5424c9975948ead1b9ec9330d809ddff2399f73b491a938e62b41b4748ede8ca

Analysis

max time kernel
147s
max time network
123s
platform
windows7_x64
resource
win7-20231215-en
resource tags

arch:x64arch:x86image:win7-20231215-enlocale:en-usos:windows7-x64system
submitted
29-12-2023 22:31

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

05ab50c1248ef8a23dc2b5eda559904d.exe
Size

21KB
MD5

05ab50c1248ef8a23dc2b5eda559904d
SHA1

39457deb20d267077251f98e413d8a69f1f915e3
SHA256

5424c9975948ead1b9ec9330d809ddff2399f73b491a938e62b41b4748ede8ca
SHA512

54ab1d6379f16bcc92b71a225fd997a1520ec62e23a1440e68478923be07cf22075958a81ca5572266ac77b389c2a22a20b2bab2344abd9ae921abd9dc1f6554
SSDEEP

384:HtfJab/LhPrxHp3YOK7l4+xPtEemWZHzNrGDhUrzihKvkG1Zw8JzoCgEokv:HtfJY/LRrlEJF/bZHBrGDhUrnsaToCRF

Score

7^/10

upx

Malware Config

Signatures

Executes dropped EXE 1 IoCs

pid	Process
2076	mdm.exe

Loads dropped DLL 2 IoCs

pid	Process
2444	05ab50c1248ef8a23dc2b5eda559904d.exe
2444	05ab50c1248ef8a23dc2b5eda559904d.exe

UPX packed file 59 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral1/memory/2444-4-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/852-171-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2940-209-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/992-242-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1728-305-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1660-378-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2208-452-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2500-514-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1212-554-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1132-547-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2120-534-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2384-524-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1852-505-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2512-498-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1192-487-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1192-483-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/636-473-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/772-467-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2208-456-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2236-444-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2236-441-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1032-431-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1452-425-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2272-412-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2272-409-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1352-399-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2856-392-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1660-382-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2876-371-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2876-366-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2688-361-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2688-355-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2884-349-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2708-338-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2084-326-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1528-316-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/872-295-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1752-286-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1952-275-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/944-268-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/944-264-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1796-256-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1796-252-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/992-247-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/448-235-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2520-223-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2940-214-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2052-201-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2052-195-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2200-181-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/852-164-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1252-156-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/304-142-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/1556-120-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2744-31-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2744-28-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2444-10-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2444-7-0x0000000000400000-0x000000000044A000-memory.dmp	upx
behavioral1/memory/2444-6-0x0000000000400000-0x000000000044A000-memory.dmp	upx

Drops file in System32 directory 2 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\mdm.exe	05ab50c1248ef8a23dc2b5eda559904d.exe
File opened for modification	C:\Windows\SysWOW64\mdm.exe	05ab50c1248ef8a23dc2b5eda559904d.exe

Suspicious use of SetThreadContext 1 IoCs

description	pid	Process	procid_target
PID 1732 set thread context of 2444	1732	05ab50c1248ef8a23dc2b5eda559904d.exe	656

Suspicious use of WriteProcessMemory 10 IoCs

description	pid	Process	procid_target
PID 1732 wrote to memory of 2444	1732	05ab50c1248ef8a23dc2b5eda559904d.exe	656
PID 1732 wrote to memory of 2444	1732	05ab50c1248ef8a23dc2b5eda559904d.exe	656
PID 1732 wrote to memory of 2444	1732	05ab50c1248ef8a23dc2b5eda559904d.exe	656
PID 1732 wrote to memory of 2444	1732	05ab50c1248ef8a23dc2b5eda559904d.exe	656
PID 1732 wrote to memory of 2444	1732	05ab50c1248ef8a23dc2b5eda559904d.exe	656
PID 1732 wrote to memory of 2444	1732	05ab50c1248ef8a23dc2b5eda559904d.exe	656
PID 2444 wrote to memory of 2076	2444	05ab50c1248ef8a23dc2b5eda559904d.exe	653
PID 2444 wrote to memory of 2076	2444	05ab50c1248ef8a23dc2b5eda559904d.exe	653
PID 2444 wrote to memory of 2076	2444	05ab50c1248ef8a23dc2b5eda559904d.exe	653
PID 2444 wrote to memory of 2076	2444	05ab50c1248ef8a23dc2b5eda559904d.exe	653

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:944
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2144

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1528
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2344

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2084
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2408

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2884
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2780
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2716

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2688
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2592

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1032
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1924

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2288
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1212
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:356

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2748
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2552
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2596
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2568
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2560
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:2624
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:2620

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2484

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2924

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2420

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2660

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2700
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2736
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:2344
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:1640
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:3036
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:3004

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1524

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1552
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1504

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1020
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1272
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:764
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2440
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2152

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1948
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2944
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2648
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2636
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:2228

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1064

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2524

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2428

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2852

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:908
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2508
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2988
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:2772
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:1932
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:1496
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:884
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        7⤵
        
        PID:2568
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        8⤵
        
        PID:2724
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        9⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        10⤵
        
        PID:2916
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        11⤵
        
        PID:1272
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        12⤵
        
        PID:2176
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        9⤵
        
        PID:596

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:948
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1624

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2364
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2252

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2992
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2980

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:876

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2976
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1524
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1972
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1728

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1932

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2784
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2668

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2756

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2340
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3020
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1912
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2152
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:1196
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2536
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:856
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:1468
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:376
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        9⤵
        
        PID:1500
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        10⤵
        
        PID:908
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        10⤵
        
        PID:2520
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:356
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:1704

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2564

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1460
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2616
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:2028

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2220
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1232
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1060
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2184
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:584
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:2004

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1404
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2932
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2516
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1576
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:1888
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:408

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1544
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:320

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:704
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:612
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:1732
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:2956
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:1984
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:1960
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        7⤵
        
        PID:2724
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        8⤵
        
        PID:2752
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        9⤵
        
        PID:2916
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        10⤵
        
        PID:2600
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        11⤵
        
        PID:2812
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        10⤵
        
        PID:2244
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        11⤵
        
        PID:764
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        12⤵
        
        PID:1584
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        13⤵
        
        PID:2036
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        14⤵
        
        PID:1924
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        15⤵
        
        PID:2152
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        16⤵
        
        PID:2012
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        14⤵
        
        PID:852
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2120

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:3056

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2824
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1844
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2208
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:2200

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1676
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:856
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1484
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2196
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:304

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:848
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:760
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:2440
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:1560
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:1736
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:1604
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        7⤵
        
        PID:856

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1508
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2624

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:888
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:288
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1792
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1544
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:1984
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2460
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:908
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:2164
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:2868
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        9⤵
        
        PID:536
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        10⤵
        
        PID:2760
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        11⤵
        
        PID:344
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        12⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        13⤵
        
        PID:1272
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        14⤵
        
        PID:1712
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        13⤵
        
        PID:1216
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        14⤵
        
        PID:3036
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        15⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        16⤵
        
        PID:848
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        17⤵
        
        PID:288
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        18⤵
        
        PID:1244
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        19⤵
        
        PID:2836
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        20⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        21⤵
        
        PID:376
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        22⤵
        
        PID:1184
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        23⤵
        
        PID:2472
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        24⤵
        
        PID:2772
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        25⤵
        
        PID:2156
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        26⤵
        
        PID:584
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        27⤵
        
        PID:1416
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        28⤵
        
        PID:1028
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        29⤵
        
        PID:1244
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        30⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        31⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        32⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        33⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        34⤵
        
        PID:628
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        29⤵
        
        PID:1064
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        30⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        31⤵
        
        PID:1184
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        32⤵
        
        PID:2868
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        33⤵
        
        PID:1608
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        34⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        17⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        18⤵
        
        PID:920
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        19⤵
        
        PID:3040
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        20⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        21⤵
        
        PID:2564
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        22⤵
        
        PID:2464
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        23⤵
        
        PID:1740
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        24⤵
        
        PID:2300
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:836

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1008
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2972

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2116

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2652
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3004
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:2436

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2292
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2564
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2488

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2436
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1568

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2604

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:3000
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1368
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1320
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:1272

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2172
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2064
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2076
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:1748
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2636
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:2400
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        9⤵
        
        PID:448
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:1904
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:2052
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:2744

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:984
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:832
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:352

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2980
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1844
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2452

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2800
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2668
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2408
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:2708

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2584
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3008
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2720

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2792

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2564
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2908
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2324

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:3020
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2108

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1976
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2492
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2188
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2060
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2180
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:800
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:788
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:1184
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        8⤵
        
        PID:1232

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2012

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:400
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1420
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1788
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:616
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2940

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2436
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2756
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:1712
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:2428
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:2012
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:2008
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        7⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        8⤵
        
        PID:800
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        9⤵
        
        PID:284
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        10⤵
        
        PID:1756
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        11⤵
        
        PID:2932
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        7⤵
        
        PID:1036
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        7⤵
        
        PID:288
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:1572
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:904
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:2644
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        7⤵
        
        PID:2044
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:296

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2212
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2080
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1240
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2156

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2704

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1148
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1888
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:816
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:1624
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2968
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:776
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:1928
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        9⤵
        
        PID:2960
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        10⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        11⤵
        
        PID:2972
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        12⤵
        
        PID:1640
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        13⤵
        
        PID:2804
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        14⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        15⤵
        
        PID:2732
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        16⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        14⤵
        
        PID:2684
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        13⤵
        
        PID:2024
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        12⤵
        
        PID:2656
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        11⤵
        
        PID:980
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        12⤵
        
        PID:872
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2404
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:2308

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:612
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2992

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2916
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1628

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2468

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:776

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1940

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1288

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:816

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1724

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1872

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1632

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2644

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2532

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2944

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1536
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2812
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2376
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:1512
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2892
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:3000
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:2984
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:1360
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:1556

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2196
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2616
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1452

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2832

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:848

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2040
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1692

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2164

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2240
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2492

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1640

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2088

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1240
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1564
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:2680
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:2776
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:1496

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2488
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:992

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2132

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1548
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2160
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:896
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:1936
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2144
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:776
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:1732
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:2128
        
        C:\Users\Admin\AppData\Local\Temp\05ab50c1248ef8a23dc2b5eda559904d.exe
        
        C:\Users\Admin\AppData\Local\Temp\05ab50c1248ef8a23dc2b5eda559904d.exe
        8⤵
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious use of WriteProcessMemory
        
        PID:2444
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:1952
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:572
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:1752
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1680

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2380

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1716

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2400
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1088
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:1720
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:1128
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:828

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1260

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1720

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1672
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:296

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2844
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1412

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2424
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2772
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:340
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2700
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:2384

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2184
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1908

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1512

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2796

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2768
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2244
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2676
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2812
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2580
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:1512
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:1264
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:1560
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        9⤵
        
        PID:2504
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        10⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        11⤵
        
        PID:2216
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        12⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        13⤵
        
        PID:2492
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        14⤵
        
        PID:1756
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        15⤵
        
        PID:832
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        16⤵
        
        PID:1208
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        17⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        11⤵
        
        PID:408
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        12⤵
        
        PID:1732
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        9⤵
        
        PID:1352
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:2900
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:1200
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:2588
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1780
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:1896
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:1600
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:1504
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:3000
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:2036
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        9⤵
        
        PID:2100
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        10⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        11⤵
        
        PID:2228
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        12⤵
        
        PID:1756
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        13⤵
        
        PID:1880
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        14⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        15⤵
        
        PID:592
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        16⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        17⤵
        
        PID:828
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        18⤵
        
        PID:1936
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        16⤵
        
        PID:636

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2588
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1644
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:2116
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:2664
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:300
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:1748
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        7⤵
        
        PID:2400

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2848

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:3012

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2612

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2556
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:848
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2528

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1652

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2752

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1524
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2056
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:672

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1316

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1684

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1088

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:832
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1664

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1172

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:868

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2624
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3052
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2872

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2844

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2964
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1240

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1320

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2888

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1896

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2700
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2548
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2552
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2472
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2388
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:1572

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2840

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2860
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1524

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2344
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2472
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:3008
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2244

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2808

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2572

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2128
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2484
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:3044

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2308
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1852

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2104

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1576
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1192

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1548

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:832

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2124
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2276

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2888

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:952
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:572
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1436
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:1984

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1288
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2080
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1796

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1512
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:1660

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2680
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1532
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2568

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1132

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1004
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2548

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1964

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:704

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:340

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2296
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1540
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:988
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2536
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:1252
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2272

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2500

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:380

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2004
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2064

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2308

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2512

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:408
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2160

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1580
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3044
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2592
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2916
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:2876

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2792
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2916

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:3036
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2740
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:1896
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:1424
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:1272
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:296
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:2564

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1576

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:592

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:772

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2528
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2012

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1844

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2236

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1232

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2616

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1540

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1560

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2856

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2904

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1512

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2596

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2056

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2976

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:980

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:572

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:296
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2416
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:2632
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:1400
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:2036
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:348
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:2828
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        7⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        8⤵
        
        PID:3048
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        9⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        10⤵
        
        PID:2116
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        11⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        12⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        13⤵
        
        PID:3040
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        14⤵
        
        PID:1592
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        15⤵
        
        PID:1920
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        16⤵
        
        PID:2080
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        17⤵
        
        PID:268
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        18⤵
        
        PID:2400
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        19⤵
        
        PID:1704
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        20⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        21⤵
        
        PID:1864
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        22⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        23⤵
        
        PID:2868
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        24⤵
        
        PID:300
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        25⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        26⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        27⤵
        
        PID:1920
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        28⤵
        
        PID:1616
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        29⤵
        
        PID:332
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        30⤵
        
        PID:2012
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        31⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        28⤵
        
        PID:2420
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        29⤵
        
        PID:2112

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1288

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1208
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3052
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1624
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:1688
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2712
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:2868
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:616
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:2760
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        9⤵
        
        PID:3044
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        10⤵
        
        PID:2436
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        11⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        12⤵
        
        PID:2836
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        13⤵
        
        PID:1540
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        14⤵
        
        PID:2116
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        15⤵
        
        PID:284
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        16⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        17⤵
        
        PID:2060
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        18⤵
        
        PID:1864
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        19⤵
        
        PID:2936
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        20⤵
        
        PID:908
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        19⤵
        
        PID:1480
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        20⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        21⤵
        
        PID:908
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        22⤵
        
        PID:2496
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2860

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2488
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2440
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2572
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:1920

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2096

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1500

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1420

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1872
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1408

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1936
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2460
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2312
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:1980

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2636

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2780
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1496
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2668
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:3036
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2436
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:1864
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:1920
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:2772
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:1888
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:1496
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:628
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:2868
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        7⤵
        
        PID:2412

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2208

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2036

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1712
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:868
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:2588
  - - C:\Windows\SysWOW64\mdm.exe
      C:\Windows\SysWOW64\mdm.exe
      4⤵
      PID:2932
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:3016
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:1588

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:988

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1980
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1532

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2564
- C:\Windows\SysWOW64\mdm.exe
  C:\Windows\SysWOW64\mdm.exe
  2⤵
  PID:2020
- - C:\Windows\SysWOW64\mdm.exe
    "C:\Windows\system32\mdm.exe"
    3⤵
    PID:1028

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2456

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:904

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2556

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:684

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2880
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1984
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:2576
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2352
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2268
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:1920
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:2828
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        9⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        10⤵
        
        PID:2400
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        11⤵
        
        PID:1684
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        12⤵
        
        PID:2012
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        13⤵
        
        PID:2276
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        14⤵
        
        PID:1036
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        15⤵
        
        PID:2196
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        16⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        17⤵
        
        PID:1736
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        18⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        19⤵
        
        PID:1612
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        20⤵
        
        PID:1896
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        19⤵
        
        PID:1492
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        20⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        15⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        16⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        17⤵
        
        PID:2112
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        18⤵
        
        PID:628
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        19⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        20⤵
        
        PID:1864
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        21⤵
        
        PID:856
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        22⤵
        
        PID:1036
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        23⤵
        
        PID:1896
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        24⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        25⤵
        
        PID:684
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        26⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        27⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        28⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        29⤵
        
        PID:1956
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        30⤵
        
        PID:1688
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        31⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        32⤵
        
        PID:1408
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        33⤵
        
        PID:2816
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        34⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        35⤵
        
        PID:2812
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        36⤵
        
        PID:332
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        37⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        38⤵
        
        PID:1920
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        39⤵
        
        PID:572
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        40⤵
        
        PID:2564
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        41⤵
        
        PID:776
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        42⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        43⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        44⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        45⤵
        
        PID:1704
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        46⤵
        
        PID:2412
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        47⤵
        
        PID:1408
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        48⤵
        
        PID:1728
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        49⤵
        
        PID:1864
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        49⤵
        
        PID:848
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        47⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        48⤵
        
        PID:332
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        37⤵
        
        PID:1504
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        38⤵
        
        PID:1740
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        39⤵
        
        PID:2628
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        40⤵
        
        PID:1420
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        41⤵
        
        PID:628
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        42⤵
        
        PID:1688
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        43⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        44⤵
        
        PID:848

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1688

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1676

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:1360

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2892

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1712
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2912
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1432
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:1864

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:3016

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2560

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2884

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
PID:2804

C:\Windows\SysWOW64\mdm.exe
"C:\Windows\system32\mdm.exe"
1⤵
- Executes dropped EXE
PID:2076

C:\Users\Admin\AppData\Local\Temp\05ab50c1248ef8a23dc2b5eda559904d.exe
"C:\Users\Admin\AppData\Local\Temp\05ab50c1248ef8a23dc2b5eda559904d.exe"
1⤵
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:1732

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:1636
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:584
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1968
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:1028

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2912
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:1524
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:1532
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2764
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:584
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:1036

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:2284
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2496
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:332
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:848
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:1036
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:924
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:936
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        9⤵
        
        PID:1688
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        10⤵
        
        PID:268
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        11⤵
        
        PID:2772
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        12⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        13⤵
        
        PID:1868
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        14⤵
        
        PID:3036
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        15⤵
        
        PID:1984
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        16⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        17⤵
        
        PID:2464
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        18⤵
        
        PID:1420
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        19⤵
        
        PID:920
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        20⤵
        
        PID:2760
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        21⤵
        
        PID:2300
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        22⤵
        
        PID:2412
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        23⤵
        
        PID:1028
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        24⤵
        
        PID:1728
    - - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        5⤵
        
        PID:2496
      - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        6⤵
        
        PID:3084
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        7⤵
        
        PID:3132

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3144
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3192

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3204
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3248
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:3260
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:3308
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:3320
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:3364
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:3376
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:3420

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3432
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3480

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3492
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3536
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:3548
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:3592
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:3604
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:3652
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:3664
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:3708
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        9⤵
        
        PID:3720
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        10⤵
        
        PID:3764
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        11⤵
        
        PID:3776
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        12⤵
        
        PID:3824
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:3584
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:3636

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3836
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3880

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3892
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3940
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:3952
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:3996
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:4008
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:4052

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:4064
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3076
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:3092
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:3120

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3128
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2044
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:3200
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:3240
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:3208
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:3300

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3328
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3372
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:3392
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:3440
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:3452
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:3500

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3304
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3564

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3572
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3616
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:3596
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:3672
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:3656
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:3744
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:3748
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:3768

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3632
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3828
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:3868
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:3920
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:3948
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:3980
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        7⤵
        
        PID:4004
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        8⤵
        
        PID:4044
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        9⤵
        
        PID:4012
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        10⤵
        
        PID:1420
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        11⤵
        
        PID:4068
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        12⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        13⤵
        
        PID:3100
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        14⤵
        
        PID:3184
        
        C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        15⤵
        
        PID:3220
        
        C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        16⤵
        
        PID:3236

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3280
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3264
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:3332
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:2328
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:3364
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:3380

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3460
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:2640
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:3484
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:3536

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3660
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3696
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:3684
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:3760

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3784
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3832
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:3764
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:3904

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3912
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3972

C:\Windows\SysWOW64\mdm.exe
C:\Windows\SysWOW64\mdm.exe
1⤵
PID:3976
- C:\Windows\SysWOW64\mdm.exe
  "C:\Windows\system32\mdm.exe"
  2⤵
  PID:3984
- - C:\Windows\SysWOW64\mdm.exe
    C:\Windows\SysWOW64\mdm.exe
    3⤵
    PID:4000
  - - C:\Windows\SysWOW64\mdm.exe
      "C:\Windows\system32\mdm.exe"
      4⤵
      PID:4044
    - - C:\Windows\SysWOW64\mdm.exe
        
        C:\Windows\SysWOW64\mdm.exe
        5⤵
        
        PID:2412
      - C:\Windows\SysWOW64\mdm.exe
        
        "C:\Windows\system32\mdm.exe"
        6⤵
        
        PID:2760

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\mdm.exe

Filesize
21KB

MD5
05ab50c1248ef8a23dc2b5eda559904d

SHA1
39457deb20d267077251f98e413d8a69f1f915e3

SHA256
5424c9975948ead1b9ec9330d809ddff2399f73b491a938e62b41b4748ede8ca

SHA512
54ab1d6379f16bcc92b71a225fd997a1520ec62e23a1440e68478923be07cf22075958a81ca5572266ac77b389c2a22a20b2bab2344abd9ae921abd9dc1f6554

Download Submit
memory/304-142-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/304-220-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/448-235-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/636-473-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/772-467-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/852-171-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/852-164-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/872-295-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/944-264-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/944-268-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/992-242-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/992-247-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1032-431-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1132-547-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1192-487-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1192-483-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1212-554-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1252-156-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1252-230-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1352-399-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1452-425-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1528-316-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1556-120-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1588-90-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1660-378-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1660-382-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1728-305-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1752-286-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1796-256-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1796-252-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1852-505-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/1952-275-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2052-201-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2052-195-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2084-326-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2120-534-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2200-181-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2208-452-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2208-456-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2236-444-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2236-441-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2272-412-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2272-409-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2384-524-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2444-7-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2444-6-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2444-10-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2444-2-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2444-0-0x000000007EFDE000-0x000000007EFDF000-memory.dmp

Filesize
4KB

Download
memory/2444-4-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2500-514-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2512-498-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2520-223-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2620-75-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2620-77-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2684-44-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2684-46-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2688-355-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2688-361-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2708-338-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2716-58-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2716-65-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2744-31-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2744-28-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2856-392-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2876-423-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2876-371-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2876-366-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2884-349-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2940-209-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2940-214-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download
memory/2984-105-0x0000000000400000-0x000000000044A000-memory.dmp

Filesize
296KB

Download