2eeb880378ed4b9557dba6b3acc0bb7450f4742bacca05ee27505285a9a2d550

Analysis

max time kernel
150s
max time network
153s
platform
windows10-2004_x64
resource
win10v2004-20231222-en
resource tags

arch:x64arch:x86image:win10v2004-20231222-enlocale:en-usos:windows10-2004-x64system
submitted
07/01/2024, 12:07

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2024-01-06_28e1baf77c9073729ae3b742245779aa_mafia.exe
Size

486KB
MD5

28e1baf77c9073729ae3b742245779aa
SHA1

6017242c6cc48bd6c9bf527a8cfe7fe97ecec882
SHA256

2eeb880378ed4b9557dba6b3acc0bb7450f4742bacca05ee27505285a9a2d550
SHA512

42eb3703a4b4f30665beb22e61901ec1884aa38f6c922b4b0840aa240580ed15fe034d520ed27e3bb9c4b0e388a8bf4349607a7a143580319ab44346d2313647
SSDEEP

6144:Sorf3lPvovsgZnqG2C7mOTeiLfD7iMG07M+QykQRpX//2HMbtVV1P/5Yw3163xx1:/U5rCOTeiD7G+pZRtnj/5YNE5UNZ

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
2920	929B.tmp
4840	4CB8.tmp
4380	4D16.tmp
228	4D64.tmp
3184	4DC2.tmp
4296	4E2F.tmp
3280	4E7E.tmp
4444	8A10.tmp
4604	4F29.tmp
2180	4F87.tmp
4860	4FD5.tmp
3748	68EB.tmp
4176	5091.tmp
4752	50EF.tmp
3236	513D.tmp
3932	518B.tmp
1424	74C2.tmp
716	5227.tmp
744	5275.tmp
448	52D3.tmp
1644	5321.tmp
1768	536F.tmp
1000	53BD.tmp
2668	540B.tmp
2476	5469.tmp
4316	8D5B.tmp
2564	5525.tmp
1992	5573.tmp
3736	55C1.tmp
3240	561F.tmp
4940	WaaSMedicAgent.exe
4616	56BB.tmp
4208	5719.tmp
3412	5767.tmp
2396	90C6.tmp
4404	91FF.tmp
4260	6590.tmp
4760	65DE.tmp
2920	929B.tmp
996	593C.tmp
1944	598A.tmp
5088	803C.tmp
2096	A24B.tmp
2068	5A74.tmp
688	5AC2.tmp
224	6801.tmp
4936	5B6E.tmp
2700	svchost.exe
4724	5C0A.tmp
2692	5C58.tmp
1860	5CA7.tmp
3572	5CF5.tmp
2188	5D43.tmp
2292	5DA1.tmp
3748	68EB.tmp
4176	5091.tmp
4752	50EF.tmp
3672	5EF8.tmp
1276	5F46.tmp
1800	5F95.tmp
4344	5FE3.tmp
5048	9A8A.tmp
1152	75AD.tmp
1020	60CD.tmp

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 5028 wrote to memory of 2920	5028	2024-01-06_28e1baf77c9073729ae3b742245779aa_mafia.exe	269
PID 5028 wrote to memory of 2920	5028	2024-01-06_28e1baf77c9073729ae3b742245779aa_mafia.exe	269
PID 5028 wrote to memory of 2920	5028	2024-01-06_28e1baf77c9073729ae3b742245779aa_mafia.exe	269
PID 2920 wrote to memory of 4840	2920	929B.tmp	88
PID 2920 wrote to memory of 4840	2920	929B.tmp	88
PID 2920 wrote to memory of 4840	2920	929B.tmp	88
PID 4840 wrote to memory of 4380	4840	4CB8.tmp	89
PID 4840 wrote to memory of 4380	4840	4CB8.tmp	89
PID 4840 wrote to memory of 4380	4840	4CB8.tmp	89
PID 4380 wrote to memory of 228	4380	4D16.tmp	358
PID 4380 wrote to memory of 228	4380	4D16.tmp	358
PID 4380 wrote to memory of 228	4380	4D16.tmp	358
PID 228 wrote to memory of 3184	228	4D64.tmp	357
PID 228 wrote to memory of 3184	228	4D64.tmp	357
PID 228 wrote to memory of 3184	228	4D64.tmp	357
PID 3184 wrote to memory of 4296	3184	4DC2.tmp	356
PID 3184 wrote to memory of 4296	3184	4DC2.tmp	356
PID 3184 wrote to memory of 4296	3184	4DC2.tmp	356
PID 4296 wrote to memory of 3280	4296	4E2F.tmp	355
PID 4296 wrote to memory of 3280	4296	4E2F.tmp	355
PID 4296 wrote to memory of 3280	4296	4E2F.tmp	355
PID 3280 wrote to memory of 4444	3280	4E7E.tmp	242
PID 3280 wrote to memory of 4444	3280	4E7E.tmp	242
PID 3280 wrote to memory of 4444	3280	4E7E.tmp	242
PID 4444 wrote to memory of 4604	4444	8A10.tmp	354
PID 4444 wrote to memory of 4604	4444	8A10.tmp	354
PID 4444 wrote to memory of 4604	4444	8A10.tmp	354
PID 4604 wrote to memory of 2180	4604	4F29.tmp	353
PID 4604 wrote to memory of 2180	4604	4F29.tmp	353
PID 4604 wrote to memory of 2180	4604	4F29.tmp	353
PID 2180 wrote to memory of 4860	2180	4F87.tmp	352
PID 2180 wrote to memory of 4860	2180	4F87.tmp	352
PID 2180 wrote to memory of 4860	2180	4F87.tmp	352
PID 4860 wrote to memory of 3748	4860	4FD5.tmp	323
PID 4860 wrote to memory of 3748	4860	4FD5.tmp	323
PID 4860 wrote to memory of 3748	4860	4FD5.tmp	323
PID 3748 wrote to memory of 4176	3748	68EB.tmp	351
PID 3748 wrote to memory of 4176	3748	68EB.tmp	351
PID 3748 wrote to memory of 4176	3748	68EB.tmp	351
PID 4176 wrote to memory of 4752	4176	5091.tmp	350
PID 4176 wrote to memory of 4752	4176	5091.tmp	350
PID 4176 wrote to memory of 4752	4176	5091.tmp	350
PID 4752 wrote to memory of 3236	4752	50EF.tmp	349
PID 4752 wrote to memory of 3236	4752	50EF.tmp	349
PID 4752 wrote to memory of 3236	4752	50EF.tmp	349
PID 3236 wrote to memory of 3932	3236	513D.tmp	348
PID 3236 wrote to memory of 3932	3236	513D.tmp	348
PID 3236 wrote to memory of 3932	3236	513D.tmp	348
PID 3932 wrote to memory of 1424	3932	518B.tmp	316
PID 3932 wrote to memory of 1424	3932	518B.tmp	316
PID 3932 wrote to memory of 1424	3932	518B.tmp	316
PID 1424 wrote to memory of 716	1424	74C2.tmp	347
PID 1424 wrote to memory of 716	1424	74C2.tmp	347
PID 1424 wrote to memory of 716	1424	74C2.tmp	347
PID 716 wrote to memory of 744	716	5227.tmp	346
PID 716 wrote to memory of 744	716	5227.tmp	346
PID 716 wrote to memory of 744	716	5227.tmp	346
PID 744 wrote to memory of 448	744	5275.tmp	345
PID 744 wrote to memory of 448	744	5275.tmp	345
PID 744 wrote to memory of 448	744	5275.tmp	345
PID 448 wrote to memory of 1644	448	52D3.tmp	344
PID 448 wrote to memory of 1644	448	52D3.tmp	344
PID 448 wrote to memory of 1644	448	52D3.tmp	344
PID 1644 wrote to memory of 1768	1644	5321.tmp	343

C:\Users\Admin\AppData\Local\Temp\2024-01-06_28e1baf77c9073729ae3b742245779aa_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-06_28e1baf77c9073729ae3b742245779aa_mafia.exe"
1⤵
- Suspicious use of WriteProcessMemory
PID:5028
- C:\Users\Admin\AppData\Local\Temp\4C3B.tmp
  "C:\Users\Admin\AppData\Local\Temp\4C3B.tmp"
  2⤵
  PID:2920
- - C:\Users\Admin\AppData\Local\Temp\4CB8.tmp
    "C:\Users\Admin\AppData\Local\Temp\4CB8.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:4840
  - - C:\Users\Admin\AppData\Local\Temp\4D16.tmp
      "C:\Users\Admin\AppData\Local\Temp\4D16.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:4380
    - - C:\Users\Admin\AppData\Local\Temp\4D64.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D64.tmp"
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:228
      - C:\Users\Admin\AppData\Local\Temp\A1FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A1FD.tmp"
        6⤵
        
        PID:3484
        
        C:\Users\Admin\AppData\Local\Temp\A24B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A24B.tmp"
        7⤵
        Executes dropped EXE
        
        PID:2096
        
        C:\Users\Admin\AppData\Local\Temp\A2D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A2D7.tmp"
        8⤵
        
        PID:3824
        
        C:\Users\Admin\AppData\Local\Temp\A364.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A364.tmp"
        9⤵
        
        PID:2604
        
        C:\Users\Admin\AppData\Local\Temp\A3C2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A3C2.tmp"
        10⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\A42F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A42F.tmp"
        11⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\A48D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A48D.tmp"
        12⤵
        
        PID:716
        
        C:\Users\Admin\AppData\Local\Temp\A519.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A519.tmp"
        13⤵
        
        PID:448
        
        C:\Users\Admin\AppData\Local\Temp\A5A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A5A6.tmp"
        14⤵
        
        PID:744
        
        C:\Users\Admin\AppData\Local\Temp\A5F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A5F4.tmp"
        15⤵
        
        PID:3652
        
        C:\Users\Admin\AppData\Local\Temp\A690.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A690.tmp"
        16⤵
        
        PID:3452
        
        C:\Users\Admin\AppData\Local\Temp\A6FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A6FE.tmp"
        17⤵
        
        PID:3944
        
        C:\Users\Admin\AppData\Local\Temp\A77B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A77B.tmp"
        18⤵
        
        PID:4000
        
        C:\Users\Admin\AppData\Local\Temp\A7E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A7E8.tmp"
        19⤵
        
        PID:4568
        
        C:\Users\Admin\AppData\Local\Temp\A836.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A836.tmp"
        20⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\A884.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A884.tmp"
        21⤵
        
        PID:1920
        
        C:\Users\Admin\AppData\Local\Temp\F453.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F453.tmp"
        21⤵
        
        PID:696
        
        C:\Users\Admin\AppData\Local\Temp\F4A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4A1.tmp"
        22⤵
        
        PID:664
        
        C:\Users\Admin\AppData\Local\Temp\FF01.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF01.tmp"
        21⤵
        
        PID:2500
        
        C:\Users\Admin\AppData\Local\Temp\FF4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF4F.tmp"
        22⤵
        
        PID:4480
        
        C:\Users\Admin\AppData\Local\Temp\FF9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF9D.tmp"
        23⤵
        
        PID:3748
        
        C:\Users\Admin\AppData\Local\Temp\FFEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFEB.tmp"
        24⤵
        
        PID:4540
        
        C:\Users\Admin\AppData\Local\Temp\C237.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C237.tmp"
        19⤵
        
        PID:4568
        
        C:\Users\Admin\AppData\Local\Temp\C285.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C285.tmp"
        20⤵
        
        PID:640
        
        C:\Users\Admin\AppData\Local\Temp\C2D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C2D3.tmp"
        21⤵
        
        PID:4480
        
        C:\Users\Admin\AppData\Local\Temp\C321.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C321.tmp"
        22⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\C36F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C36F.tmp"
        23⤵
        
        PID:1772
        
        C:\Users\Admin\AppData\Local\Temp\DF15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF15.tmp"
        20⤵
        
        PID:3700
        
        C:\Users\Admin\AppData\Local\Temp\DF63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF63.tmp"
        21⤵
        
        PID:2476
        
        C:\Users\Admin\AppData\Local\Temp\DFC1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DFC1.tmp"
        22⤵
        
        PID:1680
        
        C:\Users\Admin\AppData\Local\Temp\E01F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E01F.tmp"
        23⤵
        
        PID:1000
        
        C:\Users\Admin\AppData\Local\Temp\29CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\29CA.tmp"
        24⤵
        
        PID:3700
        
        C:\Users\Admin\AppData\Local\Temp\2A18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A18.tmp"
        25⤵
        
        PID:820
        
        C:\Users\Admin\AppData\Local\Temp\2A66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A66.tmp"
        26⤵
        
        PID:332
        
        C:\Users\Admin\AppData\Local\Temp\587B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\587B.tmp"
        25⤵
        
        PID:820
        
        C:\Users\Admin\AppData\Local\Temp\58C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\58C9.tmp"
        26⤵
        
        PID:4660
        
        C:\Users\Admin\AppData\Local\Temp\5918.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5918.tmp"
        27⤵
        
        PID:4024
        
        C:\Users\Admin\AppData\Local\Temp\5966.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5966.tmp"
        28⤵
        
        PID:1656
        
        C:\Users\Admin\AppData\Local\Temp\76D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76D.tmp"
        18⤵
        
        PID:3824
        
        C:\Users\Admin\AppData\Local\Temp\7BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BB.tmp"
        19⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\F676.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F676.tmp"
        11⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\F6C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F6C4.tmp"
        12⤵
        
        PID:1772
    - - C:\Users\Admin\AppData\Local\Temp\30A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30A0.tmp"
        5⤵
        
        PID:4144
      - C:\Users\Admin\AppData\Local\Temp\30EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30EE.tmp"
        6⤵
        
        PID:5100
        
        C:\Users\Admin\AppData\Local\Temp\313C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\313C.tmp"
        7⤵
        
        PID:2576

C:\Users\Admin\AppData\Local\Temp\4EDB.tmp
"C:\Users\Admin\AppData\Local\Temp\4EDB.tmp"
1⤵
PID:4444

C:\Users\Admin\AppData\Local\Temp\5033.tmp
"C:\Users\Admin\AppData\Local\Temp\5033.tmp"
1⤵
PID:3748

C:\Users\Admin\AppData\Local\Temp\51D9.tmp
"C:\Users\Admin\AppData\Local\Temp\51D9.tmp"
1⤵
PID:1424
- C:\Users\Admin\AppData\Local\Temp\7511.tmp
  "C:\Users\Admin\AppData\Local\Temp\7511.tmp"
  2⤵
  PID:5088
- - C:\Users\Admin\AppData\Local\Temp\755F.tmp
    "C:\Users\Admin\AppData\Local\Temp\755F.tmp"
    3⤵
    PID:532
  - - C:\Users\Admin\AppData\Local\Temp\75AD.tmp
      "C:\Users\Admin\AppData\Local\Temp\75AD.tmp"
      4⤵
      Executes dropped EXE
      PID:1152
- - C:\Users\Admin\AppData\Local\Temp\808A.tmp
    "C:\Users\Admin\AppData\Local\Temp\808A.tmp"
    3⤵
    PID:744
  - - C:\Users\Admin\AppData\Local\Temp\80D8.tmp
      "C:\Users\Admin\AppData\Local\Temp\80D8.tmp"
      4⤵
      PID:4164
    - - C:\Users\Admin\AppData\Local\Temp\8126.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8126.tmp"
        5⤵
        
        PID:3528
      - C:\Users\Admin\AppData\Local\Temp\8174.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8174.tmp"
        6⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\81C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\81C3.tmp"
        7⤵
        
        PID:1768
    - - C:\Users\Admin\AppData\Local\Temp\B46B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B46B.tmp"
        5⤵
        
        PID:3180
      - C:\Users\Admin\AppData\Local\Temp\B4B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B4B9.tmp"
        6⤵
        
        PID:2480
        
        C:\Users\Admin\AppData\Local\Temp\B508.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B508.tmp"
        7⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\B565.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B565.tmp"
        8⤵
        
        PID:1172
  - - C:\Users\Admin\AppData\Local\Temp\52D3.tmp
      "C:\Users\Admin\AppData\Local\Temp\52D3.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:448

C:\Users\Admin\AppData\Local\Temp\54B7.tmp
"C:\Users\Admin\AppData\Local\Temp\54B7.tmp"
1⤵
PID:4316

C:\Users\Admin\AppData\Local\Temp\566D.tmp
"C:\Users\Admin\AppData\Local\Temp\566D.tmp"
1⤵
PID:4940

C:\Users\Admin\AppData\Local\Temp\5719.tmp
"C:\Users\Admin\AppData\Local\Temp\5719.tmp"
1⤵
- Executes dropped EXE
PID:4208
- C:\Users\Admin\AppData\Local\Temp\5767.tmp
  "C:\Users\Admin\AppData\Local\Temp\5767.tmp"
  2⤵
  - Executes dropped EXE
  PID:3412

C:\Users\Admin\AppData\Local\Temp\57B5.tmp
"C:\Users\Admin\AppData\Local\Temp\57B5.tmp"
1⤵
PID:2396
- C:\Users\Admin\AppData\Local\Temp\5803.tmp
  "C:\Users\Admin\AppData\Local\Temp\5803.tmp"
  2⤵
  PID:4404
- - C:\Users\Admin\AppData\Local\Temp\5851.tmp
    "C:\Users\Admin\AppData\Local\Temp\5851.tmp"
    3⤵
    PID:4260
  - - C:\Users\Admin\AppData\Local\Temp\589F.tmp
      "C:\Users\Admin\AppData\Local\Temp\589F.tmp"
      4⤵
      PID:4760

C:\Users\Admin\AppData\Local\Temp\58ED.tmp
"C:\Users\Admin\AppData\Local\Temp\58ED.tmp"
1⤵
PID:2920
- C:\Users\Admin\AppData\Local\Temp\593C.tmp
  "C:\Users\Admin\AppData\Local\Temp\593C.tmp"
  2⤵
  - Executes dropped EXE
  PID:996
- - C:\Users\Admin\AppData\Local\Temp\598A.tmp
    "C:\Users\Admin\AppData\Local\Temp\598A.tmp"
    3⤵
    - Executes dropped EXE
    PID:1944

C:\Users\Admin\AppData\Local\Temp\59D8.tmp
"C:\Users\Admin\AppData\Local\Temp\59D8.tmp"
1⤵
PID:5088
- C:\Users\Admin\AppData\Local\Temp\5A26.tmp
  "C:\Users\Admin\AppData\Local\Temp\5A26.tmp"
  2⤵
  PID:2096
- - C:\Users\Admin\AppData\Local\Temp\5A74.tmp
    "C:\Users\Admin\AppData\Local\Temp\5A74.tmp"
    3⤵
    - Executes dropped EXE
    PID:2068
  - - C:\Users\Admin\AppData\Local\Temp\5AC2.tmp
      "C:\Users\Admin\AppData\Local\Temp\5AC2.tmp"
      4⤵
      Executes dropped EXE
      PID:688
    - - C:\Users\Admin\AppData\Local\Temp\5B10.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B10.tmp"
        5⤵
        
        PID:224
      - C:\Users\Admin\AppData\Local\Temp\5B6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B6E.tmp"
        6⤵
        Executes dropped EXE
        
        PID:4936
        
        C:\Users\Admin\AppData\Local\Temp\D215.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D215.tmp"
        7⤵
        
        PID:4840
        
        C:\Users\Admin\AppData\Local\Temp\D263.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D263.tmp"
        8⤵
        
        PID:2000
        
        C:\Users\Admin\AppData\Local\Temp\D2E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2E0.tmp"
        9⤵
        
        PID:4664
        
        C:\Users\Admin\AppData\Local\Temp\D32E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D32E.tmp"
        10⤵
        
        PID:904
        
        C:\Users\Admin\AppData\Local\Temp\D37C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D37C.tmp"
        11⤵
        
        PID:3940
        
        C:\Users\Admin\AppData\Local\Temp\D3DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D3DA.tmp"
        12⤵
        
        PID:4012
        
        C:\Users\Admin\AppData\Local\Temp\D457.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D457.tmp"
        13⤵
        
        PID:936
        
        C:\Users\Admin\AppData\Local\Temp\D4D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D4D4.tmp"
        14⤵
        
        PID:2012
        
        C:\Users\Admin\AppData\Local\Temp\D551.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D551.tmp"
        15⤵
        
        PID:892
        
        C:\Users\Admin\AppData\Local\Temp\D2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2A.tmp"
        13⤵
        
        PID:4048
        
        C:\Users\Admin\AppData\Local\Temp\D78.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D78.tmp"
        14⤵
        
        PID:4108
        
        C:\Users\Admin\AppData\Local\Temp\DC6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC6.tmp"
        15⤵
        
        PID:3096
        
        C:\Users\Admin\AppData\Local\Temp\E242.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E242.tmp"
        8⤵
        
        PID:2636
        
        C:\Users\Admin\AppData\Local\Temp\E290.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E290.tmp"
        9⤵
        
        PID:3412
        
        C:\Users\Admin\AppData\Local\Temp\5C25.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C25.tmp"
        10⤵
        
        PID:4284
        
        C:\Users\Admin\AppData\Local\Temp\5C73.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C73.tmp"
        11⤵
        
        PID:3836
        
        C:\Users\Admin\AppData\Local\Temp\5CC1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5CC1.tmp"
        12⤵
        
        PID:4208
      - C:\Users\Admin\AppData\Local\Temp\684F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\684F.tmp"
        6⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\689D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\689D.tmp"
        7⤵
        
        PID:1472
        
        C:\Users\Admin\AppData\Local\Temp\68EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68EB.tmp"
        8⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3748
        
        C:\Users\Admin\AppData\Local\Temp\5091.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5091.tmp"
        9⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4176
        
        C:\Users\Admin\AppData\Local\Temp\F53D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F53D.tmp"
        9⤵
        
        PID:4540
        
        C:\Users\Admin\AppData\Local\Temp\F58B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F58B.tmp"
        10⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\F5D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5D9.tmp"
        11⤵
        
        PID:1476
        
        C:\Users\Admin\AppData\Local\Temp\F627.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F627.tmp"
        12⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\124.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\124.tmp"
        13⤵
        
        PID:1952
        
        C:\Users\Admin\AppData\Local\Temp\172.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\172.tmp"
        14⤵
        
        PID:216
        
        C:\Users\Admin\AppData\Local\Temp\1C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C0.tmp"
        15⤵
        
        PID:2432
        
        C:\Users\Admin\AppData\Local\Temp\3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A.tmp"
        10⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\88.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88.tmp"
        11⤵
        
        PID:1476
        
        C:\Users\Admin\AppData\Local\Temp\D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6.tmp"
        12⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\14CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\14CB.tmp"
        11⤵
        
        PID:1656
        
        C:\Users\Admin\AppData\Local\Temp\1519.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1519.tmp"
        12⤵
        
        PID:544
        
        C:\Users\Admin\AppData\Local\Temp\1567.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1567.tmp"
        13⤵
        
        PID:3928
        
        C:\Users\Admin\AppData\Local\Temp\15B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15B6.tmp"
        14⤵
        
        PID:2704
        
        C:\Users\Admin\AppData\Local\Temp\1604.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1604.tmp"
        15⤵
        
        PID:1916
        
        C:\Users\Admin\AppData\Local\Temp\F7FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F7FC.tmp"
        14⤵
        
        PID:5068
        
        C:\Users\Admin\AppData\Local\Temp\EA8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA8F.tmp"
        13⤵
        
        PID:1952
        
        C:\Users\Admin\AppData\Local\Temp\59B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59B4.tmp"
        12⤵
        
        PID:376
        
        C:\Users\Admin\AppData\Local\Temp\5A02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A02.tmp"
        13⤵
        
        PID:244
        
        C:\Users\Admin\AppData\Local\Temp\5A50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A50.tmp"
        14⤵
        
        PID:2508
        
        C:\Users\Admin\AppData\Local\Temp\5A9E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A9E.tmp"
        15⤵
        
        PID:5068
        
        C:\Users\Admin\AppData\Local\Temp\5AEC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5AEC.tmp"
        16⤵
        
        PID:920

C:\Users\Admin\AppData\Local\Temp\5BBC.tmp
"C:\Users\Admin\AppData\Local\Temp\5BBC.tmp"
1⤵
PID:2700
- C:\Users\Admin\AppData\Local\Temp\5C0A.tmp
  "C:\Users\Admin\AppData\Local\Temp\5C0A.tmp"
  2⤵
  - Executes dropped EXE
  PID:4724
- - C:\Users\Admin\AppData\Local\Temp\5C58.tmp
    "C:\Users\Admin\AppData\Local\Temp\5C58.tmp"
    3⤵
    - Executes dropped EXE
    PID:2692
  - - C:\Users\Admin\AppData\Local\Temp\5CA7.tmp
      "C:\Users\Admin\AppData\Local\Temp\5CA7.tmp"
      4⤵
      Executes dropped EXE
      PID:1860
    - - C:\Users\Admin\AppData\Local\Temp\5CF5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5CF5.tmp"
        5⤵
        Executes dropped EXE
        
        PID:3572

C:\Users\Admin\AppData\Local\Temp\5D43.tmp
"C:\Users\Admin\AppData\Local\Temp\5D43.tmp"
1⤵
- Executes dropped EXE
PID:2188
- C:\Users\Admin\AppData\Local\Temp\5DA1.tmp
  "C:\Users\Admin\AppData\Local\Temp\5DA1.tmp"
  2⤵
  - Executes dropped EXE
  PID:2292
- - C:\Users\Admin\AppData\Local\Temp\5DEF.tmp
    "C:\Users\Admin\AppData\Local\Temp\5DEF.tmp"
    3⤵
    PID:3748
  - - C:\Users\Admin\AppData\Local\Temp\5E3D.tmp
      "C:\Users\Admin\AppData\Local\Temp\5E3D.tmp"
      4⤵
      PID:4176
    - - C:\Users\Admin\AppData\Local\Temp\5EAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5EAA.tmp"
        5⤵
        
        PID:4752
      - C:\Users\Admin\AppData\Local\Temp\5EF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5EF8.tmp"
        6⤵
        Executes dropped EXE
        
        PID:3672
        
        C:\Users\Admin\AppData\Local\Temp\5F46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F46.tmp"
        7⤵
        Executes dropped EXE
        
        PID:1276
        
        C:\Users\Admin\AppData\Local\Temp\5F95.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F95.tmp"
        8⤵
        Executes dropped EXE
        
        PID:1800
      - C:\Users\Admin\AppData\Local\Temp\513D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\513D.tmp"
        6⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3236
    - - C:\Users\Admin\AppData\Local\Temp\50EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50EF.tmp"
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4752
  - - C:\Users\Admin\AppData\Local\Temp\6939.tmp
      "C:\Users\Admin\AppData\Local\Temp\6939.tmp"
      4⤵
      PID:3460
    - - C:\Users\Admin\AppData\Local\Temp\6987.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6987.tmp"
        5⤵
        
        PID:1064
      - C:\Users\Admin\AppData\Local\Temp\69D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\69D6.tmp"
        6⤵
        
        PID:4052
        
        C:\Users\Admin\AppData\Local\Temp\6A33.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A33.tmp"
        7⤵
        
        PID:3156

C:\Users\Admin\AppData\Local\Temp\5FE3.tmp
"C:\Users\Admin\AppData\Local\Temp\5FE3.tmp"
1⤵
- Executes dropped EXE
PID:4344
- C:\Users\Admin\AppData\Local\Temp\6031.tmp
  "C:\Users\Admin\AppData\Local\Temp\6031.tmp"
  2⤵
  PID:5048
- - C:\Users\Admin\AppData\Local\Temp\607F.tmp
    "C:\Users\Admin\AppData\Local\Temp\607F.tmp"
    3⤵
    PID:1152
  - - C:\Users\Admin\AppData\Local\Temp\60CD.tmp
      "C:\Users\Admin\AppData\Local\Temp\60CD.tmp"
      4⤵
      Executes dropped EXE
      PID:1020
    - - C:\Users\Admin\AppData\Local\Temp\611B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\611B.tmp"
        5⤵
        
        PID:4480
      - C:\Users\Admin\AppData\Local\Temp\6169.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6169.tmp"
        6⤵
        
        PID:4164
  - - C:\Users\Admin\AppData\Local\Temp\75FB.tmp
      "C:\Users\Admin\AppData\Local\Temp\75FB.tmp"
      4⤵
      PID:3496
    - - C:\Users\Admin\AppData\Local\Temp\7649.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7649.tmp"
        5⤵
        
        PID:3180
      - C:\Users\Admin\AppData\Local\Temp\7697.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7697.tmp"
        6⤵
        
        PID:696
        
        C:\Users\Admin\AppData\Local\Temp\76E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76E5.tmp"
        7⤵
        
        PID:1768
        
        C:\Users\Admin\AppData\Local\Temp\7743.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7743.tmp"
        8⤵
        
        PID:2908
        
        C:\Users\Admin\AppData\Local\Temp\8211.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8211.tmp"
        8⤵
        
        PID:2908
        
        C:\Users\Admin\AppData\Local\Temp\825F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\825F.tmp"
        9⤵
        
        PID:452
        
        C:\Users\Admin\AppData\Local\Temp\82AD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82AD.tmp"
        10⤵
        
        PID:748
        
        C:\Users\Admin\AppData\Local\Temp\82FB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82FB.tmp"
        11⤵
        
        PID:4988
        
        C:\Users\Admin\AppData\Local\Temp\EC15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC15.tmp"
        10⤵
        
        PID:4936
        
        C:\Users\Admin\AppData\Local\Temp\EC63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC63.tmp"
        11⤵
        
        PID:3688
        
        C:\Users\Admin\AppData\Local\Temp\ECB2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ECB2.tmp"
        12⤵
        
        PID:2000
        
        C:\Users\Admin\AppData\Local\Temp\ED00.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED00.tmp"
        13⤵
        
        PID:4128
        
        C:\Users\Admin\AppData\Local\Temp\8D5B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D5B.tmp"
        9⤵
        Executes dropped EXE
        
        PID:4316
        
        C:\Users\Admin\AppData\Local\Temp\8DA9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8DA9.tmp"
        10⤵
        
        PID:2564
        
        C:\Users\Admin\AppData\Local\Temp\8DF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8DF8.tmp"
        11⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\8E46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E46.tmp"
        12⤵
        
        PID:3636
        
        C:\Users\Admin\AppData\Local\Temp\8E94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E94.tmp"
        13⤵
        
        PID:2968
        
        C:\Users\Admin\AppData\Local\Temp\8EE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8EE2.tmp"
        14⤵
        
        PID:904
        
        C:\Users\Admin\AppData\Local\Temp\B91E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B91E.tmp"
        13⤵
        
        PID:2508
        
        C:\Users\Admin\AppData\Local\Temp\B96D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B96D.tmp"
        14⤵
        
        PID:4668
        
        C:\Users\Admin\AppData\Local\Temp\B9BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B9BB.tmp"
        15⤵
        
        PID:4932
        
        C:\Users\Admin\AppData\Local\Temp\5573.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5573.tmp"
        11⤵
        Executes dropped EXE
        
        PID:1992
        
        C:\Users\Admin\AppData\Local\Temp\5525.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5525.tmp"
        10⤵
        Executes dropped EXE
        
        PID:2564
        
        C:\Users\Admin\AppData\Local\Temp\5F32.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F32.tmp"
        11⤵
        
        PID:3060
        
        C:\Users\Admin\AppData\Local\Temp\5F80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F80.tmp"
        12⤵
        
        PID:228
        
        C:\Users\Admin\AppData\Local\Temp\5FCE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FCE.tmp"
        13⤵
        
        PID:4380

C:\Users\Admin\AppData\Local\Temp\61B7.tmp
"C:\Users\Admin\AppData\Local\Temp\61B7.tmp"
1⤵
PID:4792
- C:\Users\Admin\AppData\Local\Temp\6206.tmp
  "C:\Users\Admin\AppData\Local\Temp\6206.tmp"
  2⤵
  PID:1000
- - C:\Users\Admin\AppData\Local\Temp\6254.tmp
    "C:\Users\Admin\AppData\Local\Temp\6254.tmp"
    3⤵
    PID:1772

C:\Users\Admin\AppData\Local\Temp\62E0.tmp
"C:\Users\Admin\AppData\Local\Temp\62E0.tmp"
1⤵
PID:4240

C:\Users\Admin\AppData\Local\Temp\637D.tmp
"C:\Users\Admin\AppData\Local\Temp\637D.tmp"
1⤵
PID:4664
- C:\Users\Admin\AppData\Local\Temp\63CB.tmp
  "C:\Users\Admin\AppData\Local\Temp\63CB.tmp"
  2⤵
  PID:5024
- - C:\Users\Admin\AppData\Local\Temp\6419.tmp
    "C:\Users\Admin\AppData\Local\Temp\6419.tmp"
    3⤵
    PID:4124
  - - C:\Users\Admin\AppData\Local\Temp\ADB5.tmp
      "C:\Users\Admin\AppData\Local\Temp\ADB5.tmp"
      4⤵
      PID:4268
    - - C:\Users\Admin\AppData\Local\Temp\AE12.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE12.tmp"
        5⤵
        
        PID:4108
      - C:\Users\Admin\AppData\Local\Temp\AE60.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE60.tmp"
        6⤵
        
        PID:2280
        
        C:\Users\Admin\AppData\Local\Temp\AEBE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AEBE.tmp"
        7⤵
        
        PID:940
        
        C:\Users\Admin\AppData\Local\Temp\C803.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C803.tmp"
        7⤵
        
        PID:940
        
        C:\Users\Admin\AppData\Local\Temp\C851.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C851.tmp"
        8⤵
        
        PID:3284
        
        C:\Users\Admin\AppData\Local\Temp\C89F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C89F.tmp"
        9⤵
        
        PID:3852

C:\Windows\System32\WaaSMedicAgent.exe
C:\Windows\System32\WaaSMedicAgent.exe 45ab3d1ff31656df45cfd3fe2bf72935 +mb3ImrI8E2m8/8ixGFZEg.0.1.0.0.0
1⤵
- Executes dropped EXE
PID:4940
- C:\Users\Admin\AppData\Local\Temp\56BB.tmp
  "C:\Users\Admin\AppData\Local\Temp\56BB.tmp"
  2⤵
  - Executes dropped EXE
  PID:4616

C:\Users\Admin\AppData\Local\Temp\64B5.tmp
"C:\Users\Admin\AppData\Local\Temp\64B5.tmp"
1⤵
PID:8
- C:\Users\Admin\AppData\Local\Temp\64F4.tmp
  "C:\Users\Admin\AppData\Local\Temp\64F4.tmp"
  2⤵
  PID:1084
- - C:\Users\Admin\AppData\Local\Temp\6542.tmp
    "C:\Users\Admin\AppData\Local\Temp\6542.tmp"
    3⤵
    PID:4844

C:\Users\Admin\AppData\Local\Temp\6590.tmp
"C:\Users\Admin\AppData\Local\Temp\6590.tmp"
1⤵
- Executes dropped EXE
PID:4260
- C:\Users\Admin\AppData\Local\Temp\65DE.tmp
  "C:\Users\Admin\AppData\Local\Temp\65DE.tmp"
  2⤵
  - Executes dropped EXE
  PID:4760
- - C:\Users\Admin\AppData\Local\Temp\662C.tmp
    "C:\Users\Admin\AppData\Local\Temp\662C.tmp"
    3⤵
    PID:4880
  - - C:\Users\Admin\AppData\Local\Temp\667A.tmp
      "C:\Users\Admin\AppData\Local\Temp\667A.tmp"
      4⤵
      PID:1584
- C:\Users\Admin\AppData\Local\Temp\B371.tmp
  "C:\Users\Admin\AppData\Local\Temp\B371.tmp"
  2⤵
  PID:652
- - C:\Users\Admin\AppData\Local\Temp\B3CF.tmp
    "C:\Users\Admin\AppData\Local\Temp\B3CF.tmp"
    3⤵
    PID:3732
  - - C:\Users\Admin\AppData\Local\Temp\B41D.tmp
      "C:\Users\Admin\AppData\Local\Temp\B41D.tmp"
      4⤵
      PID:4164

C:\Users\Admin\AppData\Local\Temp\66C8.tmp
"C:\Users\Admin\AppData\Local\Temp\66C8.tmp"
1⤵
PID:4024
- C:\Users\Admin\AppData\Local\Temp\6716.tmp
  "C:\Users\Admin\AppData\Local\Temp\6716.tmp"
  2⤵
  PID:1624
- - C:\Users\Admin\AppData\Local\Temp\6765.tmp
    "C:\Users\Admin\AppData\Local\Temp\6765.tmp"
    3⤵
    PID:2576
  - - C:\Users\Admin\AppData\Local\Temp\67C2.tmp
      "C:\Users\Admin\AppData\Local\Temp\67C2.tmp"
      4⤵
      PID:228
    - - C:\Users\Admin\AppData\Local\Temp\6801.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6801.tmp"
        5⤵
        Executes dropped EXE
        
        PID:224
      - C:\Users\Admin\AppData\Local\Temp\C592.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C592.tmp"
        6⤵
        
        PID:4592
        
        C:\Users\Admin\AppData\Local\Temp\C5E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C5E0.tmp"
        7⤵
        
        PID:2456
        
        C:\Users\Admin\AppData\Local\Temp\C62E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C62E.tmp"
        8⤵
        
        PID:2400
        
        C:\Users\Admin\AppData\Local\Temp\C67C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C67C.tmp"
        9⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\C6CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6CA.tmp"
        10⤵
        
        PID:3468
        
        C:\Users\Admin\AppData\Local\Temp\C719.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C719.tmp"
        11⤵
        
        PID:5044
        
        C:\Users\Admin\AppData\Local\Temp\C767.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C767.tmp"
        12⤵
        
        PID:4304
        
        C:\Users\Admin\AppData\Local\Temp\C7B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C7B5.tmp"
        13⤵
        
        PID:2280
        
        C:\Users\Admin\AppData\Local\Temp\F9D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9D1.tmp"
        12⤵
        
        PID:2012
        
        C:\Users\Admin\AppData\Local\Temp\FA1F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA1F.tmp"
        13⤵
        
        PID:3096
        
        C:\Users\Admin\AppData\Local\Temp\E14.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E14.tmp"
        14⤵
        
        PID:4576
        
        C:\Users\Admin\AppData\Local\Temp\E63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E63.tmp"
        15⤵
        
        PID:3240
        
        C:\Users\Admin\AppData\Local\Temp\EB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB1.tmp"
        16⤵
        
        PID:3040
        
        C:\Users\Admin\AppData\Local\Temp\ED9C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED9C.tmp"
        10⤵
        
        PID:2308
        
        C:\Users\Admin\AppData\Local\Temp\EDEA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDEA.tmp"
        11⤵
        
        PID:3836
        
        C:\Users\Admin\AppData\Local\Temp\EE38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE38.tmp"
        12⤵
        
        PID:4048
    - - C:\Users\Admin\AppData\Local\Temp\4DC2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4DC2.tmp"
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3184
  - - C:\Users\Admin\AppData\Local\Temp\7EB5.tmp
      "C:\Users\Admin\AppData\Local\Temp\7EB5.tmp"
      4⤵
      PID:4296
    - - C:\Users\Admin\AppData\Local\Temp\7F03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F03.tmp"
        5⤵
        
        PID:224
      - C:\Users\Admin\AppData\Local\Temp\7F52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F52.tmp"
        6⤵
        
        PID:4444

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k netsvcs -p -s wuauserv
1⤵
- Executes dropped EXE
PID:2700

C:\Users\Admin\AppData\Local\Temp\6A81.tmp
"C:\Users\Admin\AppData\Local\Temp\6A81.tmp"
1⤵
PID:4588
- C:\Users\Admin\AppData\Local\Temp\6AD0.tmp
  "C:\Users\Admin\AppData\Local\Temp\6AD0.tmp"
  2⤵
  PID:716
- - C:\Users\Admin\AppData\Local\Temp\6B1E.tmp
    "C:\Users\Admin\AppData\Local\Temp\6B1E.tmp"
    3⤵
    PID:744
  - - C:\Users\Admin\AppData\Local\Temp\6B6C.tmp
      "C:\Users\Admin\AppData\Local\Temp\6B6C.tmp"
      4⤵
      PID:864
    - - C:\Users\Admin\AppData\Local\Temp\6BBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BBA.tmp"
        5⤵
        
        PID:696
      - C:\Users\Admin\AppData\Local\Temp\6C08.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C08.tmp"
        6⤵
        
        PID:1768
- - C:\Users\Admin\AppData\Local\Temp\5275.tmp
    "C:\Users\Admin\AppData\Local\Temp\5275.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:744
- C:\Users\Admin\AppData\Local\Temp\8B48.tmp
  "C:\Users\Admin\AppData\Local\Temp\8B48.tmp"
  2⤵
  PID:3788
- - C:\Users\Admin\AppData\Local\Temp\8B96.tmp
    "C:\Users\Admin\AppData\Local\Temp\8B96.tmp"
    3⤵
    PID:1172
  - - C:\Users\Admin\AppData\Local\Temp\8BE4.tmp
      "C:\Users\Admin\AppData\Local\Temp\8BE4.tmp"
      4⤵
      PID:4480
  - - C:\Users\Admin\AppData\Local\Temp\B5B3.tmp
      "C:\Users\Admin\AppData\Local\Temp\B5B3.tmp"
      4⤵
      PID:1412
    - - C:\Users\Admin\AppData\Local\Temp\B602.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B602.tmp"
        5⤵
        
        PID:2108
      - C:\Users\Admin\AppData\Local\Temp\B650.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B650.tmp"
        6⤵
        
        PID:3260
        
        C:\Users\Admin\AppData\Local\Temp\B69E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B69E.tmp"
        7⤵
        
        PID:1980
        
        C:\Users\Admin\AppData\Local\Temp\B6EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B6EC.tmp"
        8⤵
        
        PID:1476
        
        C:\Users\Admin\AppData\Local\Temp\B73A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B73A.tmp"
        9⤵
        
        PID:1996
    - - C:\Users\Admin\AppData\Local\Temp\DE79.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE79.tmp"
        5⤵
        
        PID:4000
      - C:\Users\Admin\AppData\Local\Temp\DEC7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DEC7.tmp"
        6⤵
        
        PID:4568
        
        C:\Users\Admin\AppData\Local\Temp\E9A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9A4.tmp"
        7⤵
        
        PID:3700
        
        C:\Users\Admin\AppData\Local\Temp\E9F2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9F2.tmp"
        8⤵
        
        PID:2268
        
        C:\Users\Admin\AppData\Local\Temp\EA41.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA41.tmp"
        9⤵
        
        PID:544

C:\Users\Admin\AppData\Local\Temp\6C56.tmp
"C:\Users\Admin\AppData\Local\Temp\6C56.tmp"
1⤵
PID:2908
- C:\Users\Admin\AppData\Local\Temp\6CB4.tmp
  "C:\Users\Admin\AppData\Local\Temp\6CB4.tmp"
  2⤵
  PID:1476
- - C:\Users\Admin\AppData\Local\Temp\8C71.tmp
    "C:\Users\Admin\AppData\Local\Temp\8C71.tmp"
    3⤵
    PID:1996
  - - C:\Users\Admin\AppData\Local\Temp\8CBF.tmp
      "C:\Users\Admin\AppData\Local\Temp\8CBF.tmp"
      4⤵
      PID:1768
    - - C:\Users\Admin\AppData\Local\Temp\8D0D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D0D.tmp"
        5⤵
        
        PID:2908
    - - C:\Users\Admin\AppData\Local\Temp\53BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53BD.tmp"
        5⤵
        Executes dropped EXE
        
        PID:1000
  - - C:\Users\Admin\AppData\Local\Temp\B788.tmp
      "C:\Users\Admin\AppData\Local\Temp\B788.tmp"
      4⤵
      PID:1768
    - - C:\Users\Admin\AppData\Local\Temp\B7D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7D6.tmp"
        5⤵
        
        PID:1952
      - C:\Users\Admin\AppData\Local\Temp\B824.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B824.tmp"
        6⤵
        
        PID:216
        
        C:\Users\Admin\AppData\Local\Temp\B873.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B873.tmp"
        7⤵
        
        PID:4240
        
        C:\Users\Admin\AppData\Local\Temp\B8D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8D0.tmp"
        8⤵
        
        PID:3636
      - C:\Users\Admin\AppData\Local\Temp\EADD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EADD.tmp"
        6⤵
        
        PID:216
        
        C:\Users\Admin\AppData\Local\Temp\EB2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB2B.tmp"
        7⤵
        
        PID:1408
        
        C:\Users\Admin\AppData\Local\Temp\EB79.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB79.tmp"
        8⤵
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\EBC7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EBC7.tmp"
        9⤵
        
        PID:452
- C:\Users\Admin\AppData\Local\Temp\7791.tmp
  "C:\Users\Admin\AppData\Local\Temp\7791.tmp"
  2⤵
  PID:1000
- - C:\Users\Admin\AppData\Local\Temp\77DF.tmp
    "C:\Users\Admin\AppData\Local\Temp\77DF.tmp"
    3⤵
    PID:1772
  - - C:\Users\Admin\AppData\Local\Temp\783D.tmp
      "C:\Users\Admin\AppData\Local\Temp\783D.tmp"
      4⤵
      PID:4540
    - - C:\Users\Admin\AppData\Local\Temp\788B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\788B.tmp"
        5⤵
        
        PID:4240
      - C:\Users\Admin\AppData\Local\Temp\78D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78D9.tmp"
        6⤵
        
        PID:1904
        
        C:\Users\Admin\AppData\Local\Temp\83E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\83E5.tmp"
        7⤵
        
        PID:4664
        
        C:\Users\Admin\AppData\Local\Temp\8434.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8434.tmp"
        8⤵
        
        PID:4524
        
        C:\Users\Admin\AppData\Local\Temp\8482.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8482.tmp"
        9⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\7976.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7976.tmp"
        8⤵
        
        PID:904
      - C:\Users\Admin\AppData\Local\Temp\632E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\632E.tmp"
        6⤵
        
        PID:1904
  - - C:\Users\Admin\AppData\Local\Temp\62A2.tmp
      "C:\Users\Admin\AppData\Local\Temp\62A2.tmp"
      4⤵
      PID:4540
  - - C:\Users\Admin\AppData\Local\Temp\C3BD.tmp
      "C:\Users\Admin\AppData\Local\Temp\C3BD.tmp"
      4⤵
      PID:332
    - - C:\Users\Admin\AppData\Local\Temp\C40B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C40B.tmp"
        5⤵
        
        PID:5000
      - C:\Users\Admin\AppData\Local\Temp\C459.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C459.tmp"
        6⤵
        
        PID:4208
        
        C:\Users\Admin\AppData\Local\Temp\C4A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4A8.tmp"
        7⤵
        
        PID:5024
        
        C:\Users\Admin\AppData\Local\Temp\C4F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4F6.tmp"
        8⤵
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\C544.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C544.tmp"
        9⤵
        
        PID:224
        
        C:\Users\Admin\AppData\Local\Temp\5D0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D0F.tmp"
        7⤵
        
        PID:3040
        
        C:\Users\Admin\AppData\Local\Temp\5D5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D5D.tmp"
        8⤵
        
        PID:4444
        
        C:\Users\Admin\AppData\Local\Temp\5DAB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DAB.tmp"
        9⤵
        
        PID:1516
        
        C:\Users\Admin\AppData\Local\Temp\5DFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DFA.tmp"
        10⤵
        
        PID:3168
        
        C:\Users\Admin\AppData\Local\Temp\23FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23FE.tmp"
        11⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\77FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77FA.tmp"
        12⤵
        
        PID:4568
        
        C:\Users\Admin\AppData\Local\Temp\7848.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7848.tmp"
        13⤵
        
        PID:2000
        
        C:\Users\Admin\AppData\Local\Temp\7896.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7896.tmp"
        14⤵
        
        PID:3088
        
        C:\Users\Admin\AppData\Local\Temp\7923.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7923.tmp"
        15⤵
        
        PID:3744
        
        C:\Users\Admin\AppData\Local\Temp\7990.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7990.tmp"
        16⤵
        
        PID:2488
        
        C:\Users\Admin\AppData\Local\Temp\79EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79EE.tmp"
        17⤵
        
        PID:2564
        
        C:\Users\Admin\AppData\Local\Temp\7A3C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A3C.tmp"
        18⤵
        
        PID:5100
        
        C:\Users\Admin\AppData\Local\Temp\7AA9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AA9.tmp"
        19⤵
        
        PID:3256
        
        C:\Users\Admin\AppData\Local\Temp\7AF7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AF7.tmp"
        20⤵
        
        PID:4380
        
        C:\Users\Admin\AppData\Local\Temp\88A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88A3.tmp"
        15⤵
        
        PID:3308
        
        C:\Users\Admin\AppData\Local\Temp\88F2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88F2.tmp"
        16⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\8940.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8940.tmp"
        17⤵
        
        PID:1404
        
        C:\Users\Admin\AppData\Local\Temp\898E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\898E.tmp"
        18⤵
        
        PID:3140
        
        C:\Users\Admin\AppData\Local\Temp\89DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\89DC.tmp"
        19⤵
        
        PID:3324
        
        C:\Users\Admin\AppData\Local\Temp\8A2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A2A.tmp"
        20⤵
        
        PID:4824
      - C:\Users\Admin\AppData\Local\Temp\F760.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F760.tmp"
        6⤵
        
        PID:3232
        
        C:\Users\Admin\AppData\Local\Temp\F7AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F7AE.tmp"
        7⤵
        
        PID:3928
    - - C:\Users\Admin\AppData\Local\Temp\2AB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2AB5.tmp"
        5⤵
        
        PID:224
      - C:\Users\Admin\AppData\Local\Temp\2B03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B03.tmp"
        6⤵
        
        PID:532
        
        C:\Users\Admin\AppData\Local\Temp\2B51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B51.tmp"
        7⤵
        
        PID:4672
      - C:\Users\Admin\AppData\Local\Temp\36BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36BB.tmp"
        6⤵
        
        PID:532
        
        C:\Users\Admin\AppData\Local\Temp\3718.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3718.tmp"
        7⤵
        
        PID:5068
        
        C:\Users\Admin\AppData\Local\Temp\3767.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3767.tmp"
        8⤵
        
        PID:2432
- - C:\Users\Admin\AppData\Local\Temp\540B.tmp
    "C:\Users\Admin\AppData\Local\Temp\540B.tmp"
    3⤵
    - Executes dropped EXE
    PID:2668

C:\Users\Admin\AppData\Local\Temp\6D50.tmp
"C:\Users\Admin\AppData\Local\Temp\6D50.tmp"
1⤵
PID:4316
- C:\Users\Admin\AppData\Local\Temp\6D9E.tmp
  "C:\Users\Admin\AppData\Local\Temp\6D9E.tmp"
  2⤵
  PID:2564
- - C:\Users\Admin\AppData\Local\Temp\6DEC.tmp
    "C:\Users\Admin\AppData\Local\Temp\6DEC.tmp"
    3⤵
    PID:1992
  - - C:\Users\Admin\AppData\Local\Temp\6E3B.tmp
      "C:\Users\Admin\AppData\Local\Temp\6E3B.tmp"
      4⤵
      PID:2508
    - - C:\Users\Admin\AppData\Local\Temp\6E89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E89.tmp"
        5⤵
        
        PID:2432
      - C:\Users\Admin\AppData\Local\Temp\6ED7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6ED7.tmp"
        6⤵
        
        PID:2672
      - C:\Users\Admin\AppData\Local\Temp\20E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\20E.tmp"
        6⤵
        
        PID:2508
        
        C:\Users\Admin\AppData\Local\Temp\26C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\26C.tmp"
        7⤵
        
        PID:4124
        
        C:\Users\Admin\AppData\Local\Temp\2BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2BA.tmp"
        8⤵
        
        PID:1092
        
        C:\Users\Admin\AppData\Local\Temp\308.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\308.tmp"
        9⤵
        
        PID:4748
        
        C:\Users\Admin\AppData\Local\Temp\356.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\356.tmp"
        10⤵
        
        PID:4108
  - - C:\Users\Admin\AppData\Local\Temp\55C1.tmp
      "C:\Users\Admin\AppData\Local\Temp\55C1.tmp"
      4⤵
      Executes dropped EXE
      PID:3736

C:\Users\Admin\AppData\Local\Temp\6F25.tmp
"C:\Users\Admin\AppData\Local\Temp\6F25.tmp"
1⤵
PID:2012
- C:\Users\Admin\AppData\Local\Temp\6F73.tmp
  "C:\Users\Admin\AppData\Local\Temp\6F73.tmp"
  2⤵
  PID:4292
- - C:\Users\Admin\AppData\Local\Temp\6FC1.tmp
    "C:\Users\Admin\AppData\Local\Temp\6FC1.tmp"
    3⤵
    PID:1596

C:\Users\Admin\AppData\Local\Temp\700F.tmp
"C:\Users\Admin\AppData\Local\Temp\700F.tmp"
1⤵
PID:1084
- C:\Users\Admin\AppData\Local\Temp\705D.tmp
  "C:\Users\Admin\AppData\Local\Temp\705D.tmp"
  2⤵
  PID:2888
- - C:\Users\Admin\AppData\Local\Temp\70AC.tmp
    "C:\Users\Admin\AppData\Local\Temp\70AC.tmp"
    3⤵
    PID:4800
  - - C:\Users\Admin\AppData\Local\Temp\70FA.tmp
      "C:\Users\Admin\AppData\Local\Temp\70FA.tmp"
      4⤵
      PID:2668
    - - C:\Users\Admin\AppData\Local\Temp\7157.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7157.tmp"
        5⤵
        
        PID:5060
      - C:\Users\Admin\AppData\Local\Temp\71B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71B5.tmp"
        6⤵
        
        PID:752
        
        C:\Users\Admin\AppData\Local\Temp\7203.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7203.tmp"
        7⤵
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\7251.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7251.tmp"
        8⤵
        
        PID:3308
        
        C:\Users\Admin\AppData\Local\Temp\72A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72A0.tmp"
        9⤵
        
        PID:3140
        
        C:\Users\Admin\AppData\Local\Temp\72EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72EE.tmp"
        10⤵
        
        PID:5100
    - - C:\Users\Admin\AppData\Local\Temp\5469.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5469.tmp"
        5⤵
        Executes dropped EXE
        
        PID:2476
- C:\Users\Admin\AppData\Local\Temp\7CD1.tmp
  "C:\Users\Admin\AppData\Local\Temp\7CD1.tmp"
  2⤵
  PID:3216
- - C:\Users\Admin\AppData\Local\Temp\7D1F.tmp
    "C:\Users\Admin\AppData\Local\Temp\7D1F.tmp"
    3⤵
    PID:4408
  - - C:\Users\Admin\AppData\Local\Temp\7D6D.tmp
      "C:\Users\Admin\AppData\Local\Temp\7D6D.tmp"
      4⤵
      PID:3040
    - - C:\Users\Admin\AppData\Local\Temp\7DCB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DCB.tmp"
        5⤵
        
        PID:1676
      - C:\Users\Admin\AppData\Local\Temp\7E19.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E19.tmp"
        6⤵
        
        PID:4144
        
        C:\Users\Admin\AppData\Local\Temp\7E67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E67.tmp"
        7⤵
        
        PID:2576
        
        C:\Users\Admin\AppData\Local\Temp\318B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\318B.tmp"
        8⤵
        
        PID:3420
        
        C:\Users\Admin\AppData\Local\Temp\31D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\31D9.tmp"
        9⤵
        
        PID:3324
        
        C:\Users\Admin\AppData\Local\Temp\3227.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3227.tmp"
        10⤵
        
        PID:4036
        
        C:\Users\Admin\AppData\Local\Temp\3275.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3275.tmp"
        11⤵
        
        PID:4100
        
        C:\Users\Admin\AppData\Local\Temp\32C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\32C3.tmp"
        12⤵
        
        PID:3824
        
        C:\Users\Admin\AppData\Local\Temp\3311.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3311.tmp"
        13⤵
        
        PID:3528
  - - C:\Users\Admin\AppData\Local\Temp\883B.tmp
      "C:\Users\Admin\AppData\Local\Temp\883B.tmp"
      4⤵
      PID:5060
    - - C:\Users\Admin\AppData\Local\Temp\9422.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9422.tmp"
        5⤵
        
        PID:2428
      - C:\Users\Admin\AppData\Local\Temp\9470.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9470.tmp"
        6⤵
        
        PID:3872
        
        C:\Users\Admin\AppData\Local\Temp\94BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\94BE.tmp"
        7⤵
        
        PID:3704

C:\Users\Admin\AppData\Local\Temp\733C.tmp
"C:\Users\Admin\AppData\Local\Temp\733C.tmp"
1⤵
PID:784
- C:\Users\Admin\AppData\Local\Temp\738A.tmp
  "C:\Users\Admin\AppData\Local\Temp\738A.tmp"
  2⤵
  PID:4604
- - C:\Users\Admin\AppData\Local\Temp\73D8.tmp
    "C:\Users\Admin\AppData\Local\Temp\73D8.tmp"
    3⤵
    PID:2676

C:\Users\Admin\AppData\Local\Temp\7426.tmp
"C:\Users\Admin\AppData\Local\Temp\7426.tmp"
1⤵
PID:3932
- C:\Users\Admin\AppData\Local\Temp\7474.tmp
  "C:\Users\Admin\AppData\Local\Temp\7474.tmp"
  2⤵
  PID:4392
- - C:\Users\Admin\AppData\Local\Temp\74C2.tmp
    "C:\Users\Admin\AppData\Local\Temp\74C2.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:1424
  - - C:\Users\Admin\AppData\Local\Temp\5227.tmp
      "C:\Users\Admin\AppData\Local\Temp\5227.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:716

C:\Users\Admin\AppData\Local\Temp\7927.tmp
"C:\Users\Admin\AppData\Local\Temp\7927.tmp"
1⤵
PID:4664

C:\Users\Admin\AppData\Local\Temp\79C4.tmp
"C:\Users\Admin\AppData\Local\Temp\79C4.tmp"
1⤵
PID:4432
- C:\Users\Admin\AppData\Local\Temp\7A12.tmp
  "C:\Users\Admin\AppData\Local\Temp\7A12.tmp"
  2⤵
  PID:4748
- - C:\Users\Admin\AppData\Local\Temp\851E.tmp
    "C:\Users\Admin\AppData\Local\Temp\851E.tmp"
    3⤵
    PID:1464
  - - C:\Users\Admin\AppData\Local\Temp\856C.tmp
      "C:\Users\Admin\AppData\Local\Temp\856C.tmp"
      4⤵
      PID:4108
    - - C:\Users\Admin\AppData\Local\Temp\85BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\85BA.tmp"
        5⤵
        
        PID:2672
      - C:\Users\Admin\AppData\Local\Temp\8608.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8608.tmp"
        6⤵
        
        PID:8
        
        C:\Users\Admin\AppData\Local\Temp\8656.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8656.tmp"
        7⤵
        
        PID:1092
        
        C:\Users\Admin\AppData\Local\Temp\86A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\86A5.tmp"
        8⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\8702.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8702.tmp"
        9⤵
        
        PID:1596
        
        C:\Users\Admin\AppData\Local\Temp\8750.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8750.tmp"
        10⤵
        
        PID:1084
        
        C:\Users\Admin\AppData\Local\Temp\879F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\879F.tmp"
        11⤵
        
        PID:3216
        
        C:\Users\Admin\AppData\Local\Temp\87ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\87ED.tmp"
        12⤵
        
        PID:4408
        
        C:\Users\Admin\AppData\Local\Temp\7C83.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C83.tmp"
        10⤵
        
        PID:1084
        
        C:\Users\Admin\AppData\Local\Temp\B100.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B100.tmp"
        11⤵
        
        PID:3040
        
        C:\Users\Admin\AppData\Local\Temp\B14E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B14E.tmp"
        12⤵
        
        PID:4104
        
        C:\Users\Admin\AppData\Local\Temp\B19D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B19D.tmp"
        13⤵
        
        PID:5060
        
        C:\Users\Admin\AppData\Local\Temp\B1EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B1EB.tmp"
        14⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\B239.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B239.tmp"
        15⤵
        
        PID:3592
        
        C:\Users\Admin\AppData\Local\Temp\9239.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9239.tmp"
        16⤵
        
        PID:2308
        
        C:\Users\Admin\AppData\Local\Temp\9287.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9287.tmp"
        17⤵
        
        PID:372
        
        C:\Users\Admin\AppData\Local\Temp\EFBF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFBF.tmp"
        14⤵
        
        PID:228
        
        C:\Users\Admin\AppData\Local\Temp\F00D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F00D.tmp"
        15⤵
        
        PID:4844
        
        C:\Users\Admin\AppData\Local\Temp\F05B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F05B.tmp"
        16⤵
        
        PID:2488
        
        C:\Users\Admin\AppData\Local\Temp\CA74.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA74.tmp"
        12⤵
        
        PID:2428
        
        C:\Users\Admin\AppData\Local\Temp\CAC2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAC2.tmp"
        13⤵
        
        PID:4808
        
        C:\Users\Admin\AppData\Local\Temp\EED4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EED4.tmp"
        7⤵
        
        PID:4984
        
        C:\Users\Admin\AppData\Local\Temp\EF23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF23.tmp"
        8⤵
        
        PID:4024
        
        C:\Users\Admin\AppData\Local\Temp\EF71.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF71.tmp"
        9⤵
        
        PID:5060

C:\Users\Admin\AppData\Local\Temp\7AAE.tmp
"C:\Users\Admin\AppData\Local\Temp\7AAE.tmp"
1⤵
PID:4576
- C:\Users\Admin\AppData\Local\Temp\7AFC.tmp
  "C:\Users\Admin\AppData\Local\Temp\7AFC.tmp"
  2⤵
  PID:2240
- - C:\Users\Admin\AppData\Local\Temp\7B4A.tmp
    "C:\Users\Admin\AppData\Local\Temp\7B4A.tmp"
    3⤵
    PID:3096
  - - C:\Users\Admin\AppData\Local\Temp\7B98.tmp
      "C:\Users\Admin\AppData\Local\Temp\7B98.tmp"
      4⤵
      PID:1092

C:\Users\Admin\AppData\Local\Temp\7BE7.tmp
"C:\Users\Admin\AppData\Local\Temp\7BE7.tmp"
1⤵
PID:4292
- C:\Users\Admin\AppData\Local\Temp\7C35.tmp
  "C:\Users\Admin\AppData\Local\Temp\7C35.tmp"
  2⤵
  PID:1596

C:\Users\Admin\AppData\Local\Temp\8349.tmp
"C:\Users\Admin\AppData\Local\Temp\8349.tmp"
1⤵
PID:3028
- C:\Users\Admin\AppData\Local\Temp\8397.tmp
  "C:\Users\Admin\AppData\Local\Temp\8397.tmp"
  2⤵
  PID:1904

C:\Users\Admin\AppData\Local\Temp\88D7.tmp
"C:\Users\Admin\AppData\Local\Temp\88D7.tmp"
1⤵
PID:2096
- C:\Users\Admin\AppData\Local\Temp\8925.tmp
  "C:\Users\Admin\AppData\Local\Temp\8925.tmp"
  2⤵
  PID:3848
- - C:\Users\Admin\AppData\Local\Temp\8973.tmp
    "C:\Users\Admin\AppData\Local\Temp\8973.tmp"
    3⤵
    PID:3184
  - - C:\Users\Admin\AppData\Local\Temp\89C1.tmp
      "C:\Users\Admin\AppData\Local\Temp\89C1.tmp"
      4⤵
      PID:4280
    - - C:\Users\Admin\AppData\Local\Temp\CC49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC49.tmp"
        5⤵
        
        PID:4684
      - C:\Users\Admin\AppData\Local\Temp\CC97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC97.tmp"
        6⤵
        
        PID:1624
        
        C:\Users\Admin\AppData\Local\Temp\CCE5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCE5.tmp"
        7⤵
        
        PID:4296
        
        C:\Users\Admin\AppData\Local\Temp\CD33.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD33.tmp"
        8⤵
        
        PID:4312
        
        C:\Users\Admin\AppData\Local\Temp\CD81.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD81.tmp"
        9⤵
        
        PID:2772
        
        C:\Users\Admin\AppData\Local\Temp\CDCF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDCF.tmp"
        10⤵
        
        PID:3652
        
        C:\Users\Admin\AppData\Local\Temp\CE1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE1D.tmp"
        11⤵
        
        PID:3568
      - C:\Users\Admin\AppData\Local\Temp\E733.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E733.tmp"
        6⤵
        
        PID:2836
        
        C:\Users\Admin\AppData\Local\Temp\E781.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E781.tmp"
        7⤵
        
        PID:1152
        
        C:\Users\Admin\AppData\Local\Temp\E7D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7D0.tmp"
        8⤵
        
        PID:4916
        
        C:\Users\Admin\AppData\Local\Temp\E81E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E81E.tmp"
        9⤵
        
        PID:3532
        
        C:\Users\Admin\AppData\Local\Temp\F31A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F31A.tmp"
        7⤵
        
        PID:4980
        
        C:\Users\Admin\AppData\Local\Temp\F368.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F368.tmp"
        8⤵
        
        PID:4100
        
        C:\Users\Admin\AppData\Local\Temp\F3B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3B6.tmp"
        9⤵
        
        PID:1048
  - - C:\Users\Admin\AppData\Local\Temp\4E2F.tmp
      "C:\Users\Admin\AppData\Local\Temp\4E2F.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:4296
- - C:\Users\Admin\AppData\Local\Temp\BFC6.tmp
    "C:\Users\Admin\AppData\Local\Temp\BFC6.tmp"
    3⤵
    PID:636

C:\Users\Admin\AppData\Local\Temp\8A10.tmp
"C:\Users\Admin\AppData\Local\Temp\8A10.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4444
- C:\Users\Admin\AppData\Local\Temp\8A5E.tmp
  "C:\Users\Admin\AppData\Local\Temp\8A5E.tmp"
  2⤵
  PID:3732
- - C:\Users\Admin\AppData\Local\Temp\8AAC.tmp
    "C:\Users\Admin\AppData\Local\Temp\8AAC.tmp"
    3⤵
    PID:3932
- - C:\Users\Admin\AppData\Local\Temp\9645.tmp
    "C:\Users\Admin\AppData\Local\Temp\9645.tmp"
    3⤵
    PID:3932
  - - C:\Users\Admin\AppData\Local\Temp\9693.tmp
      "C:\Users\Admin\AppData\Local\Temp\9693.tmp"
      4⤵
      PID:4588
    - - C:\Users\Admin\AppData\Local\Temp\96E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\96E1.tmp"
        5⤵
        
        PID:3788
      - C:\Users\Admin\AppData\Local\Temp\972F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\972F.tmp"
        6⤵
        
        PID:4552
  - - C:\Users\Admin\AppData\Local\Temp\8AFA.tmp
      "C:\Users\Admin\AppData\Local\Temp\8AFA.tmp"
      4⤵
      PID:4588
- C:\Users\Admin\AppData\Local\Temp\7FA0.tmp
  "C:\Users\Admin\AppData\Local\Temp\7FA0.tmp"
  2⤵
  PID:3732
- C:\Users\Admin\AppData\Local\Temp\4F29.tmp
  "C:\Users\Admin\AppData\Local\Temp\4F29.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:4604

C:\Users\Admin\AppData\Local\Temp\8F30.tmp
"C:\Users\Admin\AppData\Local\Temp\8F30.tmp"
1⤵
PID:3940
- C:\Users\Admin\AppData\Local\Temp\8F7E.tmp
  "C:\Users\Admin\AppData\Local\Temp\8F7E.tmp"
  2⤵
  PID:5020

C:\Users\Admin\AppData\Local\Temp\8FDC.tmp
"C:\Users\Admin\AppData\Local\Temp\8FDC.tmp"
1⤵
PID:4432
- C:\Users\Admin\AppData\Local\Temp\902A.tmp
  "C:\Users\Admin\AppData\Local\Temp\902A.tmp"
  2⤵
  PID:4124
- - C:\Users\Admin\AppData\Local\Temp\9078.tmp
    "C:\Users\Admin\AppData\Local\Temp\9078.tmp"
    3⤵
    PID:1516
- - C:\Users\Admin\AppData\Local\Temp\6467.tmp
    "C:\Users\Admin\AppData\Local\Temp\6467.tmp"
    3⤵
    PID:5108
- C:\Users\Admin\AppData\Local\Temp\84D0.tmp
  "C:\Users\Admin\AppData\Local\Temp\84D0.tmp"
  2⤵
  PID:4748
- - C:\Users\Admin\AppData\Local\Temp\7A60.tmp
    "C:\Users\Admin\AppData\Local\Temp\7A60.tmp"
    3⤵
    PID:1464

C:\Users\Admin\AppData\Local\Temp\90C6.tmp
"C:\Users\Admin\AppData\Local\Temp\90C6.tmp"
1⤵
- Executes dropped EXE
PID:2396
- C:\Users\Admin\AppData\Local\Temp\9114.tmp
  "C:\Users\Admin\AppData\Local\Temp\9114.tmp"
  2⤵
  PID:2012
- - C:\Users\Admin\AppData\Local\Temp\9163.tmp
    "C:\Users\Admin\AppData\Local\Temp\9163.tmp"
    3⤵
    PID:3096
  - - C:\Users\Admin\AppData\Local\Temp\91B1.tmp
      "C:\Users\Admin\AppData\Local\Temp\91B1.tmp"
      4⤵
      PID:2288
  - - C:\Users\Admin\AppData\Local\Temp\9E82.tmp
      "C:\Users\Admin\AppData\Local\Temp\9E82.tmp"
      4⤵
      PID:1776
    - - C:\Users\Admin\AppData\Local\Temp\9ED0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9ED0.tmp"
        5⤵
        
        PID:1088
      - C:\Users\Admin\AppData\Local\Temp\9F1E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9F1E.tmp"
        6⤵
        
        PID:4160
        
        C:\Users\Admin\AppData\Local\Temp\9FDA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FDA.tmp"
        7⤵
        
        PID:4024
        
        C:\Users\Admin\AppData\Local\Temp\A028.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A028.tmp"
        8⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\A076.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A076.tmp"
        9⤵
        
        PID:1804
        
        C:\Users\Admin\AppData\Local\Temp\A0F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A0F3.tmp"
        10⤵
        
        PID:4824
        
        C:\Users\Admin\AppData\Local\Temp\A160.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A160.tmp"
        11⤵
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\A1AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A1AE.tmp"
        12⤵
        
        PID:228
        
        C:\Users\Admin\AppData\Local\Temp\1A0B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A0B.tmp"
        12⤵
        
        PID:892
        
        C:\Users\Admin\AppData\Local\Temp\8A78.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A78.tmp"
        11⤵
        
        PID:2428
        
        C:\Users\Admin\AppData\Local\Temp\8AC6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8AC6.tmp"
        12⤵
        
        PID:3944
        
        C:\Users\Admin\AppData\Local\Temp\8B14.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B14.tmp"
        13⤵
        
        PID:3172

C:\Users\Admin\AppData\Local\Temp\91FF.tmp
"C:\Users\Admin\AppData\Local\Temp\91FF.tmp"
1⤵
- Executes dropped EXE
PID:4404
- C:\Users\Admin\AppData\Local\Temp\924D.tmp
  "C:\Users\Admin\AppData\Local\Temp\924D.tmp"
  2⤵
  PID:4956
- - C:\Users\Admin\AppData\Local\Temp\929B.tmp
    "C:\Users\Admin\AppData\Local\Temp\929B.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:2920
  - - C:\Users\Admin\AppData\Local\Temp\92E9.tmp
      "C:\Users\Admin\AppData\Local\Temp\92E9.tmp"
      4⤵
      PID:1084
    - - C:\Users\Admin\AppData\Local\Temp\9337.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9337.tmp"
        5⤵
        
        PID:3216
      - C:\Users\Admin\AppData\Local\Temp\9385.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9385.tmp"
        6⤵
        
        PID:4408
        
        C:\Users\Admin\AppData\Local\Temp\93D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\93D4.tmp"
        7⤵
        
        PID:5060
        
        C:\Users\Admin\AppData\Local\Temp\8889.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8889.tmp"
        8⤵
        
        PID:2428
      - C:\Users\Admin\AppData\Local\Temp\E501.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E501.tmp"
        6⤵
        
        PID:2920
        
        C:\Users\Admin\AppData\Local\Temp\E54F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E54F.tmp"
        7⤵
        
        PID:4440
        
        C:\Users\Admin\AppData\Local\Temp\E59D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E59D.tmp"
        8⤵
        
        PID:3704
        
        C:\Users\Admin\AppData\Local\Temp\E5EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5EB.tmp"
        9⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\E649.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E649.tmp"
        10⤵
        
        PID:4340
        
        C:\Users\Admin\AppData\Local\Temp\344A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\344A.tmp"
        10⤵
        
        PID:696
        
        C:\Users\Admin\AppData\Local\Temp\3498.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3498.tmp"
        11⤵
        
        PID:1220
        
        C:\Users\Admin\AppData\Local\Temp\34E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\34E6.tmp"
        12⤵
        
        PID:5064
        
        C:\Users\Admin\AppData\Local\Temp\5D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D7.tmp"
        8⤵
        
        PID:1596
        
        C:\Users\Admin\AppData\Local\Temp\625.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\625.tmp"
        9⤵
        
        PID:3060
        
        C:\Users\Admin\AppData\Local\Temp\673.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\673.tmp"
        10⤵
        
        PID:3304
        
        C:\Users\Admin\AppData\Local\Temp\6D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D1.tmp"
        11⤵
        
        PID:1624
        
        C:\Users\Admin\AppData\Local\Temp\71F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71F.tmp"
        12⤵
        
        PID:3944

C:\Users\Admin\AppData\Local\Temp\950C.tmp
"C:\Users\Admin\AppData\Local\Temp\950C.tmp"
1⤵
PID:5100
- C:\Users\Admin\AppData\Local\Temp\955A.tmp
  "C:\Users\Admin\AppData\Local\Temp\955A.tmp"
  2⤵
  PID:4296
- - C:\Users\Admin\AppData\Local\Temp\95A8.tmp
    "C:\Users\Admin\AppData\Local\Temp\95A8.tmp"
    3⤵
    PID:464
  - - C:\Users\Admin\AppData\Local\Temp\95F6.tmp
      "C:\Users\Admin\AppData\Local\Temp\95F6.tmp"
      4⤵
      PID:3732
    - - C:\Users\Admin\AppData\Local\Temp\7FEE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FEE.tmp"
        5⤵
        
        PID:1280
- - C:\Users\Admin\AppData\Local\Temp\4E7E.tmp
    "C:\Users\Admin\AppData\Local\Temp\4E7E.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:3280

C:\Users\Admin\AppData\Local\Temp\977D.tmp
"C:\Users\Admin\AppData\Local\Temp\977D.tmp"
1⤵
PID:1412
- C:\Users\Admin\AppData\Local\Temp\97CB.tmp
  "C:\Users\Admin\AppData\Local\Temp\97CB.tmp"
  2⤵
  PID:3956
- - C:\Users\Admin\AppData\Local\Temp\9819.tmp
    "C:\Users\Admin\AppData\Local\Temp\9819.tmp"
    3⤵
    PID:2212
  - - C:\Users\Admin\AppData\Local\Temp\9867.tmp
      "C:\Users\Admin\AppData\Local\Temp\9867.tmp"
      4⤵
      PID:4480
    - - C:\Users\Admin\AppData\Local\Temp\8C32.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C32.tmp"
        5⤵
        
        PID:1476
      - C:\Users\Admin\AppData\Local\Temp\6D02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D02.tmp"
        6⤵
        
        PID:4128
    - - C:\Users\Admin\AppData\Local\Temp\98B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\98B6.tmp"
        5⤵
        
        PID:4872
      - C:\Users\Admin\AppData\Local\Temp\9904.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9904.tmp"
        6⤵
        
        PID:2476
        
        C:\Users\Admin\AppData\Local\Temp\9952.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9952.tmp"
        7⤵
        
        PID:4364
        
        C:\Users\Admin\AppData\Local\Temp\99A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\99A0.tmp"
        8⤵
        
        PID:332
        
        C:\Users\Admin\AppData\Local\Temp\99EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\99EE.tmp"
        9⤵
        
        PID:2268
        
        C:\Users\Admin\AppData\Local\Temp\9A3C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9A3C.tmp"
        10⤵
        
        PID:1408
        
        C:\Users\Admin\AppData\Local\Temp\9A8A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9A8A.tmp"
        11⤵
        Executes dropped EXE
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\9AD8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9AD8.tmp"
        12⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\9B27.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9B27.tmp"
        13⤵
        
        PID:4592
  - - C:\Users\Admin\AppData\Local\Temp\7FA.tmp
      "C:\Users\Admin\AppData\Local\Temp\7FA.tmp"
      4⤵
      PID:3532
    - - C:\Users\Admin\AppData\Local\Temp\848.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\848.tmp"
        5⤵
        
        PID:3528
      - C:\Users\Admin\AppData\Local\Temp\896.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\896.tmp"
        6⤵
        
        PID:568
      - C:\Users\Admin\AppData\Local\Temp\335F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\335F.tmp"
        6⤵
        
        PID:3532
        
        C:\Users\Admin\AppData\Local\Temp\33AD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\33AD.tmp"
        7⤵
        
        PID:1048
        
        C:\Users\Admin\AppData\Local\Temp\33FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\33FC.tmp"
        8⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\F405.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F405.tmp"
        8⤵
        
        PID:2320

C:\Users\Admin\AppData\Local\Temp\803C.tmp
"C:\Users\Admin\AppData\Local\Temp\803C.tmp"
1⤵
- Executes dropped EXE
PID:5088

C:\Users\Admin\AppData\Local\Temp\9B75.tmp
"C:\Users\Admin\AppData\Local\Temp\9B75.tmp"
1⤵
PID:4668
- C:\Users\Admin\AppData\Local\Temp\9BC3.tmp
  "C:\Users\Admin\AppData\Local\Temp\9BC3.tmp"
  2⤵
  PID:4932
- - C:\Users\Admin\AppData\Local\Temp\BA09.tmp
    "C:\Users\Admin\AppData\Local\Temp\BA09.tmp"
    3⤵
    PID:3468
  - - C:\Users\Admin\AppData\Local\Temp\BA47.tmp
      "C:\Users\Admin\AppData\Local\Temp\BA47.tmp"
      4⤵
      PID:5044

C:\Users\Admin\AppData\Local\Temp\9C11.tmp
"C:\Users\Admin\AppData\Local\Temp\9C11.tmp"
1⤵
PID:3468
- C:\Users\Admin\AppData\Local\Temp\9C5F.tmp
  "C:\Users\Admin\AppData\Local\Temp\9C5F.tmp"
  2⤵
  PID:3520
- - C:\Users\Admin\AppData\Local\Temp\9CAD.tmp
    "C:\Users\Admin\AppData\Local\Temp\9CAD.tmp"
    3⤵
    PID:4012
  - - C:\Users\Admin\AppData\Local\Temp\9CFB.tmp
      "C:\Users\Admin\AppData\Local\Temp\9CFB.tmp"
      4⤵
      PID:2308
    - - C:\Users\Admin\AppData\Local\Temp\9D49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D49.tmp"
        5⤵
        
        PID:892
      - C:\Users\Admin\AppData\Local\Temp\9D98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D98.tmp"
        6⤵
        
        PID:3324
      - C:\Users\Admin\AppData\Local\Temp\D59F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D59F.tmp"
        6⤵
        
        PID:3324
        
        C:\Users\Admin\AppData\Local\Temp\D5ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D5ED.tmp"
        7⤵
        
        PID:4328
        
        C:\Users\Admin\AppData\Local\Temp\D63C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D63C.tmp"
        8⤵
        
        PID:2528
        
        C:\Users\Admin\AppData\Local\Temp\D68A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D68A.tmp"
        9⤵
        
        PID:3852
        
        C:\Users\Admin\AppData\Local\Temp\D6F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6F7.tmp"
        10⤵
        
        PID:4880
        
        C:\Users\Admin\AppData\Local\Temp\D774.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D774.tmp"
        11⤵
        
        PID:4796
        
        C:\Users\Admin\AppData\Local\Temp\D830.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D830.tmp"
        12⤵
        
        PID:1676
        
        C:\Users\Admin\AppData\Local\Temp\D8CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D8CC.tmp"
        13⤵
        
        PID:228
        
        C:\Users\Admin\AppData\Local\Temp\D91A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D91A.tmp"
        14⤵
        
        PID:2288
        
        C:\Users\Admin\AppData\Local\Temp\D968.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D968.tmp"
        15⤵
        
        PID:880
        
        C:\Users\Admin\AppData\Local\Temp\DA04.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA04.tmp"
        16⤵
        
        PID:872

C:\Users\Admin\AppData\Local\Temp\9DE6.tmp
"C:\Users\Admin\AppData\Local\Temp\9DE6.tmp"
1⤵
PID:2204
- C:\Users\Admin\AppData\Local\Temp\9E34.tmp
  "C:\Users\Admin\AppData\Local\Temp\9E34.tmp"
  2⤵
  PID:3096
- - C:\Users\Admin\AppData\Local\Temp\FA6D.tmp
    "C:\Users\Admin\AppData\Local\Temp\FA6D.tmp"
    3⤵
    PID:4576
  - - C:\Users\Admin\AppData\Local\Temp\FABB.tmp
      "C:\Users\Admin\AppData\Local\Temp\FABB.tmp"
      4⤵
      PID:4796
    - - C:\Users\Admin\AppData\Local\Temp\FB09.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB09.tmp"
        5⤵
        
        PID:3284
      - C:\Users\Admin\AppData\Local\Temp\FB58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB58.tmp"
        6⤵
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\FBA6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FBA6.tmp"
        7⤵
        
        PID:4144
        
        C:\Users\Admin\AppData\Local\Temp\3BAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3BAC.tmp"
        7⤵
        
        PID:892
        
        C:\Users\Admin\AppData\Local\Temp\3BFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3BFA.tmp"
        8⤵
        
        PID:2428
        
        C:\Users\Admin\AppData\Local\Temp\3C49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C49.tmp"
        9⤵
        
        PID:4144
        
        C:\Users\Admin\AppData\Local\Temp\1A59.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A59.tmp"
        8⤵
        
        PID:5100

C:\Users\Admin\AppData\Local\Temp\561F.tmp
"C:\Users\Admin\AppData\Local\Temp\561F.tmp"
1⤵
- Executes dropped EXE
PID:3240

C:\Users\Admin\AppData\Local\Temp\536F.tmp
"C:\Users\Admin\AppData\Local\Temp\536F.tmp"
1⤵
- Executes dropped EXE
PID:1768

C:\Users\Admin\AppData\Local\Temp\5321.tmp
"C:\Users\Admin\AppData\Local\Temp\5321.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1644

C:\Users\Admin\AppData\Local\Temp\518B.tmp
"C:\Users\Admin\AppData\Local\Temp\518B.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3932

C:\Users\Admin\AppData\Local\Temp\4FD5.tmp
"C:\Users\Admin\AppData\Local\Temp\4FD5.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4860

C:\Users\Admin\AppData\Local\Temp\4F87.tmp
"C:\Users\Admin\AppData\Local\Temp\4F87.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2180

C:\Users\Admin\AppData\Local\Temp\A8D3.tmp
"C:\Users\Admin\AppData\Local\Temp\A8D3.tmp"
1⤵
PID:4128
- C:\Users\Admin\AppData\Local\Temp\A921.tmp
  "C:\Users\Admin\AppData\Local\Temp\A921.tmp"
  2⤵
  PID:1000
- - C:\Users\Admin\AppData\Local\Temp\A98E.tmp
    "C:\Users\Admin\AppData\Local\Temp\A98E.tmp"
    3⤵
    PID:2908
  - - C:\Users\Admin\AppData\Local\Temp\A9EC.tmp
      "C:\Users\Admin\AppData\Local\Temp\A9EC.tmp"
      4⤵
      PID:4988
    - - C:\Users\Admin\AppData\Local\Temp\AA78.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA78.tmp"
        5⤵
        
        PID:4816
      - C:\Users\Admin\AppData\Local\Temp\AAF5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AAF5.tmp"
        6⤵
        
        PID:4204
        
        C:\Users\Admin\AppData\Local\Temp\AB72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB72.tmp"
        7⤵
        
        PID:4840
        
        C:\Users\Admin\AppData\Local\Temp\ABE0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABE0.tmp"
        8⤵
        
        PID:2000
      - C:\Users\Admin\AppData\Local\Temp\1F3B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F3B.tmp"
        6⤵
        
        PID:748
        
        C:\Users\Admin\AppData\Local\Temp\1F89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F89.tmp"
        7⤵
        
        PID:5000
        
        C:\Users\Admin\AppData\Local\Temp\1FD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FD7.tmp"
        8⤵
        
        PID:1992
- - C:\Users\Admin\AppData\Local\Temp\E06D.tmp
    "C:\Users\Admin\AppData\Local\Temp\E06D.tmp"
    3⤵
    PID:1044
  - - C:\Users\Admin\AppData\Local\Temp\E0BB.tmp
      "C:\Users\Admin\AppData\Local\Temp\E0BB.tmp"
      4⤵
      PID:1408
    - - C:\Users\Admin\AppData\Local\Temp\E109.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E109.tmp"
        5⤵
        
        PID:1552
      - C:\Users\Admin\AppData\Local\Temp\E157.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E157.tmp"
        6⤵
        
        PID:4204
        
        C:\Users\Admin\AppData\Local\Temp\E1A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1A5.tmp"
        7⤵
        
        PID:3232
        
        C:\Users\Admin\AppData\Local\Temp\E1F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1F4.tmp"
        8⤵
        
        PID:4840

C:\Users\Admin\AppData\Local\Temp\AC2E.tmp
"C:\Users\Admin\AppData\Local\Temp\AC2E.tmp"
1⤵
PID:904
- C:\Users\Admin\AppData\Local\Temp\AC7C.tmp
  "C:\Users\Admin\AppData\Local\Temp\AC7C.tmp"
  2⤵
  PID:3940
- - C:\Users\Admin\AppData\Local\Temp\ACCA.tmp
    "C:\Users\Admin\AppData\Local\Temp\ACCA.tmp"
    3⤵
    PID:3412
  - - C:\Users\Admin\AppData\Local\Temp\AD18.tmp
      "C:\Users\Admin\AppData\Local\Temp\AD18.tmp"
      4⤵
      PID:4612
    - - C:\Users\Admin\AppData\Local\Temp\AD66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD66.tmp"
        5⤵
        
        PID:4124
  - - C:\Users\Admin\AppData\Local\Temp\E2DE.tmp
      "C:\Users\Admin\AppData\Local\Temp\E2DE.tmp"
      4⤵
      PID:2456
    - - C:\Users\Admin\AppData\Local\Temp\E32C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E32C.tmp"
        5⤵
        
        PID:2240
      - C:\Users\Admin\AppData\Local\Temp\E37A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E37A.tmp"
        6⤵
        
        PID:4108
        
        C:\Users\Admin\AppData\Local\Temp\3A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A5.tmp"
        7⤵
        
        PID:5076
        
        C:\Users\Admin\AppData\Local\Temp\402.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\402.tmp"
        8⤵
        
        PID:2204
        
        C:\Users\Admin\AppData\Local\Temp\450.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\450.tmp"
        9⤵
        
        PID:892
        
        C:\Users\Admin\AppData\Local\Temp\49F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49F.tmp"
        10⤵
        
        PID:4264
        
        C:\Users\Admin\AppData\Local\Temp\4ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4ED.tmp"
        11⤵
        
        PID:4796
        
        C:\Users\Admin\AppData\Local\Temp\53B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53B.tmp"
        12⤵
        
        PID:3308
        
        C:\Users\Admin\AppData\Local\Temp\589.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\589.tmp"
        13⤵
        
        PID:4440

C:\Users\Admin\AppData\Local\Temp\AF1C.tmp
"C:\Users\Admin\AppData\Local\Temp\AF1C.tmp"
1⤵
PID:4048
- C:\Users\Admin\AppData\Local\Temp\AF6A.tmp
  "C:\Users\Admin\AppData\Local\Temp\AF6A.tmp"
  2⤵
  PID:4292
- - C:\Users\Admin\AppData\Local\Temp\AFB8.tmp
    "C:\Users\Admin\AppData\Local\Temp\AFB8.tmp"
    3⤵
    PID:1088
  - - C:\Users\Admin\AppData\Local\Temp\B006.tmp
      "C:\Users\Admin\AppData\Local\Temp\B006.tmp"
      4⤵
      PID:4576
    - - C:\Users\Admin\AppData\Local\Temp\B054.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B054.tmp"
        5⤵
        
        PID:2920
      - C:\Users\Admin\AppData\Local\Temp\B0B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B0B2.tmp"
        6⤵
        
        PID:1084
- - C:\Users\Admin\AppData\Local\Temp\244C.tmp
    "C:\Users\Admin\AppData\Local\Temp\244C.tmp"
    3⤵
    PID:3520
  - - C:\Users\Admin\AppData\Local\Temp\249A.tmp
      "C:\Users\Admin\AppData\Local\Temp\249A.tmp"
      4⤵
      PID:3308
    - - C:\Users\Admin\AppData\Local\Temp\24E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24E8.tmp"
        5⤵
        
        PID:3704
      - C:\Users\Admin\AppData\Local\Temp\2536.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2536.tmp"
        6⤵
        
        PID:3256
        
        C:\Users\Admin\AppData\Local\Temp\2584.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2584.tmp"
        7⤵
        
        PID:2484
        
        C:\Users\Admin\AppData\Local\Temp\25D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\25D3.tmp"
        8⤵
        
        PID:1592
      - C:\Users\Admin\AppData\Local\Temp\42B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42B1.tmp"
        6⤵
        
        PID:532
        
        C:\Users\Admin\AppData\Local\Temp\42FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42FF.tmp"
        7⤵
        
        PID:5068
        
        C:\Users\Admin\AppData\Local\Temp\434D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\434D.tmp"
        8⤵
        
        PID:4944

C:\Users\Admin\AppData\Local\Temp\B287.tmp
"C:\Users\Admin\AppData\Local\Temp\B287.tmp"
1⤵
PID:4040
- C:\Users\Admin\AppData\Local\Temp\B2D5.tmp
  "C:\Users\Admin\AppData\Local\Temp\B2D5.tmp"
  2⤵
  PID:2384
- - C:\Users\Admin\AppData\Local\Temp\B323.tmp
    "C:\Users\Admin\AppData\Local\Temp\B323.tmp"
    3⤵
    PID:4260

C:\Users\Admin\AppData\Local\Temp\BA95.tmp
"C:\Users\Admin\AppData\Local\Temp\BA95.tmp"
1⤵
PID:2308
- C:\Users\Admin\AppData\Local\Temp\BAE4.tmp
  "C:\Users\Admin\AppData\Local\Temp\BAE4.tmp"
  2⤵
  PID:3320
- - C:\Users\Admin\AppData\Local\Temp\BB32.tmp
    "C:\Users\Admin\AppData\Local\Temp\BB32.tmp"
    3⤵
    PID:5028
  - - C:\Users\Admin\AppData\Local\Temp\BB9F.tmp
      "C:\Users\Admin\AppData\Local\Temp\BB9F.tmp"
      4⤵
      PID:4328
    - - C:\Users\Admin\AppData\Local\Temp\BC1C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC1C.tmp"
        5⤵
        
        PID:4844
      - C:\Users\Admin\AppData\Local\Temp\BC6A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC6A.tmp"
        6⤵
        
        PID:3200
  - - C:\Users\Admin\AppData\Local\Temp\E465.tmp
      "C:\Users\Admin\AppData\Local\Temp\E465.tmp"
      4⤵
      PID:996
    - - C:\Users\Admin\AppData\Local\Temp\E4B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E4B3.tmp"
        5⤵
        
        PID:3216
- - C:\Users\Admin\AppData\Local\Temp\FE17.tmp
    "C:\Users\Admin\AppData\Local\Temp\FE17.tmp"
    3⤵
    PID:4616
  - - C:\Users\Admin\AppData\Local\Temp\FE65.tmp
      "C:\Users\Admin\AppData\Local\Temp\FE65.tmp"
      4⤵
      PID:4552
    - - C:\Users\Admin\AppData\Local\Temp\FEB3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEB3.tmp"
        5⤵
        
        PID:2320
    - - C:\Users\Admin\AppData\Local\Temp\1CCA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1CCA.tmp"
        5⤵
        
        PID:3988
      - C:\Users\Admin\AppData\Local\Temp\1D18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D18.tmp"
        6⤵
        
        PID:696
        
        C:\Users\Admin\AppData\Local\Temp\1D66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D66.tmp"
        7⤵
        
        PID:3460
        
        C:\Users\Admin\AppData\Local\Temp\1DB4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DB4.tmp"
        8⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\1E03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E03.tmp"
        9⤵
        
        PID:3260
        
        C:\Users\Admin\AppData\Local\Temp\1E51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E51.tmp"
        10⤵
        
        PID:2500
    - - C:\Users\Admin\AppData\Local\Temp\2844.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2844.tmp"
        5⤵
        
        PID:3988
      - C:\Users\Admin\AppData\Local\Temp\2892.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2892.tmp"
        6⤵
        
        PID:696
        
        C:\Users\Admin\AppData\Local\Temp\28E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28E0.tmp"
        7⤵
        
        PID:872
        
        C:\Users\Admin\AppData\Local\Temp\1095.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1095.tmp"
        8⤵
        
        PID:2480

C:\Users\Admin\AppData\Local\Temp\BCB8.tmp
"C:\Users\Admin\AppData\Local\Temp\BCB8.tmp"
1⤵
PID:2888
- C:\Users\Admin\AppData\Local\Temp\BD06.tmp
  "C:\Users\Admin\AppData\Local\Temp\BD06.tmp"
  2⤵
  PID:4156
- - C:\Users\Admin\AppData\Local\Temp\BD55.tmp
    "C:\Users\Admin\AppData\Local\Temp\BD55.tmp"
    3⤵
    PID:1584
  - - C:\Users\Admin\AppData\Local\Temp\BDA3.tmp
      "C:\Users\Admin\AppData\Local\Temp\BDA3.tmp"
      4⤵
      PID:1804
    - - C:\Users\Admin\AppData\Local\Temp\BDF1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BDF1.tmp"
        5⤵
        
        PID:3308
      - C:\Users\Admin\AppData\Local\Temp\BE3F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE3F.tmp"
        6⤵
        
        PID:4440
        
        C:\Users\Admin\AppData\Local\Temp\BE8D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE8D.tmp"
        7⤵
        
        PID:4136
    - - C:\Users\Admin\AppData\Local\Temp\5649.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5649.tmp"
        5⤵
        
        PID:3532
      - C:\Users\Admin\AppData\Local\Temp\5697.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5697.tmp"
        6⤵
        
        PID:4384
        
        C:\Users\Admin\AppData\Local\Temp\56E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56E5.tmp"
        7⤵
        
        PID:3604
        
        C:\Users\Admin\AppData\Local\Temp\5733.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5733.tmp"
        8⤵
        
        PID:4000
        
        C:\Users\Admin\AppData\Local\Temp\5781.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5781.tmp"
        9⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\57DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57DF.tmp"
        10⤵
        
        PID:5064
        
        C:\Users\Admin\AppData\Local\Temp\582D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\582D.tmp"
        11⤵
        
        PID:3700
        
        C:\Users\Admin\AppData\Local\Temp\E956.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E956.tmp"
        9⤵
        
        PID:4568

C:\Users\Admin\AppData\Local\Temp\BEDB.tmp
"C:\Users\Admin\AppData\Local\Temp\BEDB.tmp"
1⤵
PID:872
- C:\Users\Admin\AppData\Local\Temp\BF29.tmp
  "C:\Users\Admin\AppData\Local\Temp\BF29.tmp"
  2⤵
  PID:3168
- - C:\Users\Admin\AppData\Local\Temp\BF77.tmp
    "C:\Users\Admin\AppData\Local\Temp\BF77.tmp"
    3⤵
    PID:3848
- C:\Users\Admin\AppData\Local\Temp\DA62.tmp
  "C:\Users\Admin\AppData\Local\Temp\DA62.tmp"
  2⤵
  PID:820
- - C:\Users\Admin\AppData\Local\Temp\DAB0.tmp
    "C:\Users\Admin\AppData\Local\Temp\DAB0.tmp"
    3⤵
    PID:2484
  - - C:\Users\Admin\AppData\Local\Temp\DAFE.tmp
      "C:\Users\Admin\AppData\Local\Temp\DAFE.tmp"
      4⤵
      PID:1280
    - - C:\Users\Admin\AppData\Local\Temp\DB5C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB5C.tmp"
        5⤵
        
        PID:1440
      - C:\Users\Admin\AppData\Local\Temp\DBE9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DBE9.tmp"
        6⤵
        
        PID:1644
        
        C:\Users\Admin\AppData\Local\Temp\DC85.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC85.tmp"
        7⤵
        
        PID:2836
        
        C:\Users\Admin\AppData\Local\Temp\DCF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DCF2.tmp"
        8⤵
        
        PID:1152
        
        C:\Users\Admin\AppData\Local\Temp\DD40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD40.tmp"
        9⤵
        
        PID:4916

C:\Users\Admin\AppData\Local\Temp\C014.tmp
"C:\Users\Admin\AppData\Local\Temp\C014.tmp"
1⤵
PID:4296
- C:\Users\Admin\AppData\Local\Temp\C062.tmp
  "C:\Users\Admin\AppData\Local\Temp\C062.tmp"
  2⤵
  PID:716
- - C:\Users\Admin\AppData\Local\Temp\C0B0.tmp
    "C:\Users\Admin\AppData\Local\Temp\C0B0.tmp"
    3⤵
    PID:2772
  - - C:\Users\Admin\AppData\Local\Temp\C0FE.tmp
      "C:\Users\Admin\AppData\Local\Temp\C0FE.tmp"
      4⤵
      PID:3652
    - - C:\Users\Admin\AppData\Local\Temp\C14C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C14C.tmp"
        5⤵
        
        PID:3452
      - C:\Users\Admin\AppData\Local\Temp\C19A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C19A.tmp"
        6⤵
        
        PID:3328
        
        C:\Users\Admin\AppData\Local\Temp\C1E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C1E8.tmp"
        7⤵
        
        PID:4000
        
        C:\Users\Admin\AppData\Local\Temp\2E10.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E10.tmp"
        7⤵
        
        PID:5028
        
        C:\Users\Admin\AppData\Local\Temp\2E5E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E5E.tmp"
        8⤵
        
        PID:4108
        
        C:\Users\Admin\AppData\Local\Temp\2EBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2EBC.tmp"
        9⤵
        
        PID:4984
        
        C:\Users\Admin\AppData\Local\Temp\2F0A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F0A.tmp"
        10⤵
        
        PID:1584
        
        C:\Users\Admin\AppData\Local\Temp\2F58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F58.tmp"
        11⤵
        
        PID:4796
        
        C:\Users\Admin\AppData\Local\Temp\2FB6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2FB6.tmp"
        12⤵
        
        PID:4932
        
        C:\Users\Admin\AppData\Local\Temp\3004.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3004.tmp"
        13⤵
        
        PID:4328
        
        C:\Users\Admin\AppData\Local\Temp\86EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\86EE.tmp"
        10⤵
        
        PID:3484
        
        C:\Users\Admin\AppData\Local\Temp\873C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\873C.tmp"
        11⤵
        
        PID:3096
        
        C:\Users\Admin\AppData\Local\Temp\879A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\879A.tmp"
        12⤵
        
        PID:4568
        
        C:\Users\Admin\AppData\Local\Temp\8807.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8807.tmp"
        13⤵
        
        PID:2000
        
        C:\Users\Admin\AppData\Local\Temp\8855.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8855.tmp"
        14⤵
        
        PID:3088
        
        C:\Users\Admin\AppData\Local\Temp\E3C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E3C8.tmp"
        9⤵
        
        PID:8
      - C:\Users\Admin\AppData\Local\Temp\3CE5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CE5.tmp"
        6⤵
        
        PID:2576
        
        C:\Users\Admin\AppData\Local\Temp\3D33.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D33.tmp"
        7⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\3D81.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D81.tmp"
        8⤵
        
        PID:4156
        
        C:\Users\Admin\AppData\Local\Temp\3DCF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3DCF.tmp"
        9⤵
        
        PID:3956
        
        C:\Users\Admin\AppData\Local\Temp\3E1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E1D.tmp"
        10⤵
        
        PID:3184
        
        C:\Users\Admin\AppData\Local\Temp\3E6B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E6B.tmp"
        11⤵
        
        PID:3736
        
        C:\Users\Admin\AppData\Local\Temp\3EBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3EBA.tmp"
        12⤵
        
        PID:1880
        
        C:\Users\Admin\AppData\Local\Temp\6E07.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E07.tmp"
        13⤵
        
        PID:2236
        
        C:\Users\Admin\AppData\Local\Temp\6E65.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E65.tmp"
        14⤵
        
        PID:4048
        
        C:\Users\Admin\AppData\Local\Temp\6F20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F20.tmp"
        15⤵
        
        PID:4268
        
        C:\Users\Admin\AppData\Local\Temp\6F9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F9D.tmp"
        16⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\6FEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6FEB.tmp"
        17⤵
        
        PID:3372
        
        C:\Users\Admin\AppData\Local\Temp\7059.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7059.tmp"
        18⤵
        
        PID:4516
        
        C:\Users\Admin\AppData\Local\Temp\70C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\70C6.tmp"
        19⤵
        
        PID:4608
        
        C:\Users\Admin\AppData\Local\Temp\7114.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7114.tmp"
        20⤵
        
        PID:820
        
        C:\Users\Admin\AppData\Local\Temp\54B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54B3.tmp"
        7⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\5501.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5501.tmp"
        8⤵
        
        PID:4156
        
        C:\Users\Admin\AppData\Local\Temp\554F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\554F.tmp"
        9⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\55AD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55AD.tmp"
        10⤵
        
        PID:4616
        
        C:\Users\Admin\AppData\Local\Temp\55FB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55FB.tmp"
        11⤵
        
        PID:1804
        
        C:\Users\Admin\AppData\Local\Temp\627E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\627E.tmp"
        11⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\62CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\62CC.tmp"
        12⤵
        
        PID:664
        
        C:\Users\Admin\AppData\Local\Temp\631A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\631A.tmp"
        13⤵
        
        PID:5108
        
        C:\Users\Admin\AppData\Local\Temp\6368.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6368.tmp"
        14⤵
        
        PID:1000
        
        C:\Users\Admin\AppData\Local\Temp\63B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\63B6.tmp"
        15⤵
        
        PID:4608
        
        C:\Users\Admin\AppData\Local\Temp\F4EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4EF.tmp"
        13⤵
        
        PID:3748

C:\Users\Admin\AppData\Local\Temp\C8ED.tmp
"C:\Users\Admin\AppData\Local\Temp\C8ED.tmp"
1⤵
PID:1088
- C:\Users\Admin\AppData\Local\Temp\C93B.tmp
  "C:\Users\Admin\AppData\Local\Temp\C93B.tmp"
  2⤵
  PID:4576
- - C:\Users\Admin\AppData\Local\Temp\C98A.tmp
    "C:\Users\Admin\AppData\Local\Temp\C98A.tmp"
    3⤵
    PID:2920
  - - C:\Users\Admin\AppData\Local\Temp\C9D8.tmp
      "C:\Users\Admin\AppData\Local\Temp\C9D8.tmp"
      4⤵
      PID:1084
    - - C:\Users\Admin\AppData\Local\Temp\CA26.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA26.tmp"
        5⤵
        
        PID:3040
      - C:\Users\Admin\AppData\Local\Temp\EFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFF.tmp"
        6⤵
        
        PID:4932
        
        C:\Users\Admin\AppData\Local\Temp\F5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5D.tmp"
        7⤵
        
        PID:4328
        
        C:\Users\Admin\AppData\Local\Temp\FAB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FAB.tmp"
        8⤵
        
        PID:5100
        
        C:\Users\Admin\AppData\Local\Temp\FF9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF9.tmp"
        9⤵
        
        PID:1596
        
        C:\Users\Admin\AppData\Local\Temp\1047.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1047.tmp"
        10⤵
        
        PID:872
        
        C:\Users\Admin\AppData\Local\Temp\292E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\292E.tmp"
        11⤵
        
        PID:3524
        
        C:\Users\Admin\AppData\Local\Temp\297C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\297C.tmp"
        12⤵
        
        PID:1000
        
        C:\Users\Admin\AppData\Local\Temp\1AA7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AA7.tmp"
        9⤵
        
        PID:1596
        
        C:\Users\Admin\AppData\Local\Temp\1AF5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AF5.tmp"
        10⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\1B43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B43.tmp"
        11⤵
        
        PID:2836
        
        C:\Users\Admin\AppData\Local\Temp\1B92.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B92.tmp"
        12⤵
        
        PID:4312
        
        C:\Users\Admin\AppData\Local\Temp\1BE0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1BE0.tmp"
        13⤵
        
        PID:4504
        
        C:\Users\Admin\AppData\Local\Temp\1C2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C2E.tmp"
        14⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\2759.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2759.tmp"
        13⤵
        
        PID:4504
        
        C:\Users\Admin\AppData\Local\Temp\27A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27A7.tmp"
        14⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\27F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27F5.tmp"
        15⤵
        
        PID:4552

C:\Users\Admin\AppData\Local\Temp\CB10.tmp
"C:\Users\Admin\AppData\Local\Temp\CB10.tmp"
1⤵
PID:3088
- C:\Users\Admin\AppData\Local\Temp\CB5E.tmp
  "C:\Users\Admin\AppData\Local\Temp\CB5E.tmp"
  2⤵
  PID:4264
- - C:\Users\Admin\AppData\Local\Temp\CBAC.tmp
    "C:\Users\Admin\AppData\Local\Temp\CBAC.tmp"
    3⤵
    PID:2592
  - - C:\Users\Admin\AppData\Local\Temp\CBFB.tmp
      "C:\Users\Admin\AppData\Local\Temp\CBFB.tmp"
      4⤵
      PID:4280
  - - C:\Users\Admin\AppData\Local\Temp\F230.tmp
      "C:\Users\Admin\AppData\Local\Temp\F230.tmp"
      4⤵
      PID:1988
    - - C:\Users\Admin\AppData\Local\Temp\F27E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F27E.tmp"
        5⤵
        
        PID:4684
      - C:\Users\Admin\AppData\Local\Temp\11CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\11CE.tmp"
        6⤵
        
        PID:2772
        
        C:\Users\Admin\AppData\Local\Temp\121C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\121C.tmp"
        7⤵
        
        PID:3320
        
        C:\Users\Admin\AppData\Local\Temp\126A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\126A.tmp"
        8⤵
        
        PID:3568
        
        C:\Users\Admin\AppData\Local\Temp\12B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12B8.tmp"
        9⤵
        
        PID:4384
        
        C:\Users\Admin\AppData\Local\Temp\12F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12F6.tmp"
        10⤵
        
        PID:3604

C:\Users\Admin\AppData\Local\Temp\CE6C.tmp
"C:\Users\Admin\AppData\Local\Temp\CE6C.tmp"
1⤵
PID:568
- C:\Users\Admin\AppData\Local\Temp\CEBA.tmp
  "C:\Users\Admin\AppData\Local\Temp\CEBA.tmp"
  2⤵
  PID:1880
- - C:\Users\Admin\AppData\Local\Temp\3F08.tmp
    "C:\Users\Admin\AppData\Local\Temp\3F08.tmp"
    3⤵
    PID:1980
  - - C:\Users\Admin\AppData\Local\Temp\3F56.tmp
      "C:\Users\Admin\AppData\Local\Temp\3F56.tmp"
      4⤵
      PID:3460
    - - C:\Users\Admin\AppData\Local\Temp\3FA4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3FA4.tmp"
        5⤵
        
        PID:1996
      - C:\Users\Admin\AppData\Local\Temp\3FF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3FF2.tmp"
        6⤵
        
        PID:716
        
        C:\Users\Admin\AppData\Local\Temp\4040.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4040.tmp"
        7⤵
        
        PID:2352
        
        C:\Users\Admin\AppData\Local\Temp\408E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\408E.tmp"
        8⤵
        
        PID:3372
      - C:\Users\Admin\AppData\Local\Temp\4BD9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BD9.tmp"
        6⤵
        
        PID:716
        
        C:\Users\Admin\AppData\Local\Temp\4C27.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C27.tmp"
        7⤵
        
        PID:3748
        
        C:\Users\Admin\AppData\Local\Temp\4C75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C75.tmp"
        8⤵
        
        PID:3372
        
        C:\Users\Admin\AppData\Local\Temp\4CC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4CC3.tmp"
        9⤵
        
        PID:3964
- C:\Users\Admin\AppData\Local\Temp\8E4.tmp
  "C:\Users\Admin\AppData\Local\Temp\8E4.tmp"
  2⤵
  PID:2320
- - C:\Users\Admin\AppData\Local\Temp\932.tmp
    "C:\Users\Admin\AppData\Local\Temp\932.tmp"
    3⤵
    PID:2500
  - - C:\Users\Admin\AppData\Local\Temp\981.tmp
      "C:\Users\Admin\AppData\Local\Temp\981.tmp"
      4⤵
      PID:4480
    - - C:\Users\Admin\AppData\Local\Temp\9CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9CF.tmp"
        5⤵
        
        PID:3748
      - C:\Users\Admin\AppData\Local\Temp\A1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A1D.tmp"
        6⤵
        
        PID:748
  - - C:\Users\Admin\AppData\Local\Temp\13E1.tmp
      "C:\Users\Admin\AppData\Local\Temp\13E1.tmp"
      4⤵
      PID:4480
    - - C:\Users\Admin\AppData\Local\Temp\142F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\142F.tmp"
        5⤵
        
        PID:5088

C:\Users\Admin\AppData\Local\Temp\CF08.tmp
"C:\Users\Admin\AppData\Local\Temp\CF08.tmp"
1⤵
PID:2236
- C:\Users\Admin\AppData\Local\Temp\CF56.tmp
  "C:\Users\Admin\AppData\Local\Temp\CF56.tmp"
  2⤵
  PID:3736
- - C:\Users\Admin\AppData\Local\Temp\CFA4.tmp
    "C:\Users\Admin\AppData\Local\Temp\CFA4.tmp"
    3⤵
    PID:640
  - - C:\Users\Admin\AppData\Local\Temp\CFF2.tmp
      "C:\Users\Admin\AppData\Local\Temp\CFF2.tmp"
      4⤵
      PID:748
    - - C:\Users\Admin\AppData\Local\Temp\D040.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D040.tmp"
        5⤵
        
        PID:1392
    - - C:\Users\Admin\AppData\Local\Temp\A6B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A6B.tmp"
        5⤵
        
        PID:1392
      - C:\Users\Admin\AppData\Local\Temp\AB9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB9.tmp"
        6⤵
        
        PID:1772
        
        C:\Users\Admin\AppData\Local\Temp\B07.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B07.tmp"
        7⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\B55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B55.tmp"
        8⤵
        
        PID:1916
        
        C:\Users\Admin\AppData\Local\Temp\1652.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1652.tmp"
        9⤵
        
        PID:904
        
        C:\Users\Admin\AppData\Local\Temp\16A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16A0.tmp"
        10⤵
        
        PID:2456
        
        C:\Users\Admin\AppData\Local\Temp\16EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16EE.tmp"
        11⤵
        
        PID:2400
        
        C:\Users\Admin\AppData\Local\Temp\6A1F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A1F.tmp"
        11⤵
        
        PID:2172
        
        C:\Users\Admin\AppData\Local\Temp\6A6D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A6D.tmp"
        12⤵
        
        PID:4136
        
        C:\Users\Admin\AppData\Local\Temp\6ABB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6ABB.tmp"
        13⤵
        
        PID:3140
        
        C:\Users\Admin\AppData\Local\Temp\6B09.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B09.tmp"
        14⤵
        
        PID:4880
        
        C:\Users\Admin\AppData\Local\Temp\6B57.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B57.tmp"
        15⤵
        
        PID:1988
        
        C:\Users\Admin\AppData\Local\Temp\6BA6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BA6.tmp"
        16⤵
        
        PID:1592
        
        C:\Users\Admin\AppData\Local\Temp\6C03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C03.tmp"
        17⤵
        
        PID:4160
        
        C:\Users\Admin\AppData\Local\Temp\6C61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C61.tmp"
        18⤵
        
        PID:4312
        
        C:\Users\Admin\AppData\Local\Temp\4FD1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FD1.tmp"
        10⤵
        
        PID:2240
        
        C:\Users\Admin\AppData\Local\Temp\501F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\501F.tmp"
        11⤵
        
        PID:2400
        
        C:\Users\Admin\AppData\Local\Temp\506D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\506D.tmp"
        12⤵
        
        PID:5044
        
        C:\Users\Admin\AppData\Local\Temp\67FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\67FC.tmp"
        12⤵
        
        PID:4748
        
        C:\Users\Admin\AppData\Local\Temp\684A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\684A.tmp"
        13⤵
        
        PID:2676
        
        C:\Users\Admin\AppData\Local\Temp\6898.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6898.tmp"
        14⤵
        
        PID:4576
        
        C:\Users\Admin\AppData\Local\Temp\68E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68E6.tmp"
        15⤵
        
        PID:996
        
        C:\Users\Admin\AppData\Local\Temp\6935.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6935.tmp"
        16⤵
        
        PID:4328
        
        C:\Users\Admin\AppData\Local\Temp\6983.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6983.tmp"
        17⤵
        
        PID:2968
        
        C:\Users\Admin\AppData\Local\Temp\69D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\69D1.tmp"
        18⤵
        
        PID:2456
        
        C:\Users\Admin\AppData\Local\Temp\3052.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3052.tmp"
        17⤵
        
        PID:4380
        
        C:\Users\Admin\AppData\Local\Temp\7B46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B46.tmp"
        18⤵
        
        PID:4144
        
        C:\Users\Admin\AppData\Local\Temp\7B94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B94.tmp"
        19⤵
        
        PID:3232
        
        C:\Users\Admin\AppData\Local\Temp\7BE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BE2.tmp"
        20⤵
        
        PID:2772
        
        C:\Users\Admin\AppData\Local\Temp\7C40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C40.tmp"
        21⤵
        
        PID:3736
        
        C:\Users\Admin\AppData\Local\Temp\7C8E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C8E.tmp"
        22⤵
        
        PID:3272
        
        C:\Users\Admin\AppData\Local\Temp\7CDC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CDC.tmp"
        23⤵
        
        PID:872
        
        C:\Users\Admin\AppData\Local\Temp\7D3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D3A.tmp"
        24⤵
        
        PID:4856
        
        C:\Users\Admin\AppData\Local\Temp\7D97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D97.tmp"
        25⤵
        
        PID:1680
        
        C:\Users\Admin\AppData\Local\Temp\7DE5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DE5.tmp"
        26⤵
        
        PID:1804
        
        C:\Users\Admin\AppData\Local\Temp\7E34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E34.tmp"
        27⤵
        
        PID:3260
        
        C:\Users\Admin\AppData\Local\Temp\7E91.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E91.tmp"
        28⤵
        
        PID:1476
        
        C:\Users\Admin\AppData\Local\Temp\7EDF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7EDF.tmp"
        29⤵
        
        PID:4500
        
        C:\Users\Admin\AppData\Local\Temp\8D85.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D85.tmp"
        27⤵
        
        PID:3260
        
        C:\Users\Admin\AppData\Local\Temp\8DD4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8DD4.tmp"
        28⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\8E22.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E22.tmp"
        29⤵
        
        PID:4660
        
        C:\Users\Admin\AppData\Local\Temp\8E70.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E70.tmp"
        30⤵
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\8EBE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8EBE.tmp"
        31⤵
        
        PID:376
        
        C:\Users\Admin\AppData\Local\Temp\8F0C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F0C.tmp"
        32⤵
        
        PID:696
        
        C:\Users\Admin\AppData\Local\Temp\8F99.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F99.tmp"
        33⤵
        
        PID:1624
        
        C:\Users\Admin\AppData\Local\Temp\9006.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9006.tmp"
        34⤵
        
        PID:1060
        
        C:\Users\Admin\AppData\Local\Temp\9064.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9064.tmp"
        35⤵
        
        PID:1392
      - C:\Users\Admin\AppData\Local\Temp\90B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\90B2.tmp"
        6⤵
        
        PID:4812
        
        C:\Users\Admin\AppData\Local\Temp\9100.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9100.tmp"
        7⤵
        
        PID:3160
        
        C:\Users\Admin\AppData\Local\Temp\914E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\914E.tmp"
        8⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\919C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\919C.tmp"
        9⤵
        
        PID:4132
  - - C:\Users\Admin\AppData\Local\Temp\2CD7.tmp
      "C:\Users\Admin\AppData\Local\Temp\2CD7.tmp"
      4⤵
      PID:3836
    - - C:\Users\Admin\AppData\Local\Temp\2D26.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D26.tmp"
        5⤵
        
        PID:1092
      - C:\Users\Admin\AppData\Local\Temp\2D74.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D74.tmp"
        6⤵
        
        PID:884
        
        C:\Users\Admin\AppData\Local\Temp\2DC2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2DC2.tmp"
        7⤵
        
        PID:3328
- C:\Users\Admin\AppData\Local\Temp\4A52.tmp
  "C:\Users\Admin\AppData\Local\Temp\4A52.tmp"
  2⤵
  PID:4048
- - C:\Users\Admin\AppData\Local\Temp\4AA0.tmp
    "C:\Users\Admin\AppData\Local\Temp\4AA0.tmp"
    3⤵
    PID:2320
  - - C:\Users\Admin\AppData\Local\Temp\4AEF.tmp
      "C:\Users\Admin\AppData\Local\Temp\4AEF.tmp"
      4⤵
      PID:1980
    - - C:\Users\Admin\AppData\Local\Temp\4B3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B3D.tmp"
        5⤵
        
        PID:3460
      - C:\Users\Admin\AppData\Local\Temp\4B8B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B8B.tmp"
        6⤵
        
        PID:1996
- - C:\Users\Admin\AppData\Local\Temp\EE86.tmp
    "C:\Users\Admin\AppData\Local\Temp\EE86.tmp"
    3⤵
    PID:8
  - - C:\Users\Admin\AppData\Local\Temp\E416.tmp
      "C:\Users\Admin\AppData\Local\Temp\E416.tmp"
      4⤵
      PID:5028
    - - C:\Users\Admin\AppData\Local\Temp\7635.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7635.tmp"
        5⤵
        
        PID:2300
      - C:\Users\Admin\AppData\Local\Temp\7692.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7692.tmp"
        6⤵
        
        PID:3412
        
        C:\Users\Admin\AppData\Local\Temp\7700.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7700.tmp"
        7⤵
        
        PID:2012
        
        C:\Users\Admin\AppData\Local\Temp\774E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\774E.tmp"
        8⤵
        
        PID:3212
        
        C:\Users\Admin\AppData\Local\Temp\77AC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77AC.tmp"
        9⤵
        
        PID:4292

C:\Users\Admin\AppData\Local\Temp\D08E.tmp
"C:\Users\Admin\AppData\Local\Temp\D08E.tmp"
1⤵
PID:1992
- C:\Users\Admin\AppData\Local\Temp\D0DD.tmp
  "C:\Users\Admin\AppData\Local\Temp\D0DD.tmp"
  2⤵
  PID:3932
- - C:\Users\Admin\AppData\Local\Temp\D12B.tmp
    "C:\Users\Admin\AppData\Local\Temp\D12B.tmp"
    3⤵
    PID:2076
  - - C:\Users\Admin\AppData\Local\Temp\D179.tmp
      "C:\Users\Admin\AppData\Local\Temp\D179.tmp"
      4⤵
      PID:4520
    - - C:\Users\Admin\AppData\Local\Temp\D1C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1C7.tmp"
        5⤵
        
        PID:4936
- C:\Users\Admin\AppData\Local\Temp\2025.tmp
  "C:\Users\Admin\AppData\Local\Temp\2025.tmp"
  2⤵
  PID:4072
- - C:\Users\Admin\AppData\Local\Temp\2074.tmp
    "C:\Users\Admin\AppData\Local\Temp\2074.tmp"
    3⤵
    PID:4592
  - - C:\Users\Admin\AppData\Local\Temp\20C2.tmp
      "C:\Users\Admin\AppData\Local\Temp\20C2.tmp"
      4⤵
      PID:3044
    - - C:\Users\Admin\AppData\Local\Temp\211F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\211F.tmp"
        5⤵
        
        PID:4128
      - C:\Users\Admin\AppData\Local\Temp\216E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\216E.tmp"
        6⤵
        
        PID:4124
        
        C:\Users\Admin\AppData\Local\Temp\21BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\21BC.tmp"
        7⤵
        
        PID:4284
        
        C:\Users\Admin\AppData\Local\Temp\220A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\220A.tmp"
        8⤵
        
        PID:4276
      - C:\Users\Admin\AppData\Local\Temp\4EE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4EE6.tmp"
        6⤵
        
        PID:2432
        
        C:\Users\Admin\AppData\Local\Temp\4F34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F34.tmp"
        7⤵
        
        PID:4592
        
        C:\Users\Admin\AppData\Local\Temp\4F82.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F82.tmp"
        8⤵
        
        PID:904
        
        C:\Users\Admin\AppData\Local\Temp\6675.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6675.tmp"
        8⤵
        
        PID:920
        
        C:\Users\Admin\AppData\Local\Temp\66C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\66C4.tmp"
        9⤵
        
        PID:2200
        
        C:\Users\Admin\AppData\Local\Temp\6712.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6712.tmp"
        10⤵
        
        PID:2396
        
        C:\Users\Admin\AppData\Local\Temp\6760.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6760.tmp"
        11⤵
        
        PID:640
        
        C:\Users\Admin\AppData\Local\Temp\67AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\67AE.tmp"
        12⤵
        
        PID:2400
        
        C:\Users\Admin\AppData\Local\Temp\37B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37B5.tmp"
        7⤵
        
        PID:4592

C:\Users\Admin\AppData\Local\Temp\DD8F.tmp
"C:\Users\Admin\AppData\Local\Temp\DD8F.tmp"
1⤵
PID:4940
- C:\Users\Admin\AppData\Local\Temp\DDDD.tmp
  "C:\Users\Admin\AppData\Local\Temp\DDDD.tmp"
  2⤵
  PID:1172
- - C:\Users\Admin\AppData\Local\Temp\DE2B.tmp
    "C:\Users\Admin\AppData\Local\Temp\DE2B.tmp"
    3⤵
    PID:1412
- C:\Users\Admin\AppData\Local\Temp\6155.tmp
  "C:\Users\Admin\AppData\Local\Temp\6155.tmp"
  2⤵
  PID:4684
- - C:\Users\Admin\AppData\Local\Temp\61A3.tmp
    "C:\Users\Admin\AppData\Local\Temp\61A3.tmp"
    3⤵
    PID:4932
  - - C:\Users\Admin\AppData\Local\Temp\61F1.tmp
      "C:\Users\Admin\AppData\Local\Temp\61F1.tmp"
      4⤵
      PID:2212
    - - C:\Users\Admin\AppData\Local\Temp\6230.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6230.tmp"
        5⤵
        
        PID:4616
    - - C:\Users\Admin\AppData\Local\Temp\1C7C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C7C.tmp"
        5⤵
        
        PID:4552

C:\Windows\system32\backgroundTaskHost.exe
"C:\Windows\system32\backgroundTaskHost.exe" -ServerName:App.AppXmtcan0h2tfbfy7k9kn8hbxb6dmzz1zh0.mca
1⤵
PID:940

C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe -k netsvcs -p -s BITS
1⤵
PID:4040

C:\Users\Admin\AppData\Local\Temp\E86C.tmp
"C:\Users\Admin\AppData\Local\Temp\E86C.tmp"
1⤵
PID:3604
- C:\Users\Admin\AppData\Local\Temp\E8BA.tmp
  "C:\Users\Admin\AppData\Local\Temp\E8BA.tmp"
  2⤵
  PID:1412
- - C:\Users\Admin\AppData\Local\Temp\E908.tmp
    "C:\Users\Admin\AppData\Local\Temp\E908.tmp"
    3⤵
    PID:4000
- C:\Users\Admin\AppData\Local\Temp\1345.tmp
  "C:\Users\Admin\AppData\Local\Temp\1345.tmp"
  2⤵
  PID:3260
- - C:\Users\Admin\AppData\Local\Temp\1393.tmp
    "C:\Users\Admin\AppData\Local\Temp\1393.tmp"
    3⤵
    PID:2500
  - - C:\Users\Admin\AppData\Local\Temp\1E9F.tmp
      "C:\Users\Admin\AppData\Local\Temp\1E9F.tmp"
      4⤵
      PID:4480
    - - C:\Users\Admin\AppData\Local\Temp\1EED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1EED.tmp"
        5⤵
        
        PID:4816

C:\Users\Admin\AppData\Local\Temp\F0A9.tmp
"C:\Users\Admin\AppData\Local\Temp\F0A9.tmp"
1⤵
PID:3304
- C:\Users\Admin\AppData\Local\Temp\F0F7.tmp
  "C:\Users\Admin\AppData\Local\Temp\F0F7.tmp"
  2⤵
  PID:880
- - C:\Users\Admin\AppData\Local\Temp\F145.tmp
    "C:\Users\Admin\AppData\Local\Temp\F145.tmp"
    3⤵
    PID:872
  - - C:\Users\Admin\AppData\Local\Temp\F194.tmp
      "C:\Users\Admin\AppData\Local\Temp\F194.tmp"
      4⤵
      PID:5108
    - - C:\Users\Admin\AppData\Local\Temp\F1E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1E2.tmp"
        5⤵
        
        PID:2592
- C:\Users\Admin\AppData\Local\Temp\FC42.tmp
  "C:\Users\Admin\AppData\Local\Temp\FC42.tmp"
  2⤵
  PID:872
- - C:\Users\Admin\AppData\Local\Temp\FC90.tmp
    "C:\Users\Admin\AppData\Local\Temp\FC90.tmp"
    3⤵
    PID:2480
  - - C:\Users\Admin\AppData\Local\Temp\FCDE.tmp
      "C:\Users\Admin\AppData\Local\Temp\FCDE.tmp"
      4⤵
      PID:3496
    - - C:\Users\Admin\AppData\Local\Temp\FD2C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD2C.tmp"
        5⤵
        
        PID:4312
      - C:\Users\Admin\AppData\Local\Temp\FD7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD7A.tmp"
        6⤵
        
        PID:4036
        
        C:\Users\Admin\AppData\Local\Temp\FDC9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDC9.tmp"
        7⤵
        
        PID:3320
  - - C:\Users\Admin\AppData\Local\Temp\10E3.tmp
      "C:\Users\Admin\AppData\Local\Temp\10E3.tmp"
      4⤵
      PID:4160
    - - C:\Users\Admin\AppData\Local\Temp\1131.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1131.tmp"
        5⤵
        
        PID:1988
      - C:\Users\Admin\AppData\Local\Temp\117F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\117F.tmp"
        6⤵
        
        PID:4684
        
        C:\Users\Admin\AppData\Local\Temp\F2CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2CC.tmp"
        7⤵
        
        PID:2836
      - C:\Users\Admin\AppData\Local\Temp\E6E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E6E5.tmp"
        6⤵
        
        PID:4684
    - - C:\Users\Admin\AppData\Local\Temp\487E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\487E.tmp"
        5⤵
        
        PID:4732
      - C:\Users\Admin\AppData\Local\Temp\48CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\48CC.tmp"
        6⤵
        
        PID:3172

C:\Users\Admin\AppData\Local\Temp\F84A.tmp
"C:\Users\Admin\AppData\Local\Temp\F84A.tmp"
1⤵
PID:2636
- C:\Users\Admin\AppData\Local\Temp\F898.tmp
  "C:\Users\Admin\AppData\Local\Temp\F898.tmp"
  2⤵
  PID:2400
- - C:\Users\Admin\AppData\Local\Temp\F8E7.tmp
    "C:\Users\Admin\AppData\Local\Temp\F8E7.tmp"
    3⤵
    PID:316
  - - C:\Users\Admin\AppData\Local\Temp\F935.tmp
      "C:\Users\Admin\AppData\Local\Temp\F935.tmp"
      4⤵
      PID:884
    - - C:\Users\Admin\AppData\Local\Temp\F983.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F983.tmp"
        5⤵
        
        PID:5044
      - C:\Users\Admin\AppData\Local\Temp\393B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\393B.tmp"
        6⤵
        
        PID:4692
        
        C:\Users\Admin\AppData\Local\Temp\3989.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3989.tmp"
        7⤵
        
        PID:4408

C:\Users\Admin\AppData\Local\Temp\BA3.tmp
"C:\Users\Admin\AppData\Local\Temp\BA3.tmp"
1⤵
PID:904
- C:\Users\Admin\AppData\Local\Temp\BF2.tmp
  "C:\Users\Admin\AppData\Local\Temp\BF2.tmp"
  2⤵
  PID:2456
- - C:\Users\Admin\AppData\Local\Temp\C40.tmp
    "C:\Users\Admin\AppData\Local\Temp\C40.tmp"
    3⤵
    PID:2400
  - - C:\Users\Admin\AppData\Local\Temp\C8E.tmp
      "C:\Users\Admin\AppData\Local\Temp\C8E.tmp"
      4⤵
      PID:316
    - - C:\Users\Admin\AppData\Local\Temp\CDC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDC.tmp"
        5⤵
        
        PID:4012
      - C:\Users\Admin\AppData\Local\Temp\17D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\17D8.tmp"
        6⤵
        
        PID:4048
        
        C:\Users\Admin\AppData\Local\Temp\1827.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1827.tmp"
        7⤵
        
        PID:996
        
        C:\Users\Admin\AppData\Local\Temp\1875.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1875.tmp"
        8⤵
        
        PID:3484
        
        C:\Users\Admin\AppData\Local\Temp\18C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\18C3.tmp"
        9⤵
        
        PID:3744
  - - C:\Users\Admin\AppData\Local\Temp\173C.tmp
      "C:\Users\Admin\AppData\Local\Temp\173C.tmp"
      4⤵
      PID:316
    - - C:\Users\Admin\AppData\Local\Temp\178A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\178A.tmp"
        5⤵
        
        PID:4012

C:\Users\Admin\AppData\Local\Temp\1921.tmp
"C:\Users\Admin\AppData\Local\Temp\1921.tmp"
1⤵
PID:2000
- C:\Users\Admin\AppData\Local\Temp\196F.tmp
  "C:\Users\Admin\AppData\Local\Temp\196F.tmp"
  2⤵
  PID:5060
- - C:\Users\Admin\AppData\Local\Temp\19BD.tmp
    "C:\Users\Admin\AppData\Local\Temp\19BD.tmp"
    3⤵
    PID:4804

C:\Users\Admin\AppData\Local\Temp\2268.tmp
"C:\Users\Admin\AppData\Local\Temp\2268.tmp"
1⤵
PID:2012
- C:\Users\Admin\AppData\Local\Temp\22B6.tmp
  "C:\Users\Admin\AppData\Local\Temp\22B6.tmp"
  2⤵
  PID:4668
- - C:\Users\Admin\AppData\Local\Temp\2313.tmp
    "C:\Users\Admin\AppData\Local\Temp\2313.tmp"
    3⤵
    PID:1152
  - - C:\Users\Admin\AppData\Local\Temp\2362.tmp
      "C:\Users\Admin\AppData\Local\Temp\2362.tmp"
      4⤵
      PID:2204
    - - C:\Users\Admin\AppData\Local\Temp\23B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23B0.tmp"
        5⤵
        
        PID:3168
      - C:\Users\Admin\AppData\Local\Temp\460D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\460D.tmp"
        6⤵
        
        PID:2000
        
        C:\Users\Admin\AppData\Local\Temp\465B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\465B.tmp"
        7⤵
        
        PID:5060
        
        C:\Users\Admin\AppData\Local\Temp\46A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46A9.tmp"
        8⤵
        
        PID:4264
        
        C:\Users\Admin\AppData\Local\Temp\5290.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5290.tmp"
        7⤵
        
        PID:4808
        
        C:\Users\Admin\AppData\Local\Temp\52DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52DE.tmp"
        8⤵
        
        PID:4264
        
        C:\Users\Admin\AppData\Local\Temp\532C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\532C.tmp"
        9⤵
        
        PID:228
        
        C:\Users\Admin\AppData\Local\Temp\46F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46F7.tmp"
        9⤵
        
        PID:228
        
        C:\Users\Admin\AppData\Local\Temp\3B5E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B5E.tmp"
        10⤵
        
        PID:4800
- C:\Users\Admin\AppData\Local\Temp\4522.tmp
  "C:\Users\Admin\AppData\Local\Temp\4522.tmp"
  2⤵
  PID:4692
- - C:\Users\Admin\AppData\Local\Temp\4570.tmp
    "C:\Users\Admin\AppData\Local\Temp\4570.tmp"
    3⤵
    PID:4408
  - - C:\Users\Admin\AppData\Local\Temp\45BE.tmp
      "C:\Users\Admin\AppData\Local\Temp\45BE.tmp"
      4⤵
      PID:3168
- - C:\Users\Admin\AppData\Local\Temp\51A5.tmp
    "C:\Users\Admin\AppData\Local\Temp\51A5.tmp"
    3⤵
    PID:4408
  - - C:\Users\Admin\AppData\Local\Temp\51F3.tmp
      "C:\Users\Admin\AppData\Local\Temp\51F3.tmp"
      4⤵
      PID:3168
    - - C:\Users\Admin\AppData\Local\Temp\5242.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5242.tmp"
        5⤵
        
        PID:2000
    - - C:\Users\Admin\AppData\Local\Temp\5E48.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E48.tmp"
        5⤵
        
        PID:3308
      - C:\Users\Admin\AppData\Local\Temp\5E96.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E96.tmp"
        6⤵
        
        PID:2488
        
        C:\Users\Admin\AppData\Local\Temp\5EE4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5EE4.tmp"
        7⤵
        
        PID:2564
  - - C:\Users\Admin\AppData\Local\Temp\39D8.tmp
      "C:\Users\Admin\AppData\Local\Temp\39D8.tmp"
      4⤵
      PID:3212

C:\Users\Admin\AppData\Local\Temp\2621.tmp
"C:\Users\Admin\AppData\Local\Temp\2621.tmp"
1⤵
PID:1596
- C:\Users\Admin\AppData\Local\Temp\266F.tmp
  "C:\Users\Admin\AppData\Local\Temp\266F.tmp"
  2⤵
  PID:4260
- - C:\Users\Admin\AppData\Local\Temp\26BD.tmp
    "C:\Users\Admin\AppData\Local\Temp\26BD.tmp"
    3⤵
    PID:2836
  - - C:\Users\Admin\AppData\Local\Temp\270B.tmp
      "C:\Users\Admin\AppData\Local\Temp\270B.tmp"
      4⤵
      PID:4312
    - - C:\Users\Admin\AppData\Local\Temp\6CAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CAF.tmp"
        5⤵
        
        PID:3172
      - C:\Users\Admin\AppData\Local\Temp\6CFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CFD.tmp"
        6⤵
        
        PID:4156
        
        C:\Users\Admin\AppData\Local\Temp\6D5B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D5B.tmp"
        7⤵
        
        PID:4100
        
        C:\Users\Admin\AppData\Local\Temp\6DB9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DB9.tmp"
        8⤵
        
        PID:1880
      - C:\Users\Admin\AppData\Local\Temp\8B63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B63.tmp"
        6⤵
        
        PID:4156
        
        C:\Users\Admin\AppData\Local\Temp\8BB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8BB1.tmp"
        7⤵
        
        PID:4932
        
        C:\Users\Admin\AppData\Local\Temp\8BFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8BFF.tmp"
        8⤵
        
        PID:4916
        
        C:\Users\Admin\AppData\Local\Temp\8C4D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C4D.tmp"
        9⤵
        
        PID:4172

C:\Users\Admin\AppData\Local\Temp\2B9F.tmp
"C:\Users\Admin\AppData\Local\Temp\2B9F.tmp"
1⤵
PID:1936
- C:\Users\Admin\AppData\Local\Temp\2BED.tmp
  "C:\Users\Admin\AppData\Local\Temp\2BED.tmp"
  2⤵
  PID:4592
- - C:\Users\Admin\AppData\Local\Temp\2C3B.tmp
    "C:\Users\Admin\AppData\Local\Temp\2C3B.tmp"
    3⤵
    PID:2396
  - - C:\Users\Admin\AppData\Local\Temp\2C89.tmp
      "C:\Users\Admin\AppData\Local\Temp\2C89.tmp"
      4⤵
      PID:640
- - C:\Users\Admin\AppData\Local\Temp\3803.tmp
    "C:\Users\Admin\AppData\Local\Temp\3803.tmp"
    3⤵
    PID:2396
  - - C:\Users\Admin\AppData\Local\Temp\3851.tmp
      "C:\Users\Admin\AppData\Local\Temp\3851.tmp"
      4⤵
      PID:640
    - - C:\Users\Admin\AppData\Local\Temp\389F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\389F.tmp"
        5⤵
        
        PID:3836
      - C:\Users\Admin\AppData\Local\Temp\38ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\38ED.tmp"
        6⤵
        
        PID:5044
        
        C:\Users\Admin\AppData\Local\Temp\50BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50BB.tmp"
        7⤵
        
        PID:5076
        
        C:\Users\Admin\AppData\Local\Temp\5109.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5109.tmp"
        8⤵
        
        PID:2012
        
        C:\Users\Admin\AppData\Local\Temp\5157.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5157.tmp"
        9⤵
        
        PID:4692

C:\Users\Admin\AppData\Local\Temp\3534.tmp
"C:\Users\Admin\AppData\Local\Temp\3534.tmp"
1⤵
PID:2300
- C:\Users\Admin\AppData\Local\Temp\3582.tmp
  "C:\Users\Admin\AppData\Local\Temp\3582.tmp"
  2⤵
  PID:1768
- - C:\Users\Admin\AppData\Local\Temp\35D0.tmp
    "C:\Users\Admin\AppData\Local\Temp\35D0.tmp"
    3⤵
    PID:4516
  - - C:\Users\Admin\AppData\Local\Temp\361E.tmp
      "C:\Users\Admin\AppData\Local\Temp\361E.tmp"
      4⤵
      PID:1772
    - - C:\Users\Admin\AppData\Local\Temp\366D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\366D.tmp"
        5⤵
        
        PID:224

C:\Users\Admin\AppData\Local\Temp\3A26.tmp
"C:\Users\Admin\AppData\Local\Temp\3A26.tmp"
1⤵
PID:996
- C:\Users\Admin\AppData\Local\Temp\3A74.tmp
  "C:\Users\Admin\AppData\Local\Temp\3A74.tmp"
  2⤵
  PID:2968
- - C:\Users\Admin\AppData\Local\Temp\3AC2.tmp
    "C:\Users\Admin\AppData\Local\Temp\3AC2.tmp"
    3⤵
    PID:4264
  - - C:\Users\Admin\AppData\Local\Temp\3B10.tmp
      "C:\Users\Admin\AppData\Local\Temp\3B10.tmp"
      4⤵
      PID:228
    - - C:\Users\Admin\AppData\Local\Temp\4745.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4745.tmp"
        5⤵
        
        PID:4800
      - C:\Users\Admin\AppData\Local\Temp\4793.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4793.tmp"
        6⤵
        
        PID:4340
        
        C:\Users\Admin\AppData\Local\Temp\47E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47E1.tmp"
        7⤵
        
        PID:824
        
        C:\Users\Admin\AppData\Local\Temp\482F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\482F.tmp"
        8⤵
        
        PID:4160
    - - C:\Users\Admin\AppData\Local\Temp\537A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\537A.tmp"
        5⤵
        
        PID:4380
      - C:\Users\Admin\AppData\Local\Temp\53C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53C8.tmp"
        6⤵
        
        PID:4340
        
        C:\Users\Admin\AppData\Local\Temp\5416.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5416.tmp"
        7⤵
        
        PID:824
        
        C:\Users\Admin\AppData\Local\Temp\5464.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5464.tmp"
        8⤵
        
        PID:2576
        
        C:\Users\Admin\AppData\Local\Temp\E697.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E697.tmp"
        7⤵
        
        PID:1988
      - C:\Users\Admin\AppData\Local\Temp\601C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\601C.tmp"
        6⤵
        
        PID:4144
        
        C:\Users\Admin\AppData\Local\Temp\606B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\606B.tmp"
        7⤵
        
        PID:3420
        
        C:\Users\Admin\AppData\Local\Temp\60B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\60B9.tmp"
        8⤵
        
        PID:1596
        
        C:\Users\Admin\AppData\Local\Temp\6107.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6107.tmp"
        9⤵
        
        PID:4940
        
        C:\Users\Admin\AppData\Local\Temp\3C97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C97.tmp"
        7⤵
        
        PID:3452
        
        C:\Users\Admin\AppData\Local\Temp\FBF4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FBF4.tmp"
        7⤵
        
        PID:3304

C:\Users\Admin\AppData\Local\Temp\40DC.tmp
"C:\Users\Admin\AppData\Local\Temp\40DC.tmp"
1⤵
PID:3964
- C:\Users\Admin\AppData\Local\Temp\412B.tmp
  "C:\Users\Admin\AppData\Local\Temp\412B.tmp"
  2⤵
  PID:5088
- - C:\Users\Admin\AppData\Local\Temp\4179.tmp
    "C:\Users\Admin\AppData\Local\Temp\4179.tmp"
    3⤵
    PID:1548
  - - C:\Users\Admin\AppData\Local\Temp\41C7.tmp
      "C:\Users\Admin\AppData\Local\Temp\41C7.tmp"
      4⤵
      PID:1532
    - - C:\Users\Admin\AppData\Local\Temp\4215.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4215.tmp"
        5⤵
        
        PID:1772
      - C:\Users\Admin\AppData\Local\Temp\4263.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4263.tmp"
        6⤵
        
        PID:3704
      - C:\Users\Admin\AppData\Local\Temp\F712.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F712.tmp"
        6⤵
        
        PID:5000
- - C:\Users\Admin\AppData\Local\Temp\147D.tmp
    "C:\Users\Admin\AppData\Local\Temp\147D.tmp"
    3⤵
    PID:3964
- C:\Users\Admin\AppData\Local\Temp\4D11.tmp
  "C:\Users\Admin\AppData\Local\Temp\4D11.tmp"
  2⤵
  PID:4584
- - C:\Users\Admin\AppData\Local\Temp\4D60.tmp
    "C:\Users\Admin\AppData\Local\Temp\4D60.tmp"
    3⤵
    PID:1548
  - - C:\Users\Admin\AppData\Local\Temp\4DAE.tmp
      "C:\Users\Admin\AppData\Local\Temp\4DAE.tmp"
      4⤵
      PID:1508

C:\Users\Admin\AppData\Local\Temp\439C.tmp
"C:\Users\Admin\AppData\Local\Temp\439C.tmp"
1⤵
PID:4124
- C:\Users\Admin\AppData\Local\Temp\43EA.tmp
  "C:\Users\Admin\AppData\Local\Temp\43EA.tmp"
  2⤵
  PID:2400
- - C:\Users\Admin\AppData\Local\Temp\4438.tmp
    "C:\Users\Admin\AppData\Local\Temp\4438.tmp"
    3⤵
    PID:4568
  - - C:\Users\Admin\AppData\Local\Temp\4486.tmp
      "C:\Users\Admin\AppData\Local\Temp\4486.tmp"
      4⤵
      PID:5076
    - - C:\Users\Admin\AppData\Local\Temp\44D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\44D4.tmp"
        5⤵
        
        PID:2012

C:\Users\Admin\AppData\Local\Temp\491A.tmp
"C:\Users\Admin\AppData\Local\Temp\491A.tmp"
1⤵
PID:2512
- C:\Users\Admin\AppData\Local\Temp\4968.tmp
  "C:\Users\Admin\AppData\Local\Temp\4968.tmp"
  2⤵
  PID:3320
- - C:\Users\Admin\AppData\Local\Temp\49B6.tmp
    "C:\Users\Admin\AppData\Local\Temp\49B6.tmp"
    3⤵
    PID:3568
  - - C:\Users\Admin\AppData\Local\Temp\4A04.tmp
      "C:\Users\Admin\AppData\Local\Temp\4A04.tmp"
      4⤵
      PID:2236

C:\Users\Admin\AppData\Local\Temp\4DFC.tmp
"C:\Users\Admin\AppData\Local\Temp\4DFC.tmp"
1⤵
PID:244
- C:\Users\Admin\AppData\Local\Temp\4E4A.tmp
  "C:\Users\Admin\AppData\Local\Temp\4E4A.tmp"
  2⤵
  PID:2476
- - C:\Users\Admin\AppData\Local\Temp\4E98.tmp
    "C:\Users\Admin\AppData\Local\Temp\4E98.tmp"
    3⤵
    PID:4128
  - - C:\Users\Admin\AppData\Local\Temp\ED4E.tmp
      "C:\Users\Admin\AppData\Local\Temp\ED4E.tmp"
      4⤵
      PID:5016

C:\Users\Admin\AppData\Local\Temp\5B3A.tmp
"C:\Users\Admin\AppData\Local\Temp\5B3A.tmp"
1⤵
PID:4124
- C:\Users\Admin\AppData\Local\Temp\5B89.tmp
  "C:\Users\Admin\AppData\Local\Temp\5B89.tmp"
  2⤵
  PID:2300
- - C:\Users\Admin\AppData\Local\Temp\5BD7.tmp
    "C:\Users\Admin\AppData\Local\Temp\5BD7.tmp"
    3⤵
    PID:3412

C:\Users\Admin\AppData\Local\Temp\6404.tmp
"C:\Users\Admin\AppData\Local\Temp\6404.tmp"
1⤵
PID:820
- C:\Users\Admin\AppData\Local\Temp\6453.tmp
  "C:\Users\Admin\AppData\Local\Temp\6453.tmp"
  2⤵
  PID:4660
- - C:\Users\Admin\AppData\Local\Temp\64A1.tmp
    "C:\Users\Admin\AppData\Local\Temp\64A1.tmp"
    3⤵
    PID:1532
  - - C:\Users\Admin\AppData\Local\Temp\64EF.tmp
      "C:\Users\Admin\AppData\Local\Temp\64EF.tmp"
      4⤵
      PID:4664
    - - C:\Users\Admin\AppData\Local\Temp\653D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\653D.tmp"
        5⤵
        
        PID:244
      - C:\Users\Admin\AppData\Local\Temp\658B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\658B.tmp"
        6⤵
        
        PID:3200
        
        C:\Users\Admin\AppData\Local\Temp\65D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\65D9.tmp"
        7⤵
        
        PID:2508
        
        C:\Users\Admin\AppData\Local\Temp\6627.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6627.tmp"
        8⤵
        
        PID:4592
- C:\Users\Admin\AppData\Local\Temp\7162.tmp
  "C:\Users\Admin\AppData\Local\Temp\7162.tmp"
  2⤵
  PID:4404
- - C:\Users\Admin\AppData\Local\Temp\71B0.tmp
    "C:\Users\Admin\AppData\Local\Temp\71B0.tmp"
    3⤵
    PID:3852
  - - C:\Users\Admin\AppData\Local\Temp\721E.tmp
      "C:\Users\Admin\AppData\Local\Temp\721E.tmp"
      4⤵
      PID:4480
    - - C:\Users\Admin\AppData\Local\Temp\728B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\728B.tmp"
        5⤵
        
        PID:4364
      - C:\Users\Admin\AppData\Local\Temp\72F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72F9.tmp"
        6⤵
        
        PID:3304
        
        C:\Users\Admin\AppData\Local\Temp\7366.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7366.tmp"
        7⤵
        
        PID:3532
        
        C:\Users\Admin\AppData\Local\Temp\73B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73B4.tmp"
        8⤵
        
        PID:2704
        
        C:\Users\Admin\AppData\Local\Temp\7402.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7402.tmp"
        9⤵
        
        PID:4132
        
        C:\Users\Admin\AppData\Local\Temp\747F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\747F.tmp"
        10⤵
        
        PID:1464
        
        C:\Users\Admin\AppData\Local\Temp\750C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\750C.tmp"
        11⤵
        
        PID:2308
        
        C:\Users\Admin\AppData\Local\Temp\7598.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7598.tmp"
        12⤵
        
        PID:904
        
        C:\Users\Admin\AppData\Local\Temp\75E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75E7.tmp"
        13⤵
        
        PID:5028
    - - C:\Users\Admin\AppData\Local\Temp\81FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\81FC.tmp"
        5⤵
        
        PID:4364
      - C:\Users\Admin\AppData\Local\Temp\824A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\824A.tmp"
        6⤵
        
        PID:3304
        
        C:\Users\Admin\AppData\Local\Temp\8299.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8299.tmp"
        7⤵
        
        PID:3532
        
        C:\Users\Admin\AppData\Local\Temp\82F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82F6.tmp"
        8⤵
        
        PID:2704
        
        C:\Users\Admin\AppData\Local\Temp\8344.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8344.tmp"
        9⤵
        
        PID:5000
        
        C:\Users\Admin\AppData\Local\Temp\8393.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8393.tmp"
        10⤵
        
        PID:3872
        
        C:\Users\Admin\AppData\Local\Temp\83E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\83E1.tmp"
        11⤵
        
        PID:4592
        
        C:\Users\Admin\AppData\Local\Temp\844E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\844E.tmp"
        12⤵
        
        PID:4276
        
        C:\Users\Admin\AppData\Local\Temp\84AC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\84AC.tmp"
        13⤵
        
        PID:332
        
        C:\Users\Admin\AppData\Local\Temp\84FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\84FA.tmp"
        14⤵
        
        PID:2396
        
        C:\Users\Admin\AppData\Local\Temp\8548.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8548.tmp"
        15⤵
        
        PID:3904
        
        C:\Users\Admin\AppData\Local\Temp\85A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\85A6.tmp"
        16⤵
        
        PID:2352
        
        C:\Users\Admin\AppData\Local\Temp\8642.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8642.tmp"
        17⤵
        
        PID:4668
        
        C:\Users\Admin\AppData\Local\Temp\86A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\86A0.tmp"
        18⤵
        
        PID:4984

C:\Users\Admin\AppData\Local\Temp\7F2E.tmp
"C:\Users\Admin\AppData\Local\Temp\7F2E.tmp"
1⤵
PID:4952
- C:\Users\Admin\AppData\Local\Temp\7F7C.tmp
  "C:\Users\Admin\AppData\Local\Temp\7F7C.tmp"
  2⤵
  PID:3988
- - C:\Users\Admin\AppData\Local\Temp\7FE9.tmp
    "C:\Users\Admin\AppData\Local\Temp\7FE9.tmp"
    3⤵
    PID:820
  - - C:\Users\Admin\AppData\Local\Temp\8047.tmp
      "C:\Users\Admin\AppData\Local\Temp\8047.tmp"
      4⤵
      PID:4404
    - - C:\Users\Admin\AppData\Local\Temp\80E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\80E3.tmp"
        5⤵
        
        PID:3852
      - C:\Users\Admin\AppData\Local\Temp\819F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\819F.tmp"
        6⤵
        
        PID:4480

C:\Users\Admin\AppData\Local\Temp\8C9B.tmp
"C:\Users\Admin\AppData\Local\Temp\8C9B.tmp"
1⤵
PID:3604
- C:\Users\Admin\AppData\Local\Temp\8CE9.tmp
  "C:\Users\Admin\AppData\Local\Temp\8CE9.tmp"
  2⤵
  PID:4816
- - C:\Users\Admin\AppData\Local\Temp\8D37.tmp
    "C:\Users\Admin\AppData\Local\Temp\8D37.tmp"
    3⤵
    PID:1804

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\4C3B.tmp

Filesize
486KB

MD5
3bedc55c4ae6948a552b2621dbbc51af

SHA1
c9deec43f891110292aa6c81a815e864e709329b

SHA256
f7726a0730ec70bf429fcdb8681e1d473d5e85a2fb933ccc102644c61dcd2457

SHA512
9d54d4d9f4b66b738825c3ff80e41d4e8252e9a3a85376662f34760e77a63c708b73a3e24ccae70106477064024a2e0c6b5ebed20b46724c068a464b43ae3201

Download Submit
C:\Users\Admin\AppData\Local\Temp\4CB8.tmp

Filesize
486KB

MD5
e2d13553549204b4617690fb8f3b0003

SHA1
79a5ad5b443f62361f8a4939d0837be05561cd9b

SHA256
72f44b0a3fdf3d5a72dc425b91655c135eacc3f130a5b8a669d8af4d3dad0dba

SHA512
748bb851204fd4d0347ee0887fb05b26f919afb55c10a20ed9b116ea9f670cbfca8ba07dee3df5296c89fa8110cc6b6ef8b5f97e047100e3652c399ecebb35a8

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D16.tmp

Filesize
486KB

MD5
8b1d3836ef44c2a90dc7dc4ed344b6c3

SHA1
f27e6bde2c8233a521c279f97b8c5b2bda3e9671

SHA256
9c6d0615f738e96a926bf455ba73f1d032ab233c4e97e5f996bbcd4294dbb108

SHA512
e671aa5ad8ac29848a5a194f3d982849762353136e46a12cf1adc5eb6b9c311c8d1fcb07c41858bdadecd1d4ba4c755c1fe15e219af9b2313d7786f48b653037

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D16.tmp

Filesize
92KB

MD5
9508f0a03b873df2e238b9ed667ec563

SHA1
c65f85f219b0ce6a6f8779d37ddf67b57f6ca061

SHA256
ce014192893b902d3a2959cb4ab7cfc333569ca89e8c05acf662f041db39d6dc

SHA512
fda1afa5f3e667cb9bcd78d40aad10ade25831ce7165e97031c90259e2384bc1853df671e7f1013073eca871673559e95f662a638d9e5e2fbbe9f1fd482309a5

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D16.tmp

Filesize
147KB

MD5
5bf64a3b269472459bba10521757ddff

SHA1
eba9679ac36a5e00422c46f049bd7e8a06409100

SHA256
34a1406e1c23945ef46d79cbee87a80d88465b51bd89971ec88b54f2fa69352a

SHA512
8f3091ef7afc3db598f43868ef06f324aaad88f5def2eb0a371e2c41092e3f3d9edfee806db70c8db45dc3f834205006a2cede4a30f2425cf73046167fbb2a41

Download Submit
C:\Users\Admin\AppData\Local\Temp\4EDB.tmp

Filesize
486KB

MD5
c12e4160c15fec9f44664a0c6f24a5df

SHA1
ebc5bf6882c8c428ab0bc5cedf68258150110c68

SHA256
f27b96fc0f93dea7ec7ebbcd276ef2b5c90bf2f7cf4f509dff5ef5e109d5db4e

SHA512
1a2afa8985bc7e9c8140f958544f8639c19060bc14f284f7c245da46b0f65af490ad14dbeae0ee197ad6134f767f9af1829c744a314d34ee0982f5a338e9a718

Download Submit
C:\Users\Admin\AppData\Local\Temp\4F29.tmp

Filesize
486KB

MD5
5563374560ed210e5fe812b1d06f41e9

SHA1
9a594d6ec19b488d5bbed75176d05840d2453956

SHA256
2d050619b199a3534aebceda8238ea63864ad8d1d3f21cba3d32cd382a623c60

SHA512
bb3a5cfc02f475eb80c9eb82d1d279c77e0398650f45b799564fe439ded55c9221e67f88b7c16c2ab15d4b45d075b53663d2e4eb87f13ca3ac066697ad4ede64

Download Submit
C:\Users\Admin\AppData\Local\Temp\5033.tmp

Filesize
486KB

MD5
4f2f972f1eab1afab5ce3df280752b11

SHA1
24dc3492c69ed3265c76ff4d8443344b40589c3c

SHA256
e2b2c6bfbf40746fd07a33a2e0560f439c977f0fa13209f564468e54b8ca5d33

SHA512
ede01912cb4a01bfc888de2b21b63702281d448d73551629a38cfd8957d0825e1e3dc366c1a95f2ff2be52b7120fc3767ab0112061bee70b90fd47efc17f01fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\518B.tmp

Filesize
486KB

MD5
19ae3f19a136c9e1fd83b74a272b120c

SHA1
491be8bba1e1d213c72004018df7494010d6961a

SHA256
d1600d94af24439088dfb5ffbcec97e60eec4be9cb958f9f91c0c345495f2848

SHA512
8725c49fa8afeb722e724ae9280e95d4f427540edaf0ab44f4b5cb386525e7cb275583062a3008e72e860910416ce4489d894d4c6624012ccf88f036a6e2efc4

Download Submit
C:\Users\Admin\AppData\Local\Temp\51D9.tmp

Filesize
486KB

MD5
10da766a4a3513cea2f0730963c0ec72

SHA1
239cb87c479a072812e297902e9bb6b940e4f9ce

SHA256
65ec10f97493dc8e04a12e72a99b55f573d9a6e2488141b2fba91b4ddf27c7a8

SHA512
67e20daa0602e6850d7afc652d6c184edb2c667257209cf5c0d9e1b367c8434e64e8859ea91728fd1cf7748c895f322a7e9ebfc02a957652f05dbfe1b9951213

Download Submit
C:\Users\Admin\AppData\Local\Temp\536F.tmp

Filesize
486KB

MD5
5c4ce37b5ab29c6546c756d8d920d99e

SHA1
448542e7e5255021a32ad88e9b9fae2dcf69e235

SHA256
181619ffd3a059b43ddb8d9ad519e64bda602f0046004d36f6689af6acccc974

SHA512
87b7c11fd1047f4ac3305f88a3942c63ff42b96fba160082ea40621758ceefd184dc5c82efc74720d5c51c9c6f15c5fbcbde4a34162463faa8e293e6ea4db063

Download Submit
C:\Users\Admin\AppData\Local\Temp\5469.tmp

Filesize
486KB

MD5
a8585fe5c4691f5a0fe67f79d9db55c9

SHA1
bca20d59a76d5b69bda21a96e930b2e48f3a3e71

SHA256
6d7a7ed967eb891dc90c8c3d7d5e83b72f6c531914e416cea045c6d3329bb414

SHA512
13bb35624c32b20cf4b454fc83b598296ddb0e7ad0f8181fc89f106114a93fed333c44c4935754dbf1dc83a85bd1349ca6ac5cd24fe98e5de104e57bee72cb40

Download Submit
C:\Users\Admin\AppData\Local\Temp\5573.tmp

Filesize
486KB

MD5
2cc37bdd14936f0259a35863a52725ea

SHA1
c81dcbf238390c24010d1419c3bd93d187e10d19

SHA256
a0bfc803903a6ba6d63bfbc79a7b4a13449f0da499d6a9c2d32a8dd263bd9649

SHA512
fc7ced5e75baa3d2b04276521a22861e919adc6d80d2bc4ea028baf1b0c776c4411ace616ba27cd33e221859af8bb49ccceb1858f2a8e56c759f95c51564462a

Download Submit
C:\Users\Admin\AppData\Local\Temp\561F.tmp

Filesize
486KB

MD5
16fe1b34c144182a94d2e0ba423eba8b

SHA1
8d56bba34f24670ee3f57bbb80a5582e03778500

SHA256
b46435fc9fde98555e991571a675e0eb62d83d0cf929031e0aab425e0cbfe478

SHA512
ae485bbdf3dfe5f18ebb3a837f6ffb010385365e6bc5ee0b2a4b31684bd423b2d7a1edd157832268edf6d159e180683f0713f6f182d14ac4b5060e5e785665f1

Download Submit
C:\Users\Admin\AppData\Local\Temp\566D.tmp

Filesize
486KB

MD5
1526773ec994c33fd1a314090a64cbe0

SHA1
c654dd073922704feb101c9ced6d69a60b166c06

SHA256
05efaa76115379f772894a8263a1e5b24c229093842d42ea10def3c2aa77c0dc

SHA512
13c5ec74b0a450acaf3320cb83f5ef0c6336bb50eca37254a79bcd47e89433dbf255f1a3f423d866f08b7d128e014a20e9cd7e7b694facd2ff55e46398370545

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads