Windows 7 deprecation
Windows 7 will be removed from tria.ge on 2025-03-31
Analysis
-
max time kernel
62s -
max time network
147s -
platform
windows7_x64 -
resource
win7-20231215-en -
resource tags
-
submitted
01/01/2024, 15:10
General
-
Target
3d2d0173e3f43615c98ad7c8d05e46d6.exe
-
Size
436KB
-
MD5
3d2d0173e3f43615c98ad7c8d05e46d6
-
SHA1
5a29ff905d152e1953d1e4afb28759282ad497bf
-
SHA256
51af7aced48148cdd79900d18f84b76ed4794fd43d6943570eaba08f74591750
-
SHA512
7a335f43863fb77fab875321113a7966be873d93f6baa508ddb2a6d84b7e7c1b2210b37ed23f71d74207b45ca3e44a69646bb3963ad5fceb75f9104e864ebafb
-
SSDEEP
12288:k+wDF4Ko1Vs375Df8TRHpFodb1RHrQ+Rb7/a7Na1V54kl:g4Koo37wRH4BnDy7yykl
Score
10/10
Malware Config
Signatures
-
Modifies visibility of file extensions in Explorer 2 TTPs 64 IoCs
-
UAC bypass 3 TTPs 64 IoCs
-
Executes dropped EXE 3 IoCs
-
Loads dropped DLL 10 IoCs
-
Adds Run key to start application 2 TTPs 5 IoCs
-
Checks whether UAC is enabled 1 TTPs 6 IoCs
-
Drops file in System32 directory 2 IoCs
-
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
Modifies registry key 1 TTPs 64 IoCs
-
Suspicious behavior: EnumeratesProcesses 64 IoCs
-
Suspicious use of WriteProcessMemory 64 IoCs
-
System policy modification 1 TTPs 6 IoCs
Processes
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exe"C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exe"1⤵
- Loads dropped DLL
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\aGcYgIMw\iMokYYos.exe"C:\Users\Admin\aGcYgIMw\iMokYYos.exe"2⤵
- Executes dropped EXE
- Adds Run key to start application
-
-
C:\ProgramData\XAEUQwEw\qSgsIcYE.exe"C:\ProgramData\XAEUQwEw\qSgsIcYE.exe"2⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
-
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"2⤵
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d63⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"4⤵
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d65⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"6⤵
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d67⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"8⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d69⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"10⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d611⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"12⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d613⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"14⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d615⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"16⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d617⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"18⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d619⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"20⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d621⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"22⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d623⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"24⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d625⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"26⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d627⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"28⤵
- Modifies visibility of file extensions in Explorer
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d629⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"30⤵
- UAC bypass
- Checks whether UAC is enabled
- System policy modification
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d631⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"32⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d633⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"34⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d635⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"36⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d637⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"38⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d639⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"40⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d641⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"42⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d643⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"44⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d645⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"46⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d647⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"48⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d649⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"50⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d651⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"52⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d653⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"54⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d655⤵
- Modifies visibility of file extensions in Explorer
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"56⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d657⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"58⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d659⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"60⤵
- Checks whether UAC is enabled
- System policy modification
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d661⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"62⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d663⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\reg.exereg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 164⤵
- Modifies visibility of file extensions in Explorer
-
-
C:\Windows\SysWOW64\reg.exereg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 264⤵
-
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"64⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d665⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"66⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d667⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"68⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d669⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"70⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d671⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"72⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d673⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"74⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d675⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"76⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d677⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"78⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d679⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"80⤵
- Modifies visibility of file extensions in Explorer
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d681⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"82⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d683⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"84⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d685⤵
- Checks whether UAC is enabled
- System policy modification
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"86⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d687⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"88⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d689⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"90⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d691⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"92⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d693⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"94⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d695⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"96⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d697⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"98⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d699⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"100⤵
- Modifies visibility of file extensions in Explorer
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6101⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"102⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6103⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"104⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6105⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"106⤵
- Modifies visibility of file extensions in Explorer
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6107⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"108⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6109⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"110⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6111⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"112⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6113⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"114⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6115⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"116⤵
- Modifies visibility of file extensions in Explorer
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6117⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"118⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6119⤵
-
C:\Windows\SysWOW64\cmd.execmd /c "C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6"120⤵
-
C:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6.exeC:\Users\Admin\AppData\Local\Temp\3d2d0173e3f43615c98ad7c8d05e46d6121⤵
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-