
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1892
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2004
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:1900

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2636
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:1788
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:3024
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:768
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2320
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:988
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:1548
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1896
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:1292
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:1852
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:1640
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2300
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:2220
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2952
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:2940
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:2348
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:2736
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:1040
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:1268
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:500
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:1028
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        21⤵
        
        PID:2780
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        22⤵
        
        PID:2608
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        23⤵
        
        PID:2636
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        24⤵
        
        PID:3056
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        25⤵
        
        PID:2880
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        26⤵
        
        PID:1800
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        27⤵
        
        PID:1552
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        28⤵
        
        PID:2488
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        29⤵
        
        PID:3024
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        30⤵
        
        PID:988
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:3052
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:1628
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:2188
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:1616
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2432
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:2348
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2044
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:988
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:2444
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:2700
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:2284
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:1316
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:1180
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        21⤵
        
        PID:2236
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        22⤵
        
        PID:3012
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        23⤵
        
        PID:2080
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        24⤵
        
        PID:2024
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        25⤵
        
        PID:896
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        26⤵
        
        PID:2176
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        27⤵
        
        PID:560
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        28⤵
        
        PID:2968
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        29⤵
        
        PID:2372
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        30⤵
        
        PID:2744
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        31⤵
        
        PID:1656
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        32⤵
        
        PID:2596
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        33⤵
        
        PID:1784
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        34⤵
        
        PID:3052
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        35⤵
        
        PID:2584
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        36⤵
        
        PID:1396
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        37⤵
        
        PID:3036
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        38⤵
        
        PID:588
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        39⤵
        
        PID:2612
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        40⤵
        
        PID:1876
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        41⤵
        
        PID:1980
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        42⤵
        
        PID:2932
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        43⤵
        
        PID:2032
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        44⤵
        
        PID:2304
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        45⤵
        
        PID:1028
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        46⤵
        
        PID:2776
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        47⤵
        
        PID:1524
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        48⤵
        
        PID:1900
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        49⤵
        
        PID:3016
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        50⤵
        
        PID:1588
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        51⤵
        
        PID:756
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        52⤵
        
        PID:1660
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        53⤵
        
        PID:2256
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        54⤵
        
        PID:2396
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        55⤵
        
        PID:992
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        56⤵
        
        PID:2716
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        57⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2936
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        58⤵
        
        PID:1680
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        59⤵
        
        PID:1320
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        60⤵
        
        PID:2412
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        61⤵
        
        PID:2724
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        62⤵
        
        PID:1748
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        63⤵
        
        PID:2272
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        64⤵
        
        PID:2544
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        65⤵
        
        PID:2672
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        66⤵
        
        PID:2900
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        67⤵
        
        PID:1708
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        68⤵
        
        PID:1420
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        69⤵
        
        PID:2596
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        70⤵
        
        PID:884
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        71⤵
        
        PID:2404
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        72⤵
        
        PID:2124
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        73⤵
        
        PID:2584
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        74⤵
        
        PID:2636
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        75⤵
        
        PID:1008
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        76⤵
        
        PID:2184
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        21⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2944
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2144
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:2208
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2216
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:2840
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:3068
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:1492
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:2084
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:2812
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:928
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1780
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2284
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2320
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1672
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2728

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2752
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2272
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2832
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2604
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2840
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:2920
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2608
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:2164
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:1692
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:624
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:1524
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:292
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:2992
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:1800
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:2612
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2288
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:1752
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:2032
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:1692
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:2800
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:2600
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:2840
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        21⤵
        
        PID:2028
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        22⤵
        
        PID:2888
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        23⤵
        
        PID:2956
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        24⤵
        
        PID:2948
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        25⤵
        
        PID:2192
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        26⤵
        
        PID:768
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        27⤵
        
        PID:2320
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        28⤵
        
        PID:1548
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        29⤵
        
        PID:2716
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:1008
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:2572
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:2432

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2436

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2996

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:908

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2420

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:776

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2256

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:972

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2884

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2600

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2472

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1476
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2148

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:884
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2968
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2088

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2988

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:3040
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:1688

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2144
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:1040
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1812
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2124
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2640
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:2172
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2032
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:2200
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2880
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2736
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2136
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:1040
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:1976
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1716
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:624
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:2236
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2304
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:472
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2544

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2304
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:908
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1020
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2196

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2656
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:1672
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1840
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:1772
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2112
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:1660
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:984
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1044
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:1308
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:1604
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2408
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2968
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:2708
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2140
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:824
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:2832
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:2704
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:2576
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2272
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2940
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2692
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:1564
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2808
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2900
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:2544
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2584
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:1420
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:2896
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:2668
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:1416
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:3056
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:1808
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        21⤵
        
        PID:1996
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2976
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:2936
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:880
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:684
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:1148
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:1264
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:2576
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:2188
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:2780
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:292
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:1812
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:1948
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:2680
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2360
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:2884
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:1564
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:3064
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:1892
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2708
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2000
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2248
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1480
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2148
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:1708
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2952
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2788
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:2008
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:3064
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:2724
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:1948
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:2388
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:2120
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:1984
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:752
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:2344
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        21⤵
        
        PID:2968
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        22⤵
        
        PID:1808
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        23⤵
        
        PID:1620
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        24⤵
        
        PID:1300
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        25⤵
        
        PID:1876
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        26⤵
        
        PID:2288
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        27⤵
        
        PID:1008
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        28⤵
        
        PID:1124
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        29⤵
        
        PID:2004
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        30⤵
        
        PID:796
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        31⤵
        
        PID:1952
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        32⤵
        
        PID:2600
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        33⤵
        
        PID:1524
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        34⤵
        
        PID:2076
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        35⤵
        
        PID:3068
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        36⤵
        
        PID:2284
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        37⤵
        
        PID:2044
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        38⤵
        
        PID:1632
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        39⤵
        
        PID:1636
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        40⤵
        
        PID:1608
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        41⤵
        
        PID:2652
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        42⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:1180
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        43⤵
        
        PID:2104
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        44⤵
        
        PID:1040
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        45⤵
        
        PID:2468
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        46⤵
        
        PID:1956
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        47⤵
        
        PID:1388
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        48⤵
        
        PID:3012
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        49⤵
        
        PID:2964
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        50⤵
        
        PID:1792
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        51⤵
        
        PID:2748
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:1152
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2232
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:2988
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:1700
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:2248
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:1600
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:2760
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2060
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2876
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:888
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2280
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1548
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:792
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1772
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:404
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:2160
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:380

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1624
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2596
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1620

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1704

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1692
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2192
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2296
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:1900
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:972
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:912
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2656
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:912
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:1476
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:2984
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:1032
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:1612
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:1572
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2228
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:2264
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:1748
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:2672
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:1308
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:1648
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:2868
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:888
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:1276
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        21⤵
        
        PID:2884
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        22⤵
        
        PID:2372
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        23⤵
        
        PID:2732
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        24⤵
        
        PID:2584
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        25⤵
        
        PID:2604
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        26⤵
        
        PID:2300
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        27⤵
        
        PID:2736
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        28⤵
        
        PID:2612
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        29⤵
        
        PID:1832
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        30⤵
        
        PID:3060
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        31⤵
        
        PID:1496
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        32⤵
        
        PID:2572
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        33⤵
        
        PID:1028
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        34⤵
        
        PID:1952
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        35⤵
        
        PID:2540
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        36⤵
        
        PID:1056
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        37⤵
        
        PID:2484
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        38⤵
        
        PID:908
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        39⤵
        
        PID:952
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        40⤵
        
        PID:1328
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        41⤵
        
        PID:2012
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        42⤵
        
        PID:2220
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        43⤵
        
        PID:2916
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        44⤵
        
        PID:1152
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        45⤵
        
        PID:1032
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        46⤵
        
        PID:872
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        47⤵
        
        PID:2356
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        48⤵
        
        PID:2412
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        49⤵
        
        PID:2968
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        50⤵
        
        PID:2880
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        51⤵
        
        PID:2672
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        52⤵
        
        PID:2632
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        53⤵
        
        PID:1564
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        54⤵
        
        PID:2900
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        55⤵
        
        PID:2088
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        56⤵
        
        PID:1544
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        57⤵
        
        PID:2628
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        55⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2868
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        46⤵
        
        PID:2176
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        47⤵
        
        PID:1224
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        48⤵
        
        PID:304
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        49⤵
        
        PID:2692
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        50⤵
        
        PID:2000
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        51⤵
        
        PID:2060
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        52⤵
        
        PID:776
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        53⤵
        
        PID:1656
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        54⤵
        
        PID:1984
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        55⤵
        
        PID:1888
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        56⤵
        
        PID:2728
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        57⤵
        
        PID:1036
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        40⤵
        
        PID:2044
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        41⤵
        
        PID:2948
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        42⤵
        
        PID:2472
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        43⤵
        
        PID:1840
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        39⤵
        
        PID:768
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        40⤵
        
        PID:756
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        41⤵
        
        PID:2284
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        42⤵
        
        PID:2152
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        43⤵
        
        PID:276
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        44⤵
        
        PID:1684
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        44⤵
        
        PID:1292
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        31⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:3056
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        29⤵
        
        PID:2620
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        28⤵
        
        PID:2612
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        28⤵
        
        PID:2288
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        29⤵
        
        PID:1980
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        30⤵
        
        PID:1488
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2676
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:808
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2468
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:2916
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:896
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:1480
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:564
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:852

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1940
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2700

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2540
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2096

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1588
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:760
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:808
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2472
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1772
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1548

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2420
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:304
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2952
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2792
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:888
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:2724
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2728
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:2100
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2612
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:2576
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2328
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:1960
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:1976
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2172
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:1616
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:2020
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:2208
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:1820
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2668
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2660
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2764
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:2736
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:3052
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:2928
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:3048
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2772
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2944
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:2672
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2548
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:2260
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2576
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:1708
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:1324
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2628
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:2916
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:1960
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:2828
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:3036
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:1304
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:1616
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        21⤵
        
        PID:1488
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        22⤵
        
        PID:324
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        23⤵
        
        PID:2528
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        24⤵
        
        PID:2400
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        25⤵
        
        PID:452
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        26⤵
        
        PID:2084
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        27⤵
        
        PID:948
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        28⤵
        
        PID:2252
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        29⤵
        
        PID:2192
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        30⤵
        
        PID:2476
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        31⤵
        
        PID:2652
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        32⤵
        
        PID:2524
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        33⤵
        
        PID:380
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        34⤵
        
        PID:2256
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        35⤵
        
        PID:1596
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        36⤵
        
        PID:2228
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        37⤵
        
        PID:2312
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        38⤵
        
        PID:2748
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        39⤵
        
        PID:2412
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        40⤵
        
        PID:1572
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        41⤵
        
        PID:2372
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        42⤵
        
        PID:1704
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        43⤵
        
        PID:2520
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        44⤵
        
        PID:2148
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        45⤵
        
        PID:2388
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        46⤵
        
        PID:2064
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        47⤵
        
        PID:1708
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        39⤵
        
        PID:824
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        40⤵
        
        PID:1572
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        41⤵
        
        PID:304
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        42⤵
        
        PID:1804
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        43⤵
        
        PID:2804
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        44⤵
        
        PID:2788
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        45⤵
        
        PID:1556
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        46⤵
        
        PID:3028
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        47⤵
        
        PID:1740
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        48⤵
        
        PID:2752
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        49⤵
        
        PID:872
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        50⤵
        
        PID:2896
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        51⤵
        
        PID:2736
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        52⤵
        
        PID:3024
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        53⤵
        
        PID:1876
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        54⤵
        
        PID:1716
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        55⤵
        
        PID:1488
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        56⤵
        
        PID:1976
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        57⤵
        
        PID:624
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        58⤵
        
        PID:1304
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        59⤵
        
        PID:604
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        60⤵
        
        PID:1624
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        61⤵
        
        PID:2076
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        62⤵
        
        PID:2252
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        63⤵
        
        PID:2320
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        64⤵
        
        PID:2812
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        65⤵
        
        PID:1840
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        66⤵
        
        PID:2680
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        67⤵
        
        PID:1180
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        68⤵
        
        PID:1648
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        69⤵
        
        PID:2144
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        70⤵
        
        PID:2000
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        71⤵
        
        PID:2936
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        72⤵
        
        PID:2792
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        73⤵
        
        PID:1792
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        74⤵
        
        PID:2200
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        75⤵
        
        PID:2820
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        76⤵
        
        PID:2608
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        77⤵
        
        PID:2372
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        78⤵
        
        PID:2648
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        79⤵
        
        PID:1236
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        80⤵
        
        PID:2520
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        81⤵
        
        PID:2604
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        82⤵
        
        PID:2788
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        83⤵
        
        PID:1744
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        84⤵
        
        PID:1748
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        85⤵
        
        PID:560
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        86⤵
        
        PID:2360
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        87⤵
        
        PID:2640
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        88⤵
        
        PID:2184
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        89⤵
        
        PID:2512
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        90⤵
        
        PID:1876
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        91⤵
        
        PID:472
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        92⤵
        
        PID:2004
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        93⤵
        
        PID:1676
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        94⤵
        
        PID:624
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        95⤵
        
        PID:2976
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        96⤵
        
        PID:604
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        97⤵
        
        PID:1328
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        98⤵
        
        PID:2948
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:1716
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:2020
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:1996
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        21⤵
        
        PID:2564
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        22⤵
        
        PID:2600
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        23⤵
        
        PID:2836
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        24⤵
        
        PID:2860
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        25⤵
        
        PID:2720
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        26⤵
        
        PID:952
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:1324
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2308
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:2640
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:1592
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:2828

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1808

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1148
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2608
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:852
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:760
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1672
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:308

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2700
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2204
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2096
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2976
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2076
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:992
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:1792
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2984
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:1032

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:560
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2228

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2368

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2848
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:304
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2680
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2232
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1176
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:2752
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:824
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:2836
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2272
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:1876
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:1560
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2628
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:1856
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:1644
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:1808
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:2300
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:2896
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2900

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2172
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:1644
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1952
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2424

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2016
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2164
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2196
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:1836
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:948
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2192
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2004

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:952
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:1032

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2976
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:380
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2112
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2356
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1668
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2244
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2248
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:2056
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:1356
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:2164
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2968
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:1508
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:768
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2388
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:1564
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2736
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:2612
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:2616
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:996
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:2772
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:2780
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:1832
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        21⤵
        
        PID:2904
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        22⤵
        
        PID:1524
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        23⤵
        
        PID:1996
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        24⤵
        
        PID:2528
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        25⤵
        
        PID:2016
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        26⤵
        
        PID:2776
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        27⤵
        
        PID:756
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        28⤵
        
        PID:1316
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        29⤵
        
        PID:2076
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        27⤵
        
        PID:2928
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:2068
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:2848
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        21⤵
        
        PID:2288
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        22⤵
        
        PID:1692
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        23⤵
        
        PID:3068
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1032
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:1884

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2368
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:1592
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2420
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:984
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2160

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1652

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2776
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2880
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1800
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2204
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2948
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:1676
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:928
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1684
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:288
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:3012
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:2396
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:1180
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1652

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1680
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2228
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2104
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2560
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1224
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:848
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:1900
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1308
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:1504
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1944
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:1176
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:2176
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:984
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2768

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:324
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:1304
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2028
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2776
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2608
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:3068
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2600
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1180
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2252
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:572
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2320
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2112
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2472
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:452
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1496
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2844
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1940
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:2324
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2856
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1056
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2704
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:908

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1180
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:928
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1684
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:1680
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2368
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:896
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:1032
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1636
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:756

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1572
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2436
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2696
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:708
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2448
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:1648
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2868
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:2360
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2644
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:1816
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2940
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2544
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        Executes dropped EXE
        
        PID:572

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1852
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2228
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2872
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2756
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1224
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:2804

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1308
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:392
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1604
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2788
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:688
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:2344
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2732
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:2572
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2584
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:2604
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:1812
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2736
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:2612
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:2200
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:2184
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:1028
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:2208
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:624
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:2128
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:2856
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        21⤵
        
        PID:1788
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        22⤵
        
        PID:3024
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        23⤵
        
        PID:2204
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        24⤵
        
        PID:1836
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        25⤵
        
        PID:972
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:1776
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:1264
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:1692
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:3040
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:2492
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        21⤵
        
        PID:948
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        22⤵
        
        PID:972
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        23⤵
        
        PID:1156
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        24⤵
        
        PID:2776
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        25⤵
        
        PID:2592
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        26⤵
        
        PID:2992
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        27⤵
        
        PID:2524
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        28⤵
        
        PID:2112
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        29⤵
        
        PID:2892
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        30⤵
        
        PID:2468
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        31⤵
        
        PID:1292
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        32⤵
        
        PID:2156
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        33⤵
        
        PID:2420
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        34⤵
        
        PID:2140
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        35⤵
        
        PID:1308
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        36⤵
        
        PID:392
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        37⤵
        
        PID:2516
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        38⤵
        
        PID:2608
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        39⤵
        
        PID:2824
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        40⤵
        
        PID:2912
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        41⤵
        
        PID:1708
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        42⤵
        
        PID:872
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        43⤵
        
        PID:2712
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        44⤵
        
        PID:1984
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        45⤵
        
        PID:1564
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        46⤵
        
        PID:1820
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        47⤵
        
        PID:1760
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        48⤵
        
        PID:2736
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        49⤵
        
        PID:3048
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        50⤵
        
        PID:2848
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        51⤵
        
        PID:2512
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        52⤵
        
        PID:1952
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        53⤵
        
        PID:1020
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        54⤵
        
        PID:452
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        55⤵
        
        PID:2204
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        56⤵
        
        PID:948
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        57⤵
        
        PID:2028
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        58⤵
        
        PID:1568
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        59⤵
        
        PID:1588
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        60⤵
        
        PID:2012
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        61⤵
        
        PID:2992
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        62⤵
        
        PID:2988
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        63⤵
        
        PID:1476
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        64⤵
        
        PID:2264
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        65⤵
        
        PID:1612
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        66⤵
        
        PID:1720

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2976

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2700

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2776

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:300

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2596

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2144
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Drops file in System32 directory
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:2832

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2840
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2208
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2432
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2348
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1848
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:768
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2976
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1608
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:1772
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:1476
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1520

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1820
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2736

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1224
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:824
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1604
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2876
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2388
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:776
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2804
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1420

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1944
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2312
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:984
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2356
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1572
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:1748
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:288
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1704
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:2520
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:2792
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2648
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:2632
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:1984
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:1324
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:2064
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:1628
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        17⤵
        
        PID:2752
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        18⤵
        
        PID:1520
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        
        PID:2564
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        20⤵
        
        PID:1620
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        21⤵
        
        PID:1488
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        22⤵
        
        PID:2944
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        23⤵
        
        PID:2492
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        24⤵
        
        PID:2720
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        25⤵
        
        PID:1640
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        23⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:3060
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        22⤵
        
        PID:1304
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        19⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:708
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2224

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1592

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:984

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1180

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1044

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2768

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2348

C:\Users\Admin\AppData\Local\Temp\3cb10c921486679049bcb430c74aa858.exe
"C:\Users\Admin\AppData\Local\Temp\3cb10c921486679049bcb430c74aa858.exe"
1⤵
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1300

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2800
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:1356
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2408
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:288
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:2764

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2428
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2940
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2604
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:2268
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1892
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:872
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2712
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:3052
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:1416
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:2696
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2288

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:1588
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2220
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:1684
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:276
    - - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        5⤵
        
        PID:1884
      - \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        6⤵
        
        PID:1088
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        7⤵
        
        PID:2816
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        8⤵
        
        PID:1968
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        9⤵
        
        PID:1816
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        10⤵
        
        PID:2164
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        11⤵
        
        PID:2436
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        12⤵
        
        PID:1896
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        13⤵
        
        PID:2768
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        14⤵
        
        PID:776
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        15⤵
        
        PID:2224
        
        \??\c:\windows\SysWOW64\msiexec16.exe
        
        "c:\windows\system32\msiexec16.exe"
        16⤵
        
        PID:3064

\??\c:\windows\SysWOW64\msiexec16.exe
"c:\windows\system32\msiexec16.exe"
1⤵
PID:2152
- \??\c:\windows\SysWOW64\msiexec16.exe
  "c:\windows\system32\msiexec16.exe"
  2⤵
  PID:2236
- - \??\c:\windows\SysWOW64\msiexec16.exe
    "c:\windows\system32\msiexec16.exe"
    3⤵
    PID:2356
  - - \??\c:\windows\SysWOW64\msiexec16.exe
      "c:\windows\system32\msiexec16.exe"
      4⤵
      PID:1040

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

\Windows\SysWOW64\msiexec16.exe

Filesize
288KB

MD5
3cb10c921486679049bcb430c74aa858

SHA1
d3e908e1494ab814a5a6a00341fefe717c106c88

SHA256
6f35c4eec84e63cfbebe6b8dfbfec7cc5950ffa0c96282a703725691e8b56b60

SHA512
d7b127364f73ef2f8774a5f732a5a912e10a903a98c9d6f9358ea605768685f06c80f3194f09e2455a251433cffb5e4f4e7af3c1075f6795ca25e1b39d01d282

Download Submit
memory/276-136-0x0000000003460000-0x000000000351E000-memory.dmp

Filesize
760KB

Download
memory/276-134-0x00000000003F0000-0x00000000003F1000-memory.dmp

Filesize
4KB

Download
memory/276-135-0x0000000003460000-0x000000000351E000-memory.dmp

Filesize
760KB

Download
memory/276-139-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/300-194-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/472-157-0x0000000000270000-0x0000000000271000-memory.dmp

Filesize
4KB

Download
memory/472-158-0x0000000002260000-0x000000000231E000-memory.dmp

Filesize
760KB

Download
memory/472-156-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/572-132-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/572-129-0x0000000000320000-0x0000000000321000-memory.dmp

Filesize
4KB

Download
memory/572-130-0x00000000034F0000-0x00000000035AE000-memory.dmp

Filesize
760KB

Download
memory/708-128-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/708-123-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/776-242-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/848-264-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/908-251-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/928-145-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/928-142-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/928-144-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/928-146-0x0000000003480000-0x000000000353E000-memory.dmp

Filesize
760KB

Download
memory/972-223-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/984-161-0x00000000002E0000-0x00000000002E1000-memory.dmp

Filesize
4KB

Download
memory/984-160-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/984-163-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1044-83-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1044-78-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/1044-77-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1180-88-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1180-96-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1180-95-0x0000000003540000-0x00000000035FE000-memory.dmp

Filesize
760KB

Download
memory/1180-92-0x0000000003540000-0x00000000035FE000-memory.dmp

Filesize
760KB

Download
memory/1180-89-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/1292-138-0x0000000000280000-0x0000000000281000-memory.dmp

Filesize
4KB

Download
memory/1292-143-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1292-140-0x0000000002070000-0x000000000212E000-memory.dmp

Filesize
760KB

Download
memory/1292-137-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1292-141-0x0000000002070000-0x000000000212E000-memory.dmp

Filesize
760KB

Download
memory/1300-12-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1300-1-0x00000000002A0000-0x00000000002A1000-memory.dmp

Filesize
4KB

Download
memory/1300-0-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1300-4-0x0000000003510000-0x00000000035CE000-memory.dmp

Filesize
760KB

Download
memory/1300-11-0x0000000003510000-0x00000000035CE000-memory.dmp

Filesize
760KB

Download
memory/1388-190-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1520-119-0x0000000000270000-0x0000000000271000-memory.dmp

Filesize
4KB

Download
memory/1520-117-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1520-124-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1592-172-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1636-151-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1636-148-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/1636-149-0x0000000003410000-0x00000000034CE000-memory.dmp

Filesize
760KB

Download
memory/1636-147-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1636-150-0x0000000003410000-0x00000000034CE000-memory.dmp

Filesize
760KB

Download
memory/1676-232-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1708-272-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1808-268-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1820-193-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1892-195-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1948-84-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/1948-90-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1948-82-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1976-153-0x00000000003E0000-0x00000000003E1000-memory.dmp

Filesize
4KB

Download
memory/1976-154-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/1976-155-0x0000000003510000-0x00000000035CE000-memory.dmp

Filesize
760KB

Download
memory/1976-152-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2000-196-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2144-21-0x0000000000270000-0x0000000000271000-memory.dmp

Filesize
4KB

Download
memory/2144-20-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2144-184-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2144-26-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2172-60-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2172-61-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/2172-66-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2172-192-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2224-167-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2256-227-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2272-37-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2272-31-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2272-32-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/2348-14-0x0000000001BE0000-0x0000000001BE1000-memory.dmp

Filesize
4KB

Download
memory/2348-13-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2348-19-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2420-247-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2436-258-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2472-133-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2472-131-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2544-185-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2596-189-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2612-187-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2620-188-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2668-72-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2668-70-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/2676-49-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2676-50-0x0000000000270000-0x0000000000271000-memory.dmp

Filesize
4KB

Download
memory/2676-56-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2692-182-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2700-214-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2736-186-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2768-62-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2768-55-0x00000000002F0000-0x00000000002F1000-memory.dmp

Filesize
4KB

Download
memory/2768-54-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2768-191-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2776-199-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2832-25-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2832-27-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/2832-33-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2868-44-0x00000000001F0000-0x00000000001F1000-memory.dmp

Filesize
4KB

Download
memory/2868-48-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2868-42-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2884-217-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2900-43-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2900-38-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/2936-76-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2936-71-0x0000000000270000-0x0000000000271000-memory.dmp

Filesize
4KB

Download
memory/2944-97-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2944-102-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2944-98-0x00000000001F0000-0x00000000001F1000-memory.dmp

Filesize
4KB

Download
memory/2944-208-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2976-114-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/2976-118-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2984-237-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/2996-254-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/3056-106-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/3056-112-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download
memory/3056-107-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/3060-108-0x0000000000400000-0x00000000004BE000-memory.dmp

Filesize
760KB

Download