7264f1b37401d3542bbd956e2aa19b8fdccd8bc521fcca71c3995347eacddf20

Analysis

max time kernel
150s
max time network
118s
platform
windows7_x64
resource
win7-20231215-en
resource tags

arch:x64arch:x86image:win7-20231215-enlocale:en-usos:windows7-x64system
submitted
07/01/2024, 12:09

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2024-01-06_5483274bf5cc7ac8b2a0eb3afe3c3668_mafia.exe
Size

520KB
MD5

5483274bf5cc7ac8b2a0eb3afe3c3668
SHA1

da5c0658bee15b7f6c4dcc8e2ecc0417bedf5945
SHA256

7264f1b37401d3542bbd956e2aa19b8fdccd8bc521fcca71c3995347eacddf20
SHA512

db4f16f68a5aa355391842309814f4433de2eac6f75e4b404a7bb97f5dfffaaeb152fff916f89c1392c7a1b967355f6a10f0da5b2f497fc7c188c116bed84b0d
SSDEEP

6144:pXT6Oq8HBh4huuAOBdRFyh1T55i8fkbM+p1y29sH3b3R13+1Db+ujM7wW76eELrZ:gj8fuxR21t5i8fQ62c3bf+sJ6zHpNZ

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
2096	E05.tmp
2900	E43.tmp
2700	E82.tmp
2716	EC0.tmp
2836	EFE.tmp
2732	F5C.tmp
2876	F9A.tmp
2632	FD9.tmp
2652	1017.tmp
2620	1056.tmp
2780	10A4.tmp
2468	10E2.tmp
1788	1120.tmp
2660	115F.tmp
2944	119D.tmp
2800	11DC.tmp
2520	121A.tmp
1716	1258.tmp
1660	1297.tmp
2328	12D5.tmp
1580	1314.tmp
2180	1352.tmp
1308	1390.tmp
1276	13CF.tmp
2300	140D.tmp
2100	144C.tmp
2276	148A.tmp
2088	14B9.tmp
3008	2FC7.tmp
2020	1526.tmp
596	22AD.tmp
804	15A3.tmp
1048	15E1.tmp
1496	2359.tmp
2464	165E.tmp
360	169C.tmp
1804	16DB.tmp
1780	1719.tmp
452	1748.tmp
2452	1777.tmp
2252	17A6.tmp
824	17E4.tmp
892	1813.tmp
628	3302.tmp
2304	62F7.tmp
632	2636.tmp
912	18FD.tmp
708	193B.tmp
1800	197A.tmp
1260	19B8.tmp
2184	5FEB.tmp
1760	602A.tmp
888	1A64.tmp
1796	1AA2.tmp
2052	1AE0.tmp
1632	1B0F.tmp
3048	1B3E.tmp
2036	1B7C.tmp
1204	1BBB.tmp
2744	6336.tmp
1028	1C38.tmp
2816	1C76.tmp
2740	1CB4.tmp
2564	1CE3.tmp

Loads dropped DLL 64 IoCs

pid	Process
2380	2024-01-06_5483274bf5cc7ac8b2a0eb3afe3c3668_mafia.exe
2096	E05.tmp
2900	E43.tmp
2700	E82.tmp
2716	EC0.tmp
2836	EFE.tmp
2732	F5C.tmp
2876	F9A.tmp
2632	FD9.tmp
2652	1017.tmp
2620	1056.tmp
2780	10A4.tmp
2468	10E2.tmp
1788	1120.tmp
2660	115F.tmp
2944	119D.tmp
2800	11DC.tmp
2520	121A.tmp
1716	1258.tmp
1660	1297.tmp
2328	12D5.tmp
1580	1314.tmp
2180	1352.tmp
1308	1390.tmp
1276	13CF.tmp
2300	140D.tmp
2100	144C.tmp
2276	148A.tmp
2088	14B9.tmp
3008	2FC7.tmp
2020	1526.tmp
596	22AD.tmp
804	15A3.tmp
1048	15E1.tmp
1496	2359.tmp
2464	165E.tmp
360	169C.tmp
1804	16DB.tmp
1780	1719.tmp
452	1748.tmp
2452	1777.tmp
2252	17A6.tmp
824	17E4.tmp
892	1813.tmp
628	3302.tmp
2304	62F7.tmp
632	2636.tmp
912	18FD.tmp
708	193B.tmp
1800	197A.tmp
1260	19B8.tmp
2184	5FEB.tmp
1760	602A.tmp
888	1A64.tmp
1796	1AA2.tmp
2052	1AE0.tmp
1632	1B0F.tmp
3048	1B3E.tmp
2036	1B7C.tmp
1204	1BBB.tmp
2744	6336.tmp
1028	1C38.tmp
2816	1C76.tmp
2740	1CB4.tmp

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2380 wrote to memory of 2096	2380	2024-01-06_5483274bf5cc7ac8b2a0eb3afe3c3668_mafia.exe	365
PID 2380 wrote to memory of 2096	2380	2024-01-06_5483274bf5cc7ac8b2a0eb3afe3c3668_mafia.exe	365
PID 2380 wrote to memory of 2096	2380	2024-01-06_5483274bf5cc7ac8b2a0eb3afe3c3668_mafia.exe	365
PID 2380 wrote to memory of 2096	2380	2024-01-06_5483274bf5cc7ac8b2a0eb3afe3c3668_mafia.exe	365
PID 2096 wrote to memory of 2900	2096	E05.tmp	364
PID 2096 wrote to memory of 2900	2096	E05.tmp	364
PID 2096 wrote to memory of 2900	2096	E05.tmp	364
PID 2096 wrote to memory of 2900	2096	E05.tmp	364
PID 2900 wrote to memory of 2700	2900	E43.tmp	363
PID 2900 wrote to memory of 2700	2900	E43.tmp	363
PID 2900 wrote to memory of 2700	2900	E43.tmp	363
PID 2900 wrote to memory of 2700	2900	E43.tmp	363
PID 2700 wrote to memory of 2716	2700	E82.tmp	362
PID 2700 wrote to memory of 2716	2700	E82.tmp	362
PID 2700 wrote to memory of 2716	2700	E82.tmp	362
PID 2700 wrote to memory of 2716	2700	E82.tmp	362
PID 2716 wrote to memory of 2836	2716	EC0.tmp	361
PID 2716 wrote to memory of 2836	2716	EC0.tmp	361
PID 2716 wrote to memory of 2836	2716	EC0.tmp	361
PID 2716 wrote to memory of 2836	2716	EC0.tmp	361
PID 2836 wrote to memory of 2732	2836	EFE.tmp	360
PID 2836 wrote to memory of 2732	2836	EFE.tmp	360
PID 2836 wrote to memory of 2732	2836	EFE.tmp	360
PID 2836 wrote to memory of 2732	2836	EFE.tmp	360
PID 2732 wrote to memory of 2876	2732	F5C.tmp	359
PID 2732 wrote to memory of 2876	2732	F5C.tmp	359
PID 2732 wrote to memory of 2876	2732	F5C.tmp	359
PID 2732 wrote to memory of 2876	2732	F5C.tmp	359
PID 2876 wrote to memory of 2632	2876	F9A.tmp	358
PID 2876 wrote to memory of 2632	2876	F9A.tmp	358
PID 2876 wrote to memory of 2632	2876	F9A.tmp	358
PID 2876 wrote to memory of 2632	2876	F9A.tmp	358
PID 2632 wrote to memory of 2652	2632	FD9.tmp	357
PID 2632 wrote to memory of 2652	2632	FD9.tmp	357
PID 2632 wrote to memory of 2652	2632	FD9.tmp	357
PID 2632 wrote to memory of 2652	2632	FD9.tmp	357
PID 2652 wrote to memory of 2620	2652	1017.tmp	356
PID 2652 wrote to memory of 2620	2652	1017.tmp	356
PID 2652 wrote to memory of 2620	2652	1017.tmp	356
PID 2652 wrote to memory of 2620	2652	1017.tmp	356
PID 2620 wrote to memory of 2780	2620	1056.tmp	355
PID 2620 wrote to memory of 2780	2620	1056.tmp	355
PID 2620 wrote to memory of 2780	2620	1056.tmp	355
PID 2620 wrote to memory of 2780	2620	1056.tmp	355
PID 2780 wrote to memory of 2468	2780	10A4.tmp	354
PID 2780 wrote to memory of 2468	2780	10A4.tmp	354
PID 2780 wrote to memory of 2468	2780	10A4.tmp	354
PID 2780 wrote to memory of 2468	2780	10A4.tmp	354
PID 2468 wrote to memory of 1788	2468	10E2.tmp	353
PID 2468 wrote to memory of 1788	2468	10E2.tmp	353
PID 2468 wrote to memory of 1788	2468	10E2.tmp	353
PID 2468 wrote to memory of 1788	2468	10E2.tmp	353
PID 1788 wrote to memory of 2660	1788	1120.tmp	352
PID 1788 wrote to memory of 2660	1788	1120.tmp	352
PID 1788 wrote to memory of 2660	1788	1120.tmp	352
PID 1788 wrote to memory of 2660	1788	1120.tmp	352
PID 2660 wrote to memory of 2944	2660	115F.tmp	351
PID 2660 wrote to memory of 2944	2660	115F.tmp	351
PID 2660 wrote to memory of 2944	2660	115F.tmp	351
PID 2660 wrote to memory of 2944	2660	115F.tmp	351
PID 2944 wrote to memory of 2800	2944	119D.tmp	350
PID 2944 wrote to memory of 2800	2944	119D.tmp	350
PID 2944 wrote to memory of 2800	2944	119D.tmp	350
PID 2944 wrote to memory of 2800	2944	119D.tmp	350

C:\Users\Admin\AppData\Local\Temp\140D.tmp
"C:\Users\Admin\AppData\Local\Temp\140D.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2300
- C:\Users\Admin\AppData\Local\Temp\144C.tmp
  "C:\Users\Admin\AppData\Local\Temp\144C.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2100
- C:\Users\Admin\AppData\Local\Temp\A8BD.tmp
  "C:\Users\Admin\AppData\Local\Temp\A8BD.tmp"
  2⤵
  PID:2588
- - C:\Users\Admin\AppData\Local\Temp\A8FC.tmp
    "C:\Users\Admin\AppData\Local\Temp\A8FC.tmp"
    3⤵
    PID:1916

C:\Users\Admin\AppData\Local\Temp\14E8.tmp
"C:\Users\Admin\AppData\Local\Temp\14E8.tmp"
1⤵
PID:3008
- C:\Users\Admin\AppData\Local\Temp\5B69.tmp
  "C:\Users\Admin\AppData\Local\Temp\5B69.tmp"
  2⤵
  PID:336
- - C:\Users\Admin\AppData\Local\Temp\5B98.tmp
    "C:\Users\Admin\AppData\Local\Temp\5B98.tmp"
    3⤵
    PID:1096
  - - C:\Users\Admin\AppData\Local\Temp\5BD6.tmp
      "C:\Users\Admin\AppData\Local\Temp\5BD6.tmp"
      4⤵
      PID:2220
    - - C:\Users\Admin\AppData\Local\Temp\5C05.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C05.tmp"
        5⤵
        
        PID:2616
      - C:\Users\Admin\AppData\Local\Temp\6D73.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D73.tmp"
        6⤵
        
        PID:956
        
        C:\Users\Admin\AppData\Local\Temp\6DB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DB1.tmp"
        7⤵
        
        PID:1484
        
        C:\Users\Admin\AppData\Local\Temp\8D51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D51.tmp"
        8⤵
        
        PID:2556
        
        C:\Users\Admin\AppData\Local\Temp\8D90.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D90.tmp"
        9⤵
        
        PID:412
        
        C:\Users\Admin\AppData\Local\Temp\7E15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E15.tmp"
        10⤵
        
        PID:1780
        
        C:\Users\Admin\AppData\Local\Temp\E244.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E244.tmp"
        11⤵
        
        PID:824
        
        C:\Users\Admin\AppData\Local\Temp\9D68.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D68.tmp"
        9⤵
        
        PID:412
        
        C:\Users\Admin\AppData\Local\Temp\9DA6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DA6.tmp"
        10⤵
        
        PID:788
        
        C:\Users\Admin\AppData\Local\Temp\8D13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D13.tmp"
        7⤵
        
        PID:1484
        
        C:\Users\Admin\AppData\Local\Temp\7DA8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DA8.tmp"
        8⤵
        
        PID:2948
    - - C:\Users\Admin\AppData\Local\Temp\6D34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D34.tmp"
        5⤵
        
        PID:2616

C:\Users\Admin\AppData\Local\Temp\1564.tmp
"C:\Users\Admin\AppData\Local\Temp\1564.tmp"
1⤵
PID:596
- C:\Users\Admin\AppData\Local\Temp\22DC.tmp
  "C:\Users\Admin\AppData\Local\Temp\22DC.tmp"
  2⤵
  PID:804
- - C:\Users\Admin\AppData\Local\Temp\231A.tmp
    "C:\Users\Admin\AppData\Local\Temp\231A.tmp"
    3⤵
    PID:1604
  - - C:\Users\Admin\AppData\Local\Temp\2359.tmp
      "C:\Users\Admin\AppData\Local\Temp\2359.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:1496
    - - C:\Users\Admin\AppData\Local\Temp\165E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\165E.tmp"
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2464
      - C:\Users\Admin\AppData\Local\Temp\9C4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C4F.tmp"
        6⤵
        
        PID:2220
        
        C:\Users\Admin\AppData\Local\Temp\9C7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C7E.tmp"
        7⤵
        
        PID:856
  - - C:\Users\Admin\AppData\Local\Temp\AAD0.tmp
      "C:\Users\Admin\AppData\Local\Temp\AAD0.tmp"
      4⤵
      PID:2908
    - - C:\Users\Admin\AppData\Local\Temp\BCF9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BCF9.tmp"
        5⤵
        
        PID:1048
- C:\Users\Admin\AppData\Local\Temp\4CC9.tmp
  "C:\Users\Admin\AppData\Local\Temp\4CC9.tmp"
  2⤵
  PID:2176
- - C:\Users\Admin\AppData\Local\Temp\9B94.tmp
    "C:\Users\Admin\AppData\Local\Temp\9B94.tmp"
    3⤵
    PID:3008

C:\Users\Admin\AppData\Local\Temp\1620.tmp
"C:\Users\Admin\AppData\Local\Temp\1620.tmp"
1⤵
PID:1496
- C:\Users\Admin\AppData\Local\Temp\2397.tmp
  "C:\Users\Admin\AppData\Local\Temp\2397.tmp"
  2⤵
  PID:1492

C:\Users\Admin\AppData\Local\Temp\16DB.tmp
"C:\Users\Admin\AppData\Local\Temp\16DB.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1804
- C:\Users\Admin\AppData\Local\Temp\1719.tmp
  "C:\Users\Admin\AppData\Local\Temp\1719.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1780
- - C:\Users\Admin\AppData\Local\Temp\7E54.tmp
    "C:\Users\Admin\AppData\Local\Temp\7E54.tmp"
    3⤵
    PID:332
- C:\Users\Admin\AppData\Local\Temp\5DA.tmp
  "C:\Users\Admin\AppData\Local\Temp\5DA.tmp"
  2⤵
  PID:1604
- - C:\Users\Admin\AppData\Local\Temp\619.tmp
    "C:\Users\Admin\AppData\Local\Temp\619.tmp"
    3⤵
    PID:2192

C:\Users\Admin\AppData\Local\Temp\1842.tmp
"C:\Users\Admin\AppData\Local\Temp\1842.tmp"
1⤵
PID:628
- C:\Users\Admin\AppData\Local\Temp\3340.tmp
  "C:\Users\Admin\AppData\Local\Temp\3340.tmp"
  2⤵
  PID:1296
- - C:\Users\Admin\AppData\Local\Temp\337F.tmp
    "C:\Users\Admin\AppData\Local\Temp\337F.tmp"
    3⤵
    PID:2320

C:\Users\Admin\AppData\Local\Temp\18BE.tmp
"C:\Users\Admin\AppData\Local\Temp\18BE.tmp"
1⤵
PID:632

C:\Users\Admin\AppData\Local\Temp\197A.tmp
"C:\Users\Admin\AppData\Local\Temp\197A.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1800
- C:\Users\Admin\AppData\Local\Temp\19B8.tmp
  "C:\Users\Admin\AppData\Local\Temp\19B8.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1260

C:\Users\Admin\AppData\Local\Temp\1A25.tmp
"C:\Users\Admin\AppData\Local\Temp\1A25.tmp"
1⤵
PID:1760
- C:\Users\Admin\AppData\Local\Temp\1A64.tmp
  "C:\Users\Admin\AppData\Local\Temp\1A64.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:888
- C:\Users\Admin\AppData\Local\Temp\6068.tmp
  "C:\Users\Admin\AppData\Local\Temp\6068.tmp"
  2⤵
  PID:2752
- - C:\Users\Admin\AppData\Local\Temp\60A6.tmp
    "C:\Users\Admin\AppData\Local\Temp\60A6.tmp"
    3⤵
    PID:1208
  - - C:\Users\Admin\AppData\Local\Temp\7291.tmp
      "C:\Users\Admin\AppData\Local\Temp\7291.tmp"
      4⤵
      PID:1652
    - - C:\Users\Admin\AppData\Local\Temp\72C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72C0.tmp"
        5⤵
        
        PID:1816
      - C:\Users\Admin\AppData\Local\Temp\730E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\730E.tmp"
        6⤵
        
        PID:2112
        
        C:\Users\Admin\AppData\Local\Temp\735C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\735C.tmp"
        7⤵
        
        PID:1592
        
        C:\Users\Admin\AppData\Local\Temp\82D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82D6.tmp"
        8⤵
        
        PID:2904
        
        C:\Users\Admin\AppData\Local\Temp\8315.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8315.tmp"
        9⤵
        
        PID:2900
        
        C:\Users\Admin\AppData\Local\Temp\92CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\92CD.tmp"
        9⤵
        
        PID:2828
        
        C:\Users\Admin\AppData\Local\Temp\930C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\930C.tmp"
        10⤵
        
        PID:2832
        
        C:\Users\Admin\AppData\Local\Temp\A2F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A2F3.tmp"
        11⤵
        
        PID:2776
        
        C:\Users\Admin\AppData\Local\Temp\A332.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A332.tmp"
        12⤵
        
        PID:2756
        
        C:\Users\Admin\AppData\Local\Temp\A370.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A370.tmp"
        13⤵
        
        PID:2632
        
        C:\Users\Admin\AppData\Local\Temp\C63C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C63C.tmp"
        12⤵
        
        PID:2536
        
        C:\Users\Admin\AppData\Local\Temp\A2C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A2C5.tmp"
        10⤵
        
        PID:2832
      - C:\Users\Admin\AppData\Local\Temp\8269.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8269.tmp"
        6⤵
        
        PID:2052
        
        C:\Users\Admin\AppData\Local\Temp\82A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82A7.tmp"
        7⤵
        
        PID:1592
        
        C:\Users\Admin\AppData\Local\Temp\A238.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A238.tmp"
        7⤵
        
        PID:2796
        
        C:\Users\Admin\AppData\Local\Temp\C542.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C542.tmp"
        8⤵
        
        PID:2608
        
        C:\Users\Admin\AppData\Local\Temp\C581.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C581.tmp"
        9⤵
        
        PID:2988
        
        C:\Users\Admin\AppData\Local\Temp\D7D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7D8.tmp"
        10⤵
        
        PID:2748
        
        C:\Users\Admin\AppData\Local\Temp\D836.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D836.tmp"
        11⤵
        
        PID:2776
        
        C:\Users\Admin\AppData\Local\Temp\D884.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D884.tmp"
        12⤵
        
        PID:2784
        
        C:\Users\Admin\AppData\Local\Temp\D8D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D8D2.tmp"
        13⤵
        
        PID:2656
        
        C:\Users\Admin\AppData\Local\Temp\EA30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA30.tmp"
        13⤵
        
        PID:1532
        
        C:\Users\Admin\AppData\Local\Temp\EA6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA6E.tmp"
        14⤵
        
        PID:2652
        
        C:\Users\Admin\AppData\Local\Temp\EAAD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EAAD.tmp"
        15⤵
        
        PID:1596
        
        C:\Users\Admin\AppData\Local\Temp\EAFB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EAFB.tmp"
        16⤵
        
        PID:2660
        
        C:\Users\Admin\AppData\Local\Temp\EB49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB49.tmp"
        17⤵
        
        PID:2172
        
        C:\Users\Admin\AppData\Local\Temp\EB87.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB87.tmp"
        18⤵
        
        PID:1672
        
        C:\Users\Admin\AppData\Local\Temp\EC04.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC04.tmp"
        19⤵
        
        PID:2228
        
        C:\Users\Admin\AppData\Local\Temp\EC71.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC71.tmp"
        20⤵
        
        PID:2804
        
        C:\Users\Admin\AppData\Local\Temp\ECBF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ECBF.tmp"
        21⤵
        
        PID:1456
        
        C:\Users\Admin\AppData\Local\Temp\ED1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED1D.tmp"
        22⤵
        
        PID:844
        
        C:\Users\Admin\AppData\Local\Temp\ED6B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED6B.tmp"
        23⤵
        
        PID:2756
        
        C:\Users\Admin\AppData\Local\Temp\EDA9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDA9.tmp"
        24⤵
        
        PID:2332
        
        C:\Users\Admin\AppData\Local\Temp\EDE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDE8.tmp"
        25⤵
        
        PID:2932
        
        C:\Users\Admin\AppData\Local\Temp\EE45.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE45.tmp"
        26⤵
        
        PID:2072
        
        C:\Users\Admin\AppData\Local\Temp\EEA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EEA3.tmp"
        27⤵
        
        PID:3032
        
        C:\Users\Admin\AppData\Local\Temp\EEF1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EEF1.tmp"
        28⤵
        
        PID:2244
        
        C:\Users\Admin\AppData\Local\Temp\EF2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF2F.tmp"
        29⤵
        
        PID:1912
        
        C:\Users\Admin\AppData\Local\Temp\E9F2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9F2.tmp"
        12⤵
        
        PID:2784
- - C:\Users\Admin\AppData\Local\Temp\7262.tmp
    "C:\Users\Admin\AppData\Local\Temp\7262.tmp"
    3⤵
    PID:1208
  - - C:\Users\Admin\AppData\Local\Temp\81EC.tmp
      "C:\Users\Admin\AppData\Local\Temp\81EC.tmp"
      4⤵
      PID:1972
    - - C:\Users\Admin\AppData\Local\Temp\822B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\822B.tmp"
        5⤵
        
        PID:1816
      - C:\Users\Admin\AppData\Local\Temp\9231.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9231.tmp"
        6⤵
        
        PID:2112
        
        C:\Users\Admin\AppData\Local\Temp\9270.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9270.tmp"
        7⤵
        
        PID:2796
        
        C:\Users\Admin\AppData\Local\Temp\A267.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A267.tmp"
        8⤵
        
        PID:2424
        
        C:\Users\Admin\AppData\Local\Temp\FB9E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB9E.tmp"
        9⤵
        
        PID:2816

C:\Users\Admin\AppData\Local\Temp\1B0F.tmp
"C:\Users\Admin\AppData\Local\Temp\1B0F.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1632
- C:\Users\Admin\AppData\Local\Temp\1B3E.tmp
  "C:\Users\Admin\AppData\Local\Temp\1B3E.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:3048
- - C:\Users\Admin\AppData\Local\Temp\E678.tmp
    "C:\Users\Admin\AppData\Local\Temp\E678.tmp"
    3⤵
    PID:2812
  - - C:\Users\Admin\AppData\Local\Temp\E6C6.tmp
      "C:\Users\Admin\AppData\Local\Temp\E6C6.tmp"
      4⤵
      PID:3036
    - - C:\Users\Admin\AppData\Local\Temp\E734.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E734.tmp"
        5⤵
        
        PID:2872
      - C:\Users\Admin\AppData\Local\Temp\E782.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E782.tmp"
        6⤵
        
        PID:2900
        
        C:\Users\Admin\AppData\Local\Temp\E7D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7D0.tmp"
        7⤵
        
        PID:2912

C:\Users\Admin\AppData\Local\Temp\1B7C.tmp
"C:\Users\Admin\AppData\Local\Temp\1B7C.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2036
- C:\Users\Admin\AppData\Local\Temp\1BBB.tmp
  "C:\Users\Admin\AppData\Local\Temp\1BBB.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1204
- - C:\Users\Admin\AppData\Local\Temp\B1B3.tmp
    "C:\Users\Admin\AppData\Local\Temp\B1B3.tmp"
    3⤵
    PID:2736

C:\Users\Admin\AppData\Local\Temp\1BF9.tmp
"C:\Users\Admin\AppData\Local\Temp\1BF9.tmp"
1⤵
PID:2744
- C:\Users\Admin\AppData\Local\Temp\29AF.tmp
  "C:\Users\Admin\AppData\Local\Temp\29AF.tmp"
  2⤵
  PID:1028
- - C:\Users\Admin\AppData\Local\Temp\29EE.tmp
    "C:\Users\Admin\AppData\Local\Temp\29EE.tmp"
    3⤵
    PID:2636
- - C:\Users\Admin\AppData\Local\Temp\1C76.tmp
    "C:\Users\Admin\AppData\Local\Temp\1C76.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:2816
  - - C:\Users\Admin\AppData\Local\Temp\755F.tmp
      "C:\Users\Admin\AppData\Local\Temp\755F.tmp"
      4⤵
      PID:2728
    - - C:\Users\Admin\AppData\Local\Temp\8508.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8508.tmp"
        5⤵
        
        PID:2936
      - C:\Users\Admin\AppData\Local\Temp\953D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\953D.tmp"
        6⤵
        
        PID:2628
        
        C:\Users\Admin\AppData\Local\Temp\A515.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A515.tmp"
        7⤵
        
        PID:2916
        
        C:\Users\Admin\AppData\Local\Temp\A544.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A544.tmp"
        8⤵
        
        PID:2672
        
        C:\Users\Admin\AppData\Local\Temp\A583.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A583.tmp"
        9⤵
        
        PID:2788
        
        C:\Users\Admin\AppData\Local\Temp\C8BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8BB.tmp"
        8⤵
        
        PID:1716

C:\Users\Admin\AppData\Local\Temp\1D12.tmp
"C:\Users\Admin\AppData\Local\Temp\1D12.tmp"
1⤵
PID:2808
- C:\Users\Admin\AppData\Local\Temp\386E.tmp
  "C:\Users\Admin\AppData\Local\Temp\386E.tmp"
  2⤵
  PID:1128
- - C:\Users\Admin\AppData\Local\Temp\6529.tmp
    "C:\Users\Admin\AppData\Local\Temp\6529.tmp"
    3⤵
    PID:1540
  - - C:\Users\Admin\AppData\Local\Temp\7677.tmp
      "C:\Users\Admin\AppData\Local\Temp\7677.tmp"
      4⤵
      PID:2928
    - - C:\Users\Admin\AppData\Local\Temp\8630.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8630.tmp"
        5⤵
        
        PID:2804
      - C:\Users\Admin\AppData\Local\Temp\76F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76F4.tmp"
        6⤵
        
        PID:816
        
        C:\Users\Admin\AppData\Local\Temp\96A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\96A4.tmp"
        7⤵
        
        PID:1524
        
        C:\Users\Admin\AppData\Local\Temp\96E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\96E3.tmp"
        8⤵
        
        PID:1872

C:\Users\Admin\AppData\Local\Temp\1DBE.tmp
"C:\Users\Admin\AppData\Local\Temp\1DBE.tmp"
1⤵
PID:3060

C:\Users\Admin\AppData\Local\Temp\1E79.tmp
"C:\Users\Admin\AppData\Local\Temp\1E79.tmp"
1⤵
PID:2660
- C:\Users\Admin\AppData\Local\Temp\1EB7.tmp
  "C:\Users\Admin\AppData\Local\Temp\1EB7.tmp"
  2⤵
  PID:1264
- C:\Users\Admin\AppData\Local\Temp\119D.tmp
  "C:\Users\Admin\AppData\Local\Temp\119D.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:2944

C:\Users\Admin\AppData\Local\Temp\1F63.tmp
"C:\Users\Admin\AppData\Local\Temp\1F63.tmp"
1⤵
PID:1280
- C:\Users\Admin\AppData\Local\Temp\1FA1.tmp
  "C:\Users\Admin\AppData\Local\Temp\1FA1.tmp"
  2⤵
  PID:1636

C:\Users\Admin\AppData\Local\Temp\1FE0.tmp
"C:\Users\Admin\AppData\Local\Temp\1FE0.tmp"
1⤵
PID:2968
- C:\Users\Admin\AppData\Local\Temp\201E.tmp
  "C:\Users\Admin\AppData\Local\Temp\201E.tmp"
  2⤵
  PID:1456

C:\Users\Admin\AppData\Local\Temp\205C.tmp
"C:\Users\Admin\AppData\Local\Temp\205C.tmp"
1⤵
PID:1320
- C:\Users\Admin\AppData\Local\Temp\209B.tmp
  "C:\Users\Admin\AppData\Local\Temp\209B.tmp"
  2⤵
  PID:1284

C:\Users\Admin\AppData\Local\Temp\2118.tmp
"C:\Users\Admin\AppData\Local\Temp\2118.tmp"
1⤵
PID:1980
- C:\Users\Admin\AppData\Local\Temp\2156.tmp
  "C:\Users\Admin\AppData\Local\Temp\2156.tmp"
  2⤵
  PID:2100
- - C:\Users\Admin\AppData\Local\Temp\2194.tmp
    "C:\Users\Admin\AppData\Local\Temp\2194.tmp"
    3⤵
    PID:2296
  - - C:\Users\Admin\AppData\Local\Temp\21F2.tmp
      "C:\Users\Admin\AppData\Local\Temp\21F2.tmp"
      4⤵
      PID:2088
    - - C:\Users\Admin\AppData\Local\Temp\2230.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2230.tmp"
        5⤵
        
        PID:2592
      - C:\Users\Admin\AppData\Local\Temp\8B2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B2F.tmp"
        6⤵
        
        PID:324
        
        C:\Users\Admin\AppData\Local\Temp\9B55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9B55.tmp"
        7⤵
        
        PID:2176
  - - C:\Users\Admin\AppData\Local\Temp\2F89.tmp
      "C:\Users\Admin\AppData\Local\Temp\2F89.tmp"
      4⤵
      PID:2880
- C:\Users\Admin\AppData\Local\Temp\2F1C.tmp
  "C:\Users\Admin\AppData\Local\Temp\2F1C.tmp"
  2⤵
  PID:2100
- - C:\Users\Admin\AppData\Local\Temp\2F5A.tmp
    "C:\Users\Admin\AppData\Local\Temp\2F5A.tmp"
    3⤵
    PID:2296
- - C:\Users\Admin\AppData\Local\Temp\148A.tmp
    "C:\Users\Admin\AppData\Local\Temp\148A.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:2276

C:\Users\Admin\AppData\Local\Temp\20D9.tmp
"C:\Users\Admin\AppData\Local\Temp\20D9.tmp"
1⤵
PID:2268
- C:\Users\Admin\AppData\Local\Temp\5995.tmp
  "C:\Users\Admin\AppData\Local\Temp\5995.tmp"
  2⤵
  PID:2476

C:\Users\Admin\AppData\Local\Temp\226F.tmp
"C:\Users\Admin\AppData\Local\Temp\226F.tmp"
1⤵
PID:2020

C:\Users\Admin\AppData\Local\Temp\23D6.tmp
"C:\Users\Admin\AppData\Local\Temp\23D6.tmp"
1⤵
PID:360
- C:\Users\Admin\AppData\Local\Temp\2414.tmp
  "C:\Users\Admin\AppData\Local\Temp\2414.tmp"
  2⤵
  PID:1944
- - C:\Users\Admin\AppData\Local\Temp\59C.tmp
    "C:\Users\Admin\AppData\Local\Temp\59C.tmp"
    3⤵
    PID:1804

C:\Users\Admin\AppData\Local\Temp\2491.tmp
"C:\Users\Admin\AppData\Local\Temp\2491.tmp"
1⤵
PID:452
- C:\Users\Admin\AppData\Local\Temp\24CF.tmp
  "C:\Users\Admin\AppData\Local\Temp\24CF.tmp"
  2⤵
  PID:2452
- - C:\Users\Admin\AppData\Local\Temp\17A6.tmp
    "C:\Users\Admin\AppData\Local\Temp\17A6.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:2252
- C:\Users\Admin\AppData\Local\Temp\1777.tmp
  "C:\Users\Admin\AppData\Local\Temp\1777.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2452

C:\Users\Admin\AppData\Local\Temp\250E.tmp
"C:\Users\Admin\AppData\Local\Temp\250E.tmp"
1⤵
PID:2252
- C:\Users\Admin\AppData\Local\Temp\254C.tmp
  "C:\Users\Admin\AppData\Local\Temp\254C.tmp"
  2⤵
  PID:1404
- C:\Users\Admin\AppData\Local\Temp\17E4.tmp
  "C:\Users\Admin\AppData\Local\Temp\17E4.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:824
- - C:\Users\Admin\AppData\Local\Temp\E282.tmp
    "C:\Users\Admin\AppData\Local\Temp\E282.tmp"
    3⤵
    PID:2556
  - - C:\Users\Admin\AppData\Local\Temp\E2C1.tmp
      "C:\Users\Admin\AppData\Local\Temp\E2C1.tmp"
      4⤵
      PID:2420
    - - C:\Users\Admin\AppData\Local\Temp\E31E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E31E.tmp"
        5⤵
        
        PID:788
      - C:\Users\Admin\AppData\Local\Temp\E36C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E36C.tmp"
        6⤵
        
        PID:2512
        
        C:\Users\Admin\AppData\Local\Temp\E3BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E3BA.tmp"
        7⤵
        
        PID:1828

C:\Users\Admin\AppData\Local\Temp\2607.tmp
"C:\Users\Admin\AppData\Local\Temp\2607.tmp"
1⤵
PID:2304
- C:\Users\Admin\AppData\Local\Temp\2636.tmp
  "C:\Users\Admin\AppData\Local\Temp\2636.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:632
- - C:\Users\Admin\AppData\Local\Temp\18FD.tmp
    "C:\Users\Admin\AppData\Local\Temp\18FD.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:912

C:\Users\Admin\AppData\Local\Temp\26A3.tmp
"C:\Users\Admin\AppData\Local\Temp\26A3.tmp"
1⤵
PID:1732

C:\Users\Admin\AppData\Local\Temp\2720.tmp
"C:\Users\Admin\AppData\Local\Temp\2720.tmp"
1⤵
PID:2124

C:\Users\Admin\AppData\Local\Temp\279D.tmp
"C:\Users\Admin\AppData\Local\Temp\279D.tmp"
1⤵
PID:2492
- C:\Users\Admin\AppData\Local\Temp\27DB.tmp
  "C:\Users\Admin\AppData\Local\Temp\27DB.tmp"
  2⤵
  PID:888
- - C:\Users\Admin\AppData\Local\Temp\35DF.tmp
    "C:\Users\Admin\AppData\Local\Temp\35DF.tmp"
    3⤵
    PID:1592
  - - C:\Users\Admin\AppData\Local\Temp\361E.tmp
      "C:\Users\Admin\AppData\Local\Temp\361E.tmp"
      4⤵
      PID:2052
    - - C:\Users\Admin\AppData\Local\Temp\2887.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2887.tmp"
        5⤵
        
        PID:1680
      - C:\Users\Admin\AppData\Local\Temp\C35F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C35F.tmp"
        6⤵
        
        PID:2004
        
        C:\Users\Admin\AppData\Local\Temp\C39D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C39D.tmp"
        7⤵
        
        PID:2012
  - - C:\Users\Admin\AppData\Local\Temp\2848.tmp
      "C:\Users\Admin\AppData\Local\Temp\2848.tmp"
      4⤵
      PID:2052

C:\Users\Admin\AppData\Local\Temp\28F4.tmp
"C:\Users\Admin\AppData\Local\Temp\28F4.tmp"
1⤵
PID:2424
- C:\Users\Admin\AppData\Local\Temp\2932.tmp
  "C:\Users\Admin\AppData\Local\Temp\2932.tmp"
  2⤵
  PID:2832
- - C:\Users\Admin\AppData\Local\Temp\7417.tmp
    "C:\Users\Admin\AppData\Local\Temp\7417.tmp"
    3⤵
    PID:344
- C:\Users\Admin\AppData\Local\Temp\A296.tmp
  "C:\Users\Admin\AppData\Local\Temp\A296.tmp"
  2⤵
  PID:2828

C:\Users\Admin\AppData\Local\Temp\28B6.tmp
"C:\Users\Admin\AppData\Local\Temp\28B6.tmp"
1⤵
PID:2484

C:\Users\Admin\AppData\Local\Temp\2A5B.tmp
"C:\Users\Admin\AppData\Local\Temp\2A5B.tmp"
1⤵
PID:2608
- C:\Users\Admin\AppData\Local\Temp\2A99.tmp
  "C:\Users\Admin\AppData\Local\Temp\2A99.tmp"
  2⤵
  PID:2680

C:\Users\Admin\AppData\Local\Temp\2B06.tmp
"C:\Users\Admin\AppData\Local\Temp\2B06.tmp"
1⤵
PID:1596
- C:\Users\Admin\AppData\Local\Temp\2B45.tmp
  "C:\Users\Admin\AppData\Local\Temp\2B45.tmp"
  2⤵
  PID:1532
- C:\Users\Admin\AppData\Local\Temp\55ED.tmp
  "C:\Users\Admin\AppData\Local\Temp\55ED.tmp"
  2⤵
  PID:2848
- - C:\Users\Admin\AppData\Local\Temp\B4DE.tmp
    "C:\Users\Admin\AppData\Local\Temp\B4DE.tmp"
    3⤵
    PID:2056
  - - C:\Users\Admin\AppData\Local\Temp\B51C.tmp
      "C:\Users\Admin\AppData\Local\Temp\B51C.tmp"
      4⤵
      PID:1788
    - - C:\Users\Admin\AppData\Local\Temp\B589.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B589.tmp"
        5⤵
        
        PID:1060
      - C:\Users\Admin\AppData\Local\Temp\B5C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B5C8.tmp"
        6⤵
        
        PID:2584

C:\Users\Admin\AppData\Local\Temp\2BC2.tmp
"C:\Users\Admin\AppData\Local\Temp\2BC2.tmp"
1⤵
PID:1928
- C:\Users\Admin\AppData\Local\Temp\2C00.tmp
  "C:\Users\Admin\AppData\Local\Temp\2C00.tmp"
  2⤵
  PID:816
- - C:\Users\Admin\AppData\Local\Temp\7733.tmp
    "C:\Users\Admin\AppData\Local\Temp\7733.tmp"
    3⤵
    PID:2468
  - - C:\Users\Admin\AppData\Local\Temp\7771.tmp
      "C:\Users\Admin\AppData\Local\Temp\7771.tmp"
      4⤵
      PID:2204

C:\Users\Admin\AppData\Local\Temp\2B83.tmp
"C:\Users\Admin\AppData\Local\Temp\2B83.tmp"
1⤵
PID:2920

C:\Users\Admin\AppData\Local\Temp\2C3E.tmp
"C:\Users\Admin\AppData\Local\Temp\2C3E.tmp"
1⤵
PID:680
- C:\Users\Admin\AppData\Local\Temp\2C7D.tmp
  "C:\Users\Admin\AppData\Local\Temp\2C7D.tmp"
  2⤵
  PID:1672
- - C:\Users\Admin\AppData\Local\Temp\48E2.tmp
    "C:\Users\Admin\AppData\Local\Temp\48E2.tmp"
    3⤵
    PID:1996
  - - C:\Users\Admin\AppData\Local\Temp\3A90.tmp
      "C:\Users\Admin\AppData\Local\Temp\3A90.tmp"
      4⤵
      PID:1700
    - - C:\Users\Admin\AppData\Local\Temp\781D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\781D.tmp"
        5⤵
        
        PID:2612
      - C:\Users\Admin\AppData\Local\Temp\784B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\784B.tmp"
        6⤵
        
        PID:872
        
        C:\Users\Admin\AppData\Local\Temp\8804.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8804.tmp"
        7⤵
        
        PID:1328
        
        C:\Users\Admin\AppData\Local\Temp\8843.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8843.tmp"
        8⤵
        
        PID:1400
        
        C:\Users\Admin\AppData\Local\Temp\9878.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9878.tmp"
        9⤵
        
        PID:1104
        
        C:\Users\Admin\AppData\Local\Temp\9849.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9849.tmp"
        8⤵
        
        PID:1400
    - - C:\Users\Admin\AppData\Local\Temp\8787.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8787.tmp"
        5⤵
        
        PID:1852
      - C:\Users\Admin\AppData\Local\Temp\87C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\87C6.tmp"
        6⤵
        
        PID:872

C:\Users\Admin\AppData\Local\Temp\2CBB.tmp
"C:\Users\Admin\AppData\Local\Temp\2CBB.tmp"
1⤵
PID:2496
- C:\Users\Admin\AppData\Local\Temp\2CFA.tmp
  "C:\Users\Admin\AppData\Local\Temp\2CFA.tmp"
  2⤵
  PID:1536

C:\Users\Admin\AppData\Local\Temp\2D67.tmp
"C:\Users\Admin\AppData\Local\Temp\2D67.tmp"
1⤵
PID:2972

C:\Users\Admin\AppData\Local\Temp\2DE4.tmp
"C:\Users\Admin\AppData\Local\Temp\2DE4.tmp"
1⤵
PID:2404
- C:\Users\Admin\AppData\Local\Temp\2E22.tmp
  "C:\Users\Admin\AppData\Local\Temp\2E22.tmp"
  2⤵
  PID:2488
- C:\Users\Admin\AppData\Local\Temp\A87F.tmp
  "C:\Users\Admin\AppData\Local\Temp\A87F.tmp"
  2⤵
  PID:2300

C:\Users\Admin\AppData\Local\Temp\2E60.tmp
"C:\Users\Admin\AppData\Local\Temp\2E60.tmp"
1⤵
PID:2572

C:\Users\Admin\AppData\Local\Temp\2EED.tmp
"C:\Users\Admin\AppData\Local\Temp\2EED.tmp"
1⤵
PID:1980
- C:\Users\Admin\AppData\Local\Temp\7B86.tmp
  "C:\Users\Admin\AppData\Local\Temp\7B86.tmp"
  2⤵
  PID:3000

C:\Users\Admin\AppData\Local\Temp\3034.tmp
"C:\Users\Admin\AppData\Local\Temp\3034.tmp"
1⤵
PID:1168
- C:\Users\Admin\AppData\Local\Temp\3073.tmp
  "C:\Users\Admin\AppData\Local\Temp\3073.tmp"
  2⤵
  PID:2120

C:\Users\Admin\AppData\Local\Temp\30B1.tmp
"C:\Users\Admin\AppData\Local\Temp\30B1.tmp"
1⤵
PID:1756
- C:\Users\Admin\AppData\Local\Temp\30F0.tmp
  "C:\Users\Admin\AppData\Local\Temp\30F0.tmp"
  2⤵
  PID:1808
- - C:\Users\Admin\AppData\Local\Temp\DF67.tmp
    "C:\Users\Admin\AppData\Local\Temp\DF67.tmp"
    3⤵
    PID:1504
  - - C:\Users\Admin\AppData\Local\Temp\DFA5.tmp
      "C:\Users\Admin\AppData\Local\Temp\DFA5.tmp"
      4⤵
      PID:3012
    - - C:\Users\Admin\AppData\Local\Temp\DFF3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DFF3.tmp"
        5⤵
        
        PID:1604
      - C:\Users\Admin\AppData\Local\Temp\E032.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E032.tmp"
        6⤵
        
        PID:1492
        
        C:\Users\Admin\AppData\Local\Temp\F2A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2A8.tmp"
        7⤵
        
        PID:320
        
        C:\Users\Admin\AppData\Local\Temp\F2D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2D7.tmp"
        8⤵
        
        PID:1044
        
        C:\Users\Admin\AppData\Local\Temp\F373.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F373.tmp"
        9⤵
        
        PID:2532
        
        C:\Users\Admin\AppData\Local\Temp\F3E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3E0.tmp"
        10⤵
        
        PID:2060
        
        C:\Users\Admin\AppData\Local\Temp\F43E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F43E.tmp"
        11⤵
        
        PID:1556
      - C:\Users\Admin\AppData\Local\Temp\F27A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F27A.tmp"
        6⤵
        
        PID:1492

C:\Users\Admin\AppData\Local\Temp\316C.tmp
"C:\Users\Admin\AppData\Local\Temp\316C.tmp"
1⤵
PID:348
- C:\Users\Admin\AppData\Local\Temp\319B.tmp
  "C:\Users\Admin\AppData\Local\Temp\319B.tmp"
  2⤵
  PID:2556

C:\Users\Admin\AppData\Local\Temp\3247.tmp
"C:\Users\Admin\AppData\Local\Temp\3247.tmp"
1⤵
PID:1616
- C:\Users\Admin\AppData\Local\Temp\40D7.tmp
  "C:\Users\Admin\AppData\Local\Temp\40D7.tmp"
  2⤵
  PID:2420

C:\Users\Admin\AppData\Local\Temp\32C4.tmp
"C:\Users\Admin\AppData\Local\Temp\32C4.tmp"
1⤵
PID:892

C:\Users\Admin\AppData\Local\Temp\33EC.tmp
"C:\Users\Admin\AppData\Local\Temp\33EC.tmp"
1⤵
PID:632
- C:\Users\Admin\AppData\Local\Temp\342A.tmp
  "C:\Users\Admin\AppData\Local\Temp\342A.tmp"
  2⤵
  PID:2460
- - C:\Users\Admin\AppData\Local\Temp\3469.tmp
    "C:\Users\Admin\AppData\Local\Temp\3469.tmp"
    3⤵
    PID:1732
  - - C:\Users\Admin\AppData\Local\Temp\34A7.tmp
      "C:\Users\Admin\AppData\Local\Temp\34A7.tmp"
      4⤵
      PID:1312
  - - C:\Users\Admin\AppData\Local\Temp\26E2.tmp
      "C:\Users\Admin\AppData\Local\Temp\26E2.tmp"
      4⤵
      PID:1812
  - - C:\Users\Admin\AppData\Local\Temp\AF71.tmp
      "C:\Users\Admin\AppData\Local\Temp\AF71.tmp"
      4⤵
      PID:3024

C:\Users\Admin\AppData\Local\Temp\33BD.tmp
"C:\Users\Admin\AppData\Local\Temp\33BD.tmp"
1⤵
PID:2976
- C:\Users\Admin\AppData\Local\Temp\50AF.tmp
  "C:\Users\Admin\AppData\Local\Temp\50AF.tmp"
  2⤵
  PID:632
- - C:\Users\Admin\AppData\Local\Temp\50EE.tmp
    "C:\Users\Admin\AppData\Local\Temp\50EE.tmp"
    3⤵
    PID:880
- - C:\Users\Admin\AppData\Local\Temp\2665.tmp
    "C:\Users\Admin\AppData\Local\Temp\2665.tmp"
    3⤵
    PID:2460
  - - C:\Users\Admin\AppData\Local\Temp\8FE1.tmp
      "C:\Users\Admin\AppData\Local\Temp\8FE1.tmp"
      4⤵
      PID:1324
    - - C:\Users\Admin\AppData\Local\Temp\8057.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8057.tmp"
        5⤵
        
        PID:2000

C:\Users\Admin\AppData\Local\Temp\34F5.tmp
"C:\Users\Admin\AppData\Local\Temp\34F5.tmp"
1⤵
PID:2124
- C:\Users\Admin\AppData\Local\Temp\3534.tmp
  "C:\Users\Admin\AppData\Local\Temp\3534.tmp"
  2⤵
  PID:1516
- C:\Users\Admin\AppData\Local\Temp\275E.tmp
  "C:\Users\Admin\AppData\Local\Temp\275E.tmp"
  2⤵
  PID:1516
- C:\Users\Admin\AppData\Local\Temp\8131.tmp
  "C:\Users\Admin\AppData\Local\Temp\8131.tmp"
  2⤵
  PID:2004
- - C:\Users\Admin\AppData\Local\Temp\816F.tmp
    "C:\Users\Admin\AppData\Local\Temp\816F.tmp"
    3⤵
    PID:2792
- - C:\Users\Admin\AppData\Local\Temp\9138.tmp
    "C:\Users\Admin\AppData\Local\Temp\9138.tmp"
    3⤵
    PID:2792
  - - C:\Users\Admin\AppData\Local\Temp\9176.tmp
      "C:\Users\Admin\AppData\Local\Temp\9176.tmp"
      4⤵
      PID:1208
    - - C:\Users\Admin\AppData\Local\Temp\A18D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A18D.tmp"
        5⤵
        
        PID:1972
      - C:\Users\Admin\AppData\Local\Temp\A1BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A1BB.tmp"
        6⤵
        
        PID:1816
        
        C:\Users\Admin\AppData\Local\Temp\A1FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A1FA.tmp"
        7⤵
        
        PID:2052
  - - C:\Users\Admin\AppData\Local\Temp\A15E.tmp
      "C:\Users\Admin\AppData\Local\Temp\A15E.tmp"
      4⤵
      PID:1208

C:\Users\Admin\AppData\Local\Temp\3562.tmp
"C:\Users\Admin\AppData\Local\Temp\3562.tmp"
1⤵
PID:2492
- C:\Users\Admin\AppData\Local\Temp\35A1.tmp
  "C:\Users\Admin\AppData\Local\Temp\35A1.tmp"
  2⤵
  PID:888
- - C:\Users\Admin\AppData\Local\Temp\52B2.tmp
    "C:\Users\Admin\AppData\Local\Temp\52B2.tmp"
    3⤵
    PID:1948
  - - C:\Users\Admin\AppData\Local\Temp\52F0.tmp
      "C:\Users\Admin\AppData\Local\Temp\52F0.tmp"
      4⤵
      PID:1332

C:\Users\Admin\AppData\Local\Temp\368B.tmp
"C:\Users\Admin\AppData\Local\Temp\368B.tmp"
1⤵
PID:2796
- C:\Users\Admin\AppData\Local\Temp\36C9.tmp
  "C:\Users\Admin\AppData\Local\Temp\36C9.tmp"
  2⤵
  PID:2140
- - C:\Users\Admin\AppData\Local\Temp\3708.tmp
    "C:\Users\Admin\AppData\Local\Temp\3708.tmp"
    3⤵
    PID:2748
- C:\Users\Admin\AppData\Local\Temp\929F.tmp
  "C:\Users\Admin\AppData\Local\Temp\929F.tmp"
  2⤵
  PID:2904
- - C:\Users\Admin\AppData\Local\Temp\B367.tmp
    "C:\Users\Admin\AppData\Local\Temp\B367.tmp"
    3⤵
    PID:2864

C:\Users\Admin\AppData\Local\Temp\365C.tmp
"C:\Users\Admin\AppData\Local\Temp\365C.tmp"
1⤵
PID:3036

C:\Users\Admin\AppData\Local\Temp\3784.tmp
"C:\Users\Admin\AppData\Local\Temp\3784.tmp"
1⤵
PID:2816
- C:\Users\Admin\AppData\Local\Temp\37C3.tmp
  "C:\Users\Admin\AppData\Local\Temp\37C3.tmp"
  2⤵
  PID:2740
- - C:\Users\Admin\AppData\Local\Temp\3801.tmp
    "C:\Users\Admin\AppData\Local\Temp\3801.tmp"
    3⤵
    PID:2264
  - - C:\Users\Admin\AppData\Local\Temp\3840.tmp
      "C:\Users\Admin\AppData\Local\Temp\3840.tmp"
      4⤵
      PID:2808
    - - C:\Users\Admin\AppData\Local\Temp\1D50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D50.tmp"
        5⤵
        
        PID:2668
- - C:\Users\Admin\AppData\Local\Temp\4682.tmp
    "C:\Users\Admin\AppData\Local\Temp\4682.tmp"
    3⤵
    PID:2652
  - - C:\Users\Admin\AppData\Local\Temp\46C0.tmp
      "C:\Users\Admin\AppData\Local\Temp\46C0.tmp"
      4⤵
      PID:2084
  - - C:\Users\Admin\AppData\Local\Temp\1056.tmp
      "C:\Users\Admin\AppData\Local\Temp\1056.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of WriteProcessMemory
      PID:2620
- C:\Users\Admin\AppData\Local\Temp\1CB4.tmp
  "C:\Users\Admin\AppData\Local\Temp\1CB4.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2740

C:\Users\Admin\AppData\Local\Temp\38EB.tmp
"C:\Users\Admin\AppData\Local\Temp\38EB.tmp"
1⤵
PID:3060
- C:\Users\Admin\AppData\Local\Temp\392A.tmp
  "C:\Users\Admin\AppData\Local\Temp\392A.tmp"
  2⤵
  PID:2468
- C:\Users\Admin\AppData\Local\Temp\1DFC.tmp
  "C:\Users\Admin\AppData\Local\Temp\1DFC.tmp"
  2⤵
  PID:2056

C:\Users\Admin\AppData\Local\Temp\39A6.tmp
"C:\Users\Admin\AppData\Local\Temp\39A6.tmp"
1⤵
PID:2228
- C:\Users\Admin\AppData\Local\Temp\39E5.tmp
  "C:\Users\Admin\AppData\Local\Temp\39E5.tmp"
  2⤵
  PID:1920
- - C:\Users\Admin\AppData\Local\Temp\3A23.tmp
    "C:\Users\Admin\AppData\Local\Temp\3A23.tmp"
    3⤵
    PID:1676
- C:\Users\Admin\AppData\Local\Temp\670D.tmp
  "C:\Users\Admin\AppData\Local\Temp\670D.tmp"
  2⤵
  PID:1716
- - C:\Users\Admin\AppData\Local\Temp\C8FA.tmp
    "C:\Users\Admin\AppData\Local\Temp\C8FA.tmp"
    3⤵
    PID:1352
  - - C:\Users\Admin\AppData\Local\Temp\C938.tmp
      "C:\Users\Admin\AppData\Local\Temp\C938.tmp"
      4⤵
      PID:2328
    - - C:\Users\Admin\AppData\Local\Temp\C977.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C977.tmp"
        5⤵
        
        PID:2332
      - C:\Users\Admin\AppData\Local\Temp\C9C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9C5.tmp"
        6⤵
        
        PID:1612
        
        C:\Users\Admin\AppData\Local\Temp\CA13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA13.tmp"
        7⤵
        
        PID:2072
        
        C:\Users\Admin\AppData\Local\Temp\CA61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA61.tmp"
        8⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\CA9F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA9F.tmp"
        9⤵
        
        PID:2244
        
        C:\Users\Admin\AppData\Local\Temp\FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA.tmp"
        7⤵
        
        PID:2620
        
        C:\Users\Admin\AppData\Local\Temp\139.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\139.tmp"
        8⤵
        
        PID:2692
        
        C:\Users\Admin\AppData\Local\Temp\177.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\177.tmp"
        9⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\204.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\204.tmp"
        10⤵
        
        PID:2404
        
        C:\Users\Admin\AppData\Local\Temp\261.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\261.tmp"
        11⤵
        
        PID:2344
        
        C:\Users\Admin\AppData\Local\Temp\2BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2BF.tmp"
        12⤵
        
        PID:2208
        
        C:\Users\Admin\AppData\Local\Temp\2FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2FD.tmp"
        13⤵
        
        PID:2892
        
        C:\Users\Admin\AppData\Local\Temp\33C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\33C.tmp"
        14⤵
        
        PID:1724
        
        C:\Users\Admin\AppData\Local\Temp\37A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37A.tmp"
        15⤵
        
        PID:688
        
        C:\Users\Admin\AppData\Local\Temp\3B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B8.tmp"
        16⤵
        
        PID:1108
        
        C:\Users\Admin\AppData\Local\Temp\3F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F7.tmp"
        17⤵
        
        PID:2852
        
        C:\Users\Admin\AppData\Local\Temp\435.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\435.tmp"
        18⤵
        
        PID:1168
        
        C:\Users\Admin\AppData\Local\Temp\474.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\474.tmp"
        19⤵
        
        PID:2476
        
        C:\Users\Admin\AppData\Local\Temp\4B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B2.tmp"
        20⤵
        
        PID:2176
        
        C:\Users\Admin\AppData\Local\Temp\4F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F0.tmp"
        21⤵
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\52F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52F.tmp"
        22⤵
        
        PID:804
        
        C:\Users\Admin\AppData\Local\Temp\56D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56D.tmp"
        23⤵
        
        PID:1944
      - C:\Users\Admin\AppData\Local\Temp\DC0D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC0D.tmp"
        6⤵
        
        PID:1308
        
        C:\Users\Admin\AppData\Local\Temp\DC4B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC4B.tmp"
        7⤵
        
        PID:2072
        
        C:\Users\Admin\AppData\Local\Temp\DC89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC89.tmp"
        8⤵
        
        PID:2180
        
        C:\Users\Admin\AppData\Local\Temp\DCD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DCD7.tmp"
        9⤵
        
        PID:2244
        
        C:\Users\Admin\AppData\Local\Temp\DD25.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD25.tmp"
        10⤵
        
        PID:2972

C:\Users\Admin\AppData\Local\Temp\3ACF.tmp
"C:\Users\Admin\AppData\Local\Temp\3ACF.tmp"
1⤵
PID:2760
- C:\Users\Admin\AppData\Local\Temp\3B0D.tmp
  "C:\Users\Admin\AppData\Local\Temp\3B0D.tmp"
  2⤵
  PID:2332
- - C:\Users\Admin\AppData\Local\Temp\3B4C.tmp
    "C:\Users\Admin\AppData\Local\Temp\3B4C.tmp"
    3⤵
    PID:1256
- - C:\Users\Admin\AppData\Local\Temp\A6E9.tmp
    "C:\Users\Admin\AppData\Local\Temp\A6E9.tmp"
    3⤵
    PID:2684
  - - C:\Users\Admin\AppData\Local\Temp\B876.tmp
      "C:\Users\Admin\AppData\Local\Temp\B876.tmp"
      4⤵
      PID:2072

C:\Users\Admin\AppData\Local\Temp\3B9A.tmp
"C:\Users\Admin\AppData\Local\Temp\3B9A.tmp"
1⤵
PID:2972
- C:\Users\Admin\AppData\Local\Temp\3BD8.tmp
  "C:\Users\Admin\AppData\Local\Temp\3BD8.tmp"
  2⤵
  PID:1308
- - C:\Users\Admin\AppData\Local\Temp\13CF.tmp
    "C:\Users\Admin\AppData\Local\Temp\13CF.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1276
- C:\Users\Admin\AppData\Local\Temp\2DA5.tmp
  "C:\Users\Admin\AppData\Local\Temp\2DA5.tmp"
  2⤵
  PID:1772

C:\Users\Admin\AppData\Local\Temp\3C84.tmp
"C:\Users\Admin\AppData\Local\Temp\3C84.tmp"
1⤵
PID:1988
- C:\Users\Admin\AppData\Local\Temp\3CC2.tmp
  "C:\Users\Admin\AppData\Local\Temp\3CC2.tmp"
  2⤵
  PID:2068
- C:\Users\Admin\AppData\Local\Temp\CB5A.tmp
  "C:\Users\Admin\AppData\Local\Temp\CB5A.tmp"
  2⤵
  PID:2856
- - C:\Users\Admin\AppData\Local\Temp\DDE1.tmp
    "C:\Users\Admin\AppData\Local\Temp\DDE1.tmp"
    3⤵
    PID:2200
  - - C:\Users\Admin\AppData\Local\Temp\F038.tmp
      "C:\Users\Admin\AppData\Local\Temp\F038.tmp"
      4⤵
      PID:2852

C:\Users\Admin\AppData\Local\Temp\3C45.tmp
"C:\Users\Admin\AppData\Local\Temp\3C45.tmp"
1⤵
PID:2080

C:\Users\Admin\AppData\Local\Temp\3D3F.tmp
"C:\Users\Admin\AppData\Local\Temp\3D3F.tmp"
1⤵
PID:3012

C:\Users\Admin\AppData\Local\Temp\3DDB.tmp
"C:\Users\Admin\AppData\Local\Temp\3DDB.tmp"
1⤵
PID:1176
- C:\Users\Admin\AppData\Local\Temp\3E19.tmp
  "C:\Users\Admin\AppData\Local\Temp\3E19.tmp"
  2⤵
  PID:1096

C:\Users\Admin\AppData\Local\Temp\3E58.tmp
"C:\Users\Admin\AppData\Local\Temp\3E58.tmp"
1⤵
PID:1984
- C:\Users\Admin\AppData\Local\Temp\3E96.tmp
  "C:\Users\Admin\AppData\Local\Temp\3E96.tmp"
  2⤵
  PID:1484
- - C:\Users\Admin\AppData\Local\Temp\6DEF.tmp
    "C:\Users\Admin\AppData\Local\Temp\6DEF.tmp"
    3⤵
    PID:2948
  - - C:\Users\Admin\AppData\Local\Temp\6E1E.tmp
      "C:\Users\Admin\AppData\Local\Temp\6E1E.tmp"
      4⤵
      PID:412
  - - C:\Users\Admin\AppData\Local\Temp\7DD7.tmp
      "C:\Users\Admin\AppData\Local\Temp\7DD7.tmp"
      4⤵
      PID:412
    - - C:\Users\Admin\AppData\Local\Temp\8DCE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8DCE.tmp"
        5⤵
        
        PID:788
      - C:\Users\Admin\AppData\Local\Temp\8E0D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E0D.tmp"
        6⤵
        
        PID:332
      - C:\Users\Admin\AppData\Local\Temp\9DE5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DE5.tmp"
        6⤵
        
        PID:2992
        
        C:\Users\Admin\AppData\Local\Temp\9E23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E23.tmp"
        7⤵
        
        PID:1376
        
        C:\Users\Admin\AppData\Local\Temp\9E61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E61.tmp"
        8⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\C0A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0A1.tmp"
        8⤵
        
        PID:356

C:\Users\Admin\AppData\Local\Temp\3F03.tmp
"C:\Users\Admin\AppData\Local\Temp\3F03.tmp"
1⤵
PID:1860
- C:\Users\Admin\AppData\Local\Temp\5CEF.tmp
  "C:\Users\Admin\AppData\Local\Temp\5CEF.tmp"
  2⤵
  PID:788
- - C:\Users\Admin\AppData\Local\Temp\5D1E.tmp
    "C:\Users\Admin\AppData\Local\Temp\5D1E.tmp"
    3⤵
    PID:1044
- - C:\Users\Admin\AppData\Local\Temp\4E5E.tmp
    "C:\Users\Admin\AppData\Local\Temp\4E5E.tmp"
    3⤵
    PID:1144
  - - C:\Users\Admin\AppData\Local\Temp\3F9F.tmp
      "C:\Users\Admin\AppData\Local\Temp\3F9F.tmp"
      4⤵
      PID:2532
    - - C:\Users\Admin\AppData\Local\Temp\AD21.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD21.tmp"
        5⤵
        
        PID:1640

C:\Users\Admin\AppData\Local\Temp\3EC5.tmp
"C:\Users\Admin\AppData\Local\Temp\3EC5.tmp"
1⤵
PID:656

C:\Users\Admin\AppData\Local\Temp\3FDE.tmp
"C:\Users\Admin\AppData\Local\Temp\3FDE.tmp"
1⤵
PID:2896

C:\Users\Admin\AppData\Local\Temp\405A.tmp
"C:\Users\Admin\AppData\Local\Temp\405A.tmp"
1⤵
PID:1336
- C:\Users\Admin\AppData\Local\Temp\4099.tmp
  "C:\Users\Admin\AppData\Local\Temp\4099.tmp"
  2⤵
  PID:1616
- - C:\Users\Admin\AppData\Local\Temp\3285.tmp
    "C:\Users\Admin\AppData\Local\Temp\3285.tmp"
    3⤵
    PID:824
  - - C:\Users\Admin\AppData\Local\Temp\1813.tmp
      "C:\Users\Admin\AppData\Local\Temp\1813.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:892
    - - C:\Users\Admin\AppData\Local\Temp\ADEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ADEB.tmp"
        5⤵
        
        PID:2868
      - C:\Users\Admin\AppData\Local\Temp\AE2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE2A.tmp"
        6⤵
        
        PID:312
- - C:\Users\Admin\AppData\Local\Temp\BF0B.tmp
    "C:\Users\Admin\AppData\Local\Temp\BF0B.tmp"
    3⤵
    PID:488
  - - C:\Users\Admin\AppData\Local\Temp\BF49.tmp
      "C:\Users\Admin\AppData\Local\Temp\BF49.tmp"
      4⤵
      PID:2556
  - - C:\Users\Admin\AppData\Local\Temp\D0E6.tmp
      "C:\Users\Admin\AppData\Local\Temp\D0E6.tmp"
      4⤵
      PID:2556
    - - C:\Users\Admin\AppData\Local\Temp\D124.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D124.tmp"
        5⤵
        
        PID:2420
      - C:\Users\Admin\AppData\Local\Temp\D163.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D163.tmp"
        6⤵
        
        PID:788
        
        C:\Users\Admin\AppData\Local\Temp\D1B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1B1.tmp"
        7⤵
        
        PID:2992
        
        C:\Users\Admin\AppData\Local\Temp\D1FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1FF.tmp"
        8⤵
        
        PID:1376
        
        C:\Users\Admin\AppData\Local\Temp\D23D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D23D.tmp"
        9⤵
        
        PID:356
        
        C:\Users\Admin\AppData\Local\Temp\D2AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2AA.tmp"
        10⤵
        
        PID:924
        
        C:\Users\Admin\AppData\Local\Temp\D2F8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2F8.tmp"
        11⤵
        
        PID:1292

C:\Users\Admin\AppData\Local\Temp\4116.tmp
"C:\Users\Admin\AppData\Local\Temp\4116.tmp"
1⤵
PID:892
- C:\Users\Admin\AppData\Local\Temp\4154.tmp
  "C:\Users\Admin\AppData\Local\Temp\4154.tmp"
  2⤵
  PID:780
- - C:\Users\Admin\AppData\Local\Temp\8F35.tmp
    "C:\Users\Admin\AppData\Local\Temp\8F35.tmp"
    3⤵
    PID:1292
- C:\Users\Admin\AppData\Local\Temp\3302.tmp
  "C:\Users\Admin\AppData\Local\Temp\3302.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:628
- - C:\Users\Admin\AppData\Local\Temp\1880.tmp
    "C:\Users\Admin\AppData\Local\Temp\1880.tmp"
    3⤵
    PID:2304
  - - C:\Users\Admin\AppData\Local\Temp\6336.tmp
      "C:\Users\Admin\AppData\Local\Temp\6336.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2744

C:\Users\Admin\AppData\Local\Temp\41C1.tmp
"C:\Users\Admin\AppData\Local\Temp\41C1.tmp"
1⤵
PID:2160
- C:\Users\Admin\AppData\Local\Temp\41F0.tmp
  "C:\Users\Admin\AppData\Local\Temp\41F0.tmp"
  2⤵
  PID:2396
- - C:\Users\Admin\AppData\Local\Temp\422E.tmp
    "C:\Users\Admin\AppData\Local\Temp\422E.tmp"
    3⤵
    PID:1032

C:\Users\Admin\AppData\Local\Temp\426D.tmp
"C:\Users\Admin\AppData\Local\Temp\426D.tmp"
1⤵
PID:1720
- C:\Users\Admin\AppData\Local\Temp\42AB.tmp
  "C:\Users\Admin\AppData\Local\Temp\42AB.tmp"
  2⤵
  PID:2280
- C:\Users\Admin\AppData\Local\Temp\C19A.tmp
  "C:\Users\Admin\AppData\Local\Temp\C19A.tmp"
  2⤵
  PID:1404

C:\Users\Admin\AppData\Local\Temp\42EA.tmp
"C:\Users\Admin\AppData\Local\Temp\42EA.tmp"
1⤵
PID:1968
- C:\Users\Admin\AppData\Local\Temp\4328.tmp
  "C:\Users\Admin\AppData\Local\Temp\4328.tmp"
  2⤵
  PID:2316

C:\Users\Admin\AppData\Local\Temp\43A5.tmp
"C:\Users\Admin\AppData\Local\Temp\43A5.tmp"
1⤵
PID:1816
- C:\Users\Admin\AppData\Local\Temp\43E3.tmp
  "C:\Users\Admin\AppData\Local\Temp\43E3.tmp"
  2⤵
  PID:1628
- - C:\Users\Admin\AppData\Local\Temp\C2F1.tmp
    "C:\Users\Admin\AppData\Local\Temp\C2F1.tmp"
    3⤵
    PID:1692

C:\Users\Admin\AppData\Local\Temp\4422.tmp
"C:\Users\Admin\AppData\Local\Temp\4422.tmp"
1⤵
PID:2012
- C:\Users\Admin\AppData\Local\Temp\4460.tmp
  "C:\Users\Admin\AppData\Local\Temp\4460.tmp"
  2⤵
  PID:2256
- - C:\Users\Admin\AppData\Local\Temp\73B9.tmp
    "C:\Users\Admin\AppData\Local\Temp\73B9.tmp"
    3⤵
    PID:2772
- C:\Users\Admin\AppData\Local\Temp\61FE.tmp
  "C:\Users\Admin\AppData\Local\Temp\61FE.tmp"
  2⤵
  PID:1740

C:\Users\Admin\AppData\Local\Temp\4366.tmp
"C:\Users\Admin\AppData\Local\Temp\4366.tmp"
1⤵
PID:2528

C:\Users\Admin\AppData\Local\Temp\450C.tmp
"C:\Users\Admin\AppData\Local\Temp\450C.tmp"
1⤵
PID:2836

C:\Users\Admin\AppData\Local\Temp\4588.tmp
"C:\Users\Admin\AppData\Local\Temp\4588.tmp"
1⤵
PID:2748
- C:\Users\Admin\AppData\Local\Temp\45C7.tmp
  "C:\Users\Admin\AppData\Local\Temp\45C7.tmp"
  2⤵
  PID:2912
- - C:\Users\Admin\AppData\Local\Temp\4605.tmp
    "C:\Users\Admin\AppData\Local\Temp\4605.tmp"
    3⤵
    PID:2988
  - - C:\Users\Admin\AppData\Local\Temp\C5BF.tmp
      "C:\Users\Admin\AppData\Local\Temp\C5BF.tmp"
      4⤵
      PID:2748
    - - C:\Users\Admin\AppData\Local\Temp\C5FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C5FD.tmp"
        5⤵
        
        PID:2776
- C:\Users\Admin\AppData\Local\Temp\5496.tmp
  "C:\Users\Admin\AppData\Local\Temp\5496.tmp"
  2⤵
  PID:2604

C:\Users\Admin\AppData\Local\Temp\472E.tmp
"C:\Users\Admin\AppData\Local\Temp\472E.tmp"
1⤵
PID:2780
- C:\Users\Admin\AppData\Local\Temp\476C.tmp
  "C:\Users\Admin\AppData\Local\Temp\476C.tmp"
  2⤵
  PID:2056
- - C:\Users\Admin\AppData\Local\Temp\1E3A.tmp
    "C:\Users\Admin\AppData\Local\Temp\1E3A.tmp"
    3⤵
    PID:2584
  - - C:\Users\Admin\AppData\Local\Temp\B606.tmp
      "C:\Users\Admin\AppData\Local\Temp\B606.tmp"
      4⤵
      PID:2360
- C:\Users\Admin\AppData\Local\Temp\10E2.tmp
  "C:\Users\Admin\AppData\Local\Temp\10E2.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:2468

C:\Users\Admin\AppData\Local\Temp\46FF.tmp
"C:\Users\Admin\AppData\Local\Temp\46FF.tmp"
1⤵
PID:2668
- C:\Users\Admin\AppData\Local\Temp\1D7F.tmp
  "C:\Users\Admin\AppData\Local\Temp\1D7F.tmp"
  2⤵
  PID:2624

C:\Users\Admin\AppData\Local\Temp\479B.tmp
"C:\Users\Admin\AppData\Local\Temp\479B.tmp"
1⤵
PID:1064
- C:\Users\Admin\AppData\Local\Temp\47CA.tmp
  "C:\Users\Admin\AppData\Local\Temp\47CA.tmp"
  2⤵
  PID:2960

C:\Users\Admin\AppData\Local\Temp\4846.tmp
"C:\Users\Admin\AppData\Local\Temp\4846.tmp"
1⤵
PID:2520
- C:\Users\Admin\AppData\Local\Temp\4885.tmp
  "C:\Users\Admin\AppData\Local\Temp\4885.tmp"
  2⤵
  PID:2612
- - C:\Users\Admin\AppData\Local\Temp\48B4.tmp
    "C:\Users\Admin\AppData\Local\Temp\48B4.tmp"
    3⤵
    PID:1672
- - C:\Users\Admin\AppData\Local\Temp\677A.tmp
    "C:\Users\Admin\AppData\Local\Temp\677A.tmp"
    3⤵
    PID:2496
  - - C:\Users\Admin\AppData\Local\Temp\67B8.tmp
      "C:\Users\Admin\AppData\Local\Temp\67B8.tmp"
      4⤵
      PID:1536
    - - C:\Users\Admin\AppData\Local\Temp\6816.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6816.tmp"
        5⤵
        
        PID:1636
      - C:\Users\Admin\AppData\Local\Temp\6873.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6873.tmp"
        6⤵
        
        PID:1104
        
        C:\Users\Admin\AppData\Local\Temp\68B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68B2.tmp"
        7⤵
        
        PID:2932
        
        C:\Users\Admin\AppData\Local\Temp\6900.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6900.tmp"
        8⤵
        
        PID:2344
        
        C:\Users\Admin\AppData\Local\Temp\7993.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7993.tmp"
        9⤵
        
        PID:3044
        
        C:\Users\Admin\AppData\Local\Temp\79D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79D1.tmp"
        10⤵
        
        PID:1276
        
        C:\Users\Admin\AppData\Local\Temp\892D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\892D.tmp"
        9⤵
        
        PID:2208
        
        C:\Users\Admin\AppData\Local\Temp\BA98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA98.tmp"
        10⤵
        
        PID:1304
        
        C:\Users\Admin\AppData\Local\Temp\BAD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BAD7.tmp"
        11⤵
        
        PID:3016
        
        C:\Users\Admin\AppData\Local\Temp\7926.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7926.tmp"
        7⤵
        
        PID:2932
      - C:\Users\Admin\AppData\Local\Temp\78E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78E7.tmp"
        6⤵
        
        PID:1104
        
        C:\Users\Admin\AppData\Local\Temp\88B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88B0.tmp"
        7⤵
        
        PID:2932
        
        C:\Users\Admin\AppData\Local\Temp\88EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88EE.tmp"
        8⤵
        
        PID:2344
        
        C:\Users\Admin\AppData\Local\Temp\7964.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7964.tmp"
        8⤵
        
        PID:2344
        
        C:\Users\Admin\AppData\Local\Temp\9914.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9914.tmp"
        9⤵
        
        PID:3044
        
        C:\Users\Admin\AppData\Local\Temp\9953.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9953.tmp"
        10⤵
        
        PID:1304
        
        C:\Users\Admin\AppData\Local\Temp\98D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\98D6.tmp"
        8⤵
        
        PID:2344
- C:\Users\Admin\AppData\Local\Temp\1258.tmp
  "C:\Users\Admin\AppData\Local\Temp\1258.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1716
- - C:\Users\Admin\AppData\Local\Temp\673B.tmp
    "C:\Users\Admin\AppData\Local\Temp\673B.tmp"
    3⤵
    PID:2612

C:\Users\Admin\AppData\Local\Temp\4808.tmp
"C:\Users\Admin\AppData\Local\Temp\4808.tmp"
1⤵
PID:1264
- C:\Users\Admin\AppData\Local\Temp\1EE6.tmp
  "C:\Users\Admin\AppData\Local\Temp\1EE6.tmp"
  2⤵
  PID:1956

C:\Users\Admin\AppData\Local\Temp\4921.tmp
"C:\Users\Admin\AppData\Local\Temp\4921.tmp"
1⤵
PID:1636
- C:\Users\Admin\AppData\Local\Temp\495F.tmp
  "C:\Users\Admin\AppData\Local\Temp\495F.tmp"
  2⤵
  PID:1564

C:\Users\Admin\AppData\Local\Temp\499E.tmp
"C:\Users\Admin\AppData\Local\Temp\499E.tmp"
1⤵
PID:1104
- C:\Users\Admin\AppData\Local\Temp\49EC.tmp
  "C:\Users\Admin\AppData\Local\Temp\49EC.tmp"
  2⤵
  PID:2840

C:\Users\Admin\AppData\Local\Temp\4A2A.tmp
"C:\Users\Admin\AppData\Local\Temp\4A2A.tmp"
1⤵
PID:3044
- C:\Users\Admin\AppData\Local\Temp\4A68.tmp
  "C:\Users\Admin\AppData\Local\Temp\4A68.tmp"
  2⤵
  PID:1284
- C:\Users\Admin\AppData\Local\Temp\697D.tmp
  "C:\Users\Admin\AppData\Local\Temp\697D.tmp"
  2⤵
  PID:1276
- - C:\Users\Admin\AppData\Local\Temp\69BB.tmp
    "C:\Users\Admin\AppData\Local\Temp\69BB.tmp"
    3⤵
    PID:2500
  - - C:\Users\Admin\AppData\Local\Temp\6A09.tmp
      "C:\Users\Admin\AppData\Local\Temp\6A09.tmp"
      4⤵
      PID:2268
    - - C:\Users\Admin\AppData\Local\Temp\6A47.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A47.tmp"
        5⤵
        
        PID:2476
      - C:\Users\Admin\AppData\Local\Temp\6A86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A86.tmp"
        6⤵
        
        PID:2164
        
        C:\Users\Admin\AppData\Local\Temp\6AD4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6AD4.tmp"
        7⤵
        
        PID:2572
        
        C:\Users\Admin\AppData\Local\Temp\7B48.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B48.tmp"
        8⤵
        
        PID:1980
      - C:\Users\Admin\AppData\Local\Temp\7ACB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7ACB.tmp"
        6⤵
        
        PID:2164
        
        C:\Users\Admin\AppData\Local\Temp\7B09.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B09.tmp"
        7⤵
        
        PID:2572
        
        C:\Users\Admin\AppData\Local\Temp\8AB3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8AB3.tmp"
        8⤵
        
        PID:3012
        
        C:\Users\Admin\AppData\Local\Temp\8AF1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8AF1.tmp"
        9⤵
        
        PID:2592
        
        C:\Users\Admin\AppData\Local\Temp\AAA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AAA1.tmp"
        9⤵
        
        PID:1604
        
        C:\Users\Admin\AppData\Local\Temp\8A84.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A84.tmp"
        7⤵
        
        PID:2572
        
        C:\Users\Admin\AppData\Local\Temp\9AAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9AAA.tmp"
        8⤵
        
        PID:3020
- - C:\Users\Admin\AppData\Local\Temp\7A10.tmp
    "C:\Users\Admin\AppData\Local\Temp\7A10.tmp"
    3⤵
    PID:2200

C:\Users\Admin\AppData\Local\Temp\4AA7.tmp
"C:\Users\Admin\AppData\Local\Temp\4AA7.tmp"
1⤵
PID:1648
- C:\Users\Admin\AppData\Local\Temp\4AE5.tmp
  "C:\Users\Admin\AppData\Local\Temp\4AE5.tmp"
  2⤵
  PID:2432

C:\Users\Admin\AppData\Local\Temp\4B62.tmp
"C:\Users\Admin\AppData\Local\Temp\4B62.tmp"
1⤵
PID:2892
- C:\Users\Admin\AppData\Local\Temp\4B91.tmp
  "C:\Users\Admin\AppData\Local\Temp\4B91.tmp"
  2⤵
  PID:2068
- - C:\Users\Admin\AppData\Local\Temp\3D00.tmp
    "C:\Users\Admin\AppData\Local\Temp\3D00.tmp"
    3⤵
    PID:3000

C:\Users\Admin\AppData\Local\Temp\4BCF.tmp
"C:\Users\Admin\AppData\Local\Temp\4BCF.tmp"
1⤵
PID:2852
- C:\Users\Admin\AppData\Local\Temp\4C0E.tmp
  "C:\Users\Admin\AppData\Local\Temp\4C0E.tmp"
  2⤵
  PID:720

C:\Users\Admin\AppData\Local\Temp\4C4C.tmp
"C:\Users\Admin\AppData\Local\Temp\4C4C.tmp"
1⤵
PID:2020
- C:\Users\Admin\AppData\Local\Temp\4C8A.tmp
  "C:\Users\Admin\AppData\Local\Temp\4C8A.tmp"
  2⤵
  PID:596
- C:\Users\Admin\AppData\Local\Temp\22AD.tmp
  "C:\Users\Admin\AppData\Local\Temp\22AD.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:596
- - C:\Users\Admin\AppData\Local\Temp\15A3.tmp
    "C:\Users\Admin\AppData\Local\Temp\15A3.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:804

C:\Users\Admin\AppData\Local\Temp\4D07.tmp
"C:\Users\Admin\AppData\Local\Temp\4D07.tmp"
1⤵
PID:804
- C:\Users\Admin\AppData\Local\Temp\4D46.tmp
  "C:\Users\Admin\AppData\Local\Temp\4D46.tmp"
  2⤵
  PID:2120
- C:\Users\Admin\AppData\Local\Temp\15E1.tmp
  "C:\Users\Admin\AppData\Local\Temp\15E1.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1048
- - C:\Users\Admin\AppData\Local\Temp\AB3D.tmp
    "C:\Users\Admin\AppData\Local\Temp\AB3D.tmp"
    3⤵
    PID:360

C:\Users\Admin\AppData\Local\Temp\4D84.tmp
"C:\Users\Admin\AppData\Local\Temp\4D84.tmp"
1⤵
PID:1484
- C:\Users\Admin\AppData\Local\Temp\5C91.tmp
  "C:\Users\Admin\AppData\Local\Temp\5C91.tmp"
  2⤵
  PID:2948
- - C:\Users\Admin\AppData\Local\Temp\4DF1.tmp
    "C:\Users\Admin\AppData\Local\Temp\4DF1.tmp"
    3⤵
    PID:1860
  - - C:\Users\Admin\AppData\Local\Temp\3F42.tmp
      "C:\Users\Admin\AppData\Local\Temp\3F42.tmp"
      4⤵
      PID:788
    - - C:\Users\Admin\AppData\Local\Temp\6E9B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E9B.tmp"
        5⤵
        
        PID:332
      - C:\Users\Admin\AppData\Local\Temp\6ED9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6ED9.tmp"
        6⤵
        
        PID:1376
      - C:\Users\Admin\AppData\Local\Temp\7E92.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E92.tmp"
        6⤵
        
        PID:1376
        
        C:\Users\Admin\AppData\Local\Temp\8E7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E7A.tmp"
        7⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\8EB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8EB8.tmp"
        8⤵
        
        PID:2440
        
        C:\Users\Admin\AppData\Local\Temp\9EDE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9EDE.tmp"
        9⤵
        
        PID:2196
        
        C:\Users\Admin\AppData\Local\Temp\9F1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9F1D.tmp"
        10⤵
        
        PID:1292
      - C:\Users\Admin\AppData\Local\Temp\8E4B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E4B.tmp"
        6⤵
        
        PID:1376
        
        C:\Users\Admin\AppData\Local\Temp\7ED1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7ED1.tmp"
        7⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\9EA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9EA0.tmp"
        8⤵
        
        PID:2440
        
        C:\Users\Admin\AppData\Local\Temp\C11D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C11D.tmp"
        9⤵
        
        PID:1292
        
        C:\Users\Admin\AppData\Local\Temp\C15C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C15C.tmp"
        10⤵
        
        PID:1720
        
        C:\Users\Admin\AppData\Local\Temp\D337.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D337.tmp"
        10⤵
        
        PID:1756

C:\Users\Admin\AppData\Local\Temp\4ECC.tmp
"C:\Users\Admin\AppData\Local\Temp\4ECC.tmp"
1⤵
PID:2896
- C:\Users\Admin\AppData\Local\Temp\5DD9.tmp
  "C:\Users\Admin\AppData\Local\Temp\5DD9.tmp"
  2⤵
  PID:960
- - C:\Users\Admin\AppData\Local\Temp\5E17.tmp
    "C:\Users\Admin\AppData\Local\Temp\5E17.tmp"
    3⤵
    PID:1664

C:\Users\Admin\AppData\Local\Temp\4F39.tmp
"C:\Users\Admin\AppData\Local\Temp\4F39.tmp"
1⤵
PID:2076
- C:\Users\Admin\AppData\Local\Temp\4F77.tmp
  "C:\Users\Admin\AppData\Local\Temp\4F77.tmp"
  2⤵
  PID:1868

C:\Users\Admin\AppData\Local\Temp\4FB6.tmp
"C:\Users\Admin\AppData\Local\Temp\4FB6.tmp"
1⤵
PID:2868
- C:\Users\Admin\AppData\Local\Temp\4FE4.tmp
  "C:\Users\Admin\AppData\Local\Temp\4FE4.tmp"
  2⤵
  PID:356
- - C:\Users\Admin\AppData\Local\Temp\C0DF.tmp
    "C:\Users\Admin\AppData\Local\Temp\C0DF.tmp"
    3⤵
    PID:2440

C:\Users\Admin\AppData\Local\Temp\515B.tmp
"C:\Users\Admin\AppData\Local\Temp\515B.tmp"
1⤵
PID:1000
- C:\Users\Admin\AppData\Local\Temp\5199.tmp
  "C:\Users\Admin\AppData\Local\Temp\5199.tmp"
  2⤵
  PID:896

C:\Users\Admin\AppData\Local\Temp\5216.tmp
"C:\Users\Admin\AppData\Local\Temp\5216.tmp"
1⤵
PID:1624
- C:\Users\Admin\AppData\Local\Temp\5254.tmp
  "C:\Users\Admin\AppData\Local\Temp\5254.tmp"
  2⤵
  PID:2380
- - C:\Users\Admin\AppData\Local\Temp\E05.tmp
    "C:\Users\Admin\AppData\Local\Temp\E05.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of WriteProcessMemory
    PID:2096

C:\Users\Admin\AppData\Local\Temp\536D.tmp
"C:\Users\Admin\AppData\Local\Temp\536D.tmp"
1⤵
PID:2096
- C:\Users\Admin\AppData\Local\Temp\53AC.tmp
  "C:\Users\Admin\AppData\Local\Temp\53AC.tmp"
  2⤵
  PID:2900
- C:\Users\Admin\AppData\Local\Temp\44DD.tmp
  "C:\Users\Admin\AppData\Local\Temp\44DD.tmp"
  2⤵
  PID:2900
- - C:\Users\Admin\AppData\Local\Temp\E82.tmp
    "C:\Users\Admin\AppData\Local\Temp\E82.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of WriteProcessMemory
    PID:2700

C:\Users\Admin\AppData\Local\Temp\53EA.tmp
"C:\Users\Admin\AppData\Local\Temp\53EA.tmp"
1⤵
PID:2836
- C:\Users\Admin\AppData\Local\Temp\5419.tmp
  "C:\Users\Admin\AppData\Local\Temp\5419.tmp"
  2⤵
  PID:2756
- C:\Users\Admin\AppData\Local\Temp\454A.tmp
  "C:\Users\Admin\AppData\Local\Temp\454A.tmp"
  2⤵
  PID:2756
- - C:\Users\Admin\AppData\Local\Temp\83EF.tmp
    "C:\Users\Admin\AppData\Local\Temp\83EF.tmp"
    3⤵
    PID:1028
  - - C:\Users\Admin\AppData\Local\Temp\74C3.tmp
      "C:\Users\Admin\AppData\Local\Temp\74C3.tmp"
      4⤵
      PID:2864
    - - C:\Users\Admin\AppData\Local\Temp\B396.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B396.tmp"
        5⤵
        
        PID:2740
      - C:\Users\Admin\AppData\Local\Temp\B3D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B3D5.tmp"
        6⤵
        
        PID:344
        
        C:\Users\Admin\AppData\Local\Temp\B423.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B423.tmp"
        7⤵
        
        PID:2536
        
        C:\Users\Admin\AppData\Local\Temp\B461.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B461.tmp"
        8⤵
        
        PID:2400
        
        C:\Users\Admin\AppData\Local\Temp\C67A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C67A.tmp"
        8⤵
        
        PID:2400
        
        C:\Users\Admin\AppData\Local\Temp\C6B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6B9.tmp"
        9⤵
        
        PID:2848
        
        C:\Users\Admin\AppData\Local\Temp\C6F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6F7.tmp"
        10⤵
        
        PID:2056
        
        C:\Users\Admin\AppData\Local\Temp\C764.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C764.tmp"
        11⤵
        
        PID:2624
        
        C:\Users\Admin\AppData\Local\Temp\C7B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C7B2.tmp"
        12⤵
        
        PID:2016
        
        C:\Users\Admin\AppData\Local\Temp\D9CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D9CB.tmp"
        12⤵
        
        PID:2172
        
        C:\Users\Admin\AppData\Local\Temp\DA0A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA0A.tmp"
        13⤵
        
        PID:556
        
        C:\Users\Admin\AppData\Local\Temp\DA58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA58.tmp"
        14⤵
        
        PID:2520
        
        C:\Users\Admin\AppData\Local\Temp\DAB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DAB5.tmp"
        15⤵
        
        PID:2804
        
        C:\Users\Admin\AppData\Local\Temp\DB13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB13.tmp"
        16⤵
        
        PID:1456
        
        C:\Users\Admin\AppData\Local\Temp\DB51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB51.tmp"
        17⤵
        
        PID:2824
        
        C:\Users\Admin\AppData\Local\Temp\D98D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D98D.tmp"
        11⤵
        
        PID:2624
- C:\Users\Admin\AppData\Local\Temp\F5C.tmp
  "C:\Users\Admin\AppData\Local\Temp\F5C.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:2732

C:\Users\Admin\AppData\Local\Temp\54D4.tmp
"C:\Users\Admin\AppData\Local\Temp\54D4.tmp"
1⤵
PID:2564
- C:\Users\Admin\AppData\Local\Temp\5503.tmp
  "C:\Users\Admin\AppData\Local\Temp\5503.tmp"
  2⤵
  PID:2016

C:\Users\Admin\AppData\Local\Temp\5580.tmp
"C:\Users\Admin\AppData\Local\Temp\5580.tmp"
1⤵
PID:1540
- C:\Users\Admin\AppData\Local\Temp\55BE.tmp
  "C:\Users\Admin\AppData\Local\Temp\55BE.tmp"
  2⤵
  PID:1596
- - C:\Users\Admin\AppData\Local\Temp\A4E7.tmp
    "C:\Users\Admin\AppData\Local\Temp\A4E7.tmp"
    3⤵
    PID:2628
- C:\Users\Admin\AppData\Local\Temp\6558.tmp
  "C:\Users\Admin\AppData\Local\Temp\6558.tmp"
  2⤵
  PID:2928
- - C:\Users\Admin\AppData\Local\Temp\6596.tmp
    "C:\Users\Admin\AppData\Local\Temp\6596.tmp"
    3⤵
    PID:2804
  - - C:\Users\Admin\AppData\Local\Temp\6603.tmp
      "C:\Users\Admin\AppData\Local\Temp\6603.tmp"
      4⤵
      PID:2360
    - - C:\Users\Admin\AppData\Local\Temp\6651.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6651.tmp"
        5⤵
        
        PID:2468
      - C:\Users\Admin\AppData\Local\Temp\66AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\66AF.tmp"
        6⤵
        
        PID:2204
        
        C:\Users\Admin\AppData\Local\Temp\77AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77AF.tmp"
        7⤵
        
        PID:2228
        
        C:\Users\Admin\AppData\Local\Temp\975F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\975F.tmp"
        8⤵
        
        PID:2968
        
        C:\Users\Admin\AppData\Local\Temp\978E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\978E.tmp"
        9⤵
        
        PID:1852
        
        C:\Users\Admin\AppData\Local\Temp\97CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\97CD.tmp"
        10⤵
        
        PID:2180
        
        C:\Users\Admin\AppData\Local\Temp\980B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\980B.tmp"
        11⤵
        
        PID:1328
    - - C:\Users\Admin\AppData\Local\Temp\B645.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B645.tmp"
        5⤵
        
        PID:3060
      - C:\Users\Admin\AppData\Local\Temp\B683.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B683.tmp"
        6⤵
        
        PID:2036
        
        C:\Users\Admin\AppData\Local\Temp\B6B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B6B2.tmp"
        7⤵
        
        PID:2928
        
        C:\Users\Admin\AppData\Local\Temp\B700.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B700.tmp"
        8⤵
        
        PID:1924
        
        C:\Users\Admin\AppData\Local\Temp\B73E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B73E.tmp"
        9⤵
        
        PID:2800
  - - C:\Users\Admin\AppData\Local\Temp\865F.tmp
      "C:\Users\Admin\AppData\Local\Temp\865F.tmp"
      4⤵
      PID:2800

C:\Users\Admin\AppData\Local\Temp\562B.tmp
"C:\Users\Admin\AppData\Local\Temp\562B.tmp"
1⤵
PID:2672
- C:\Users\Admin\AppData\Local\Temp\565A.tmp
  "C:\Users\Admin\AppData\Local\Temp\565A.tmp"
  2⤵
  PID:2468
- - C:\Users\Admin\AppData\Local\Temp\5698.tmp
    "C:\Users\Admin\AppData\Local\Temp\5698.tmp"
    3⤵
    PID:2204
  - - C:\Users\Admin\AppData\Local\Temp\66DE.tmp
      "C:\Users\Admin\AppData\Local\Temp\66DE.tmp"
      4⤵
      PID:2228
    - - C:\Users\Admin\AppData\Local\Temp\8749.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8749.tmp"
        5⤵
        
        PID:1700
- - C:\Users\Admin\AppData\Local\Temp\3968.tmp
    "C:\Users\Admin\AppData\Local\Temp\3968.tmp"
    3⤵
    PID:2924
- - C:\Users\Admin\AppData\Local\Temp\1120.tmp
    "C:\Users\Admin\AppData\Local\Temp\1120.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of WriteProcessMemory
    PID:1788
- C:\Users\Admin\AppData\Local\Temp\85F2.tmp
  "C:\Users\Admin\AppData\Local\Temp\85F2.tmp"
  2⤵
  PID:2928
- - C:\Users\Admin\AppData\Local\Temp\76B6.tmp
    "C:\Users\Admin\AppData\Local\Temp\76B6.tmp"
    3⤵
    PID:2804
  - - C:\Users\Admin\AppData\Local\Temp\9666.tmp
      "C:\Users\Admin\AppData\Local\Temp\9666.tmp"
      4⤵
      PID:816

C:\Users\Admin\AppData\Local\Temp\56D7.tmp
"C:\Users\Admin\AppData\Local\Temp\56D7.tmp"
1⤵
PID:2168
- C:\Users\Admin\AppData\Local\Temp\5715.tmp
  "C:\Users\Admin\AppData\Local\Temp\5715.tmp"
  2⤵
  PID:1716
- - C:\Users\Admin\AppData\Local\Temp\5754.tmp
    "C:\Users\Admin\AppData\Local\Temp\5754.tmp"
    3⤵
    PID:1660
  - - C:\Users\Admin\AppData\Local\Temp\12D5.tmp
      "C:\Users\Admin\AppData\Local\Temp\12D5.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2328
- - C:\Users\Admin\AppData\Local\Temp\1297.tmp
    "C:\Users\Admin\AppData\Local\Temp\1297.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1660

C:\Users\Admin\AppData\Local\Temp\57FF.tmp
"C:\Users\Admin\AppData\Local\Temp\57FF.tmp"
1⤵
PID:1328
- C:\Users\Admin\AppData\Local\Temp\583E.tmp
  "C:\Users\Admin\AppData\Local\Temp\583E.tmp"
  2⤵
  PID:2684
- - C:\Users\Admin\AppData\Local\Temp\587C.tmp
    "C:\Users\Admin\AppData\Local\Temp\587C.tmp"
    3⤵
    PID:2704
  - - C:\Users\Admin\AppData\Local\Temp\58BA.tmp
      "C:\Users\Admin\AppData\Local\Temp\58BA.tmp"
      4⤵
      PID:1824
    - - C:\Users\Admin\AppData\Local\Temp\A802.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A802.tmp"
        5⤵
        
        PID:2692
      - C:\Users\Admin\AppData\Local\Temp\A841.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A841.tmp"
        6⤵
        
        PID:2404
- - C:\Users\Admin\AppData\Local\Temp\A718.tmp
    "C:\Users\Admin\AppData\Local\Temp\A718.tmp"
    3⤵
    PID:1320
  - - C:\Users\Admin\AppData\Local\Temp\A757.tmp
      "C:\Users\Admin\AppData\Local\Temp\A757.tmp"
      4⤵
      PID:2212
- C:\Users\Admin\AppData\Local\Temp\78B9.tmp
  "C:\Users\Admin\AppData\Local\Temp\78B9.tmp"
  2⤵
  PID:1636
- - C:\Users\Admin\AppData\Local\Temp\BC.tmp
    "C:\Users\Admin\AppData\Local\Temp\BC.tmp"
    3⤵
    PID:1612

C:\Users\Admin\AppData\Local\Temp\5937.tmp
"C:\Users\Admin\AppData\Local\Temp\5937.tmp"
1⤵
PID:2472
- C:\Users\Admin\AppData\Local\Temp\5966.tmp
  "C:\Users\Admin\AppData\Local\Temp\5966.tmp"
  2⤵
  PID:2268

C:\Users\Admin\AppData\Local\Temp\59C4.tmp
"C:\Users\Admin\AppData\Local\Temp\59C4.tmp"
1⤵
PID:2164
- C:\Users\Admin\AppData\Local\Temp\5A02.tmp
  "C:\Users\Admin\AppData\Local\Temp\5A02.tmp"
  2⤵
  PID:2572
- - C:\Users\Admin\AppData\Local\Temp\5A31.tmp
    "C:\Users\Admin\AppData\Local\Temp\5A31.tmp"
    3⤵
    PID:3020
  - - C:\Users\Admin\AppData\Local\Temp\6B51.tmp
      "C:\Users\Admin\AppData\Local\Temp\6B51.tmp"
      4⤵
      PID:3000
    - - C:\Users\Admin\AppData\Local\Temp\6B8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B8F.tmp"
        5⤵
        
        PID:324
      - C:\Users\Admin\AppData\Local\Temp\6BED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BED.tmp"
        6⤵
        
        PID:1108
        
        C:\Users\Admin\AppData\Local\Temp\6C2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C2B.tmp"
        7⤵
        
        PID:3008
        
        C:\Users\Admin\AppData\Local\Temp\6C79.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C79.tmp"
        8⤵
        
        PID:580
        
        C:\Users\Admin\AppData\Local\Temp\6CB7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CB7.tmp"
        9⤵
        
        PID:1096
        
        C:\Users\Admin\AppData\Local\Temp\6CF6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CF6.tmp"
        10⤵
        
        PID:2220
        
        C:\Users\Admin\AppData\Local\Temp\7CED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CED.tmp"
        11⤵
        
        PID:2616
        
        C:\Users\Admin\AppData\Local\Temp\8CA6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8CA6.tmp"
        11⤵
        
        PID:2616
        
        C:\Users\Admin\AppData\Local\Temp\8CD5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8CD5.tmp"
        12⤵
        
        PID:956
        
        C:\Users\Admin\AppData\Local\Temp\7D6A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D6A.tmp"
        13⤵
        
        PID:1484
        
        C:\Users\Admin\AppData\Local\Temp\7D2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D2B.tmp"
        12⤵
        
        PID:956
        
        C:\Users\Admin\AppData\Local\Temp\9CEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9CEB.tmp"
        13⤵
        
        PID:1484
        
        C:\Users\Admin\AppData\Local\Temp\9D29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D29.tmp"
        14⤵
        
        PID:2556
        
        C:\Users\Admin\AppData\Local\Temp\BF88.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF88.tmp"
        15⤵
        
        PID:2420
        
        C:\Users\Admin\AppData\Local\Temp\BFC6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BFC6.tmp"
        16⤵
        
        PID:788
        
        C:\Users\Admin\AppData\Local\Temp\C005.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C005.tmp"
        17⤵
        
        PID:2992
        
        C:\Users\Admin\AppData\Local\Temp\C053.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C053.tmp"
        18⤵
        
        PID:1376
        
        C:\Users\Admin\AppData\Local\Temp\8BEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8BEB.tmp"
        8⤵
        
        PID:2576
        
        C:\Users\Admin\AppData\Local\Temp\8C29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C29.tmp"
        9⤵
        
        PID:288
        
        C:\Users\Admin\AppData\Local\Temp\7CBE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CBE.tmp"
        10⤵
        
        PID:2220
        
        C:\Users\Admin\AppData\Local\Temp\7C80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C80.tmp"
        9⤵
        
        PID:288
      - C:\Users\Admin\AppData\Local\Temp\8B6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B6E.tmp"
        6⤵
        
        PID:2020
        
        C:\Users\Admin\AppData\Local\Temp\8BAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8BAC.tmp"
        7⤵
        
        PID:3008
        
        C:\Users\Admin\AppData\Local\Temp\7C51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C51.tmp"
        8⤵
        
        PID:2576
        
        C:\Users\Admin\AppData\Local\Temp\7C22.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C22.tmp"
        7⤵
        
        PID:3008
        
        C:\Users\Admin\AppData\Local\Temp\9BD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9BD2.tmp"
        8⤵
        
        PID:2576
        
        C:\Users\Admin\AppData\Local\Temp\9C11.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C11.tmp"
        9⤵
        
        PID:2464
    - - C:\Users\Admin\AppData\Local\Temp\7BB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BB5.tmp"
        5⤵
        
        PID:564
      - C:\Users\Admin\AppData\Local\Temp\DEFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DEFA.tmp"
        6⤵
        
        PID:604
        
        C:\Users\Admin\AppData\Local\Temp\DF38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF38.tmp"
        7⤵
        
        PID:1808
- - C:\Users\Admin\AppData\Local\Temp\2E9F.tmp
    "C:\Users\Admin\AppData\Local\Temp\2E9F.tmp"
    3⤵
    PID:1792
- - C:\Users\Admin\AppData\Local\Temp\6B12.tmp
    "C:\Users\Admin\AppData\Local\Temp\6B12.tmp"
    3⤵
    PID:3020
  - - C:\Users\Admin\AppData\Local\Temp\9AE8.tmp
      "C:\Users\Admin\AppData\Local\Temp\9AE8.tmp"
      4⤵
      PID:588
    - - C:\Users\Admin\AppData\Local\Temp\9B27.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9B27.tmp"
        5⤵
        
        PID:324

C:\Users\Admin\AppData\Local\Temp\5A9E.tmp
"C:\Users\Admin\AppData\Local\Temp\5A9E.tmp"
1⤵
PID:3012
- C:\Users\Admin\AppData\Local\Temp\5AEC.tmp
  "C:\Users\Admin\AppData\Local\Temp\5AEC.tmp"
  2⤵
  PID:2880
- - C:\Users\Admin\AppData\Local\Temp\5B2A.tmp
    "C:\Users\Admin\AppData\Local\Temp\5B2A.tmp"
    3⤵
    PID:3008
  - - C:\Users\Admin\AppData\Local\Temp\2FF6.tmp
      "C:\Users\Admin\AppData\Local\Temp\2FF6.tmp"
      4⤵
      PID:336
- - C:\Users\Admin\AppData\Local\Temp\2FC7.tmp
    "C:\Users\Admin\AppData\Local\Temp\2FC7.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:3008
  - - C:\Users\Admin\AppData\Local\Temp\1526.tmp
      "C:\Users\Admin\AppData\Local\Temp\1526.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2020
- C:\Users\Admin\AppData\Local\Temp\3D6E.tmp
  "C:\Users\Admin\AppData\Local\Temp\3D6E.tmp"
  2⤵
  PID:540

C:\Users\Admin\AppData\Local\Temp\5A60.tmp
"C:\Users\Admin\AppData\Local\Temp\5A60.tmp"
1⤵
PID:1992

C:\Users\Admin\AppData\Local\Temp\5D5C.tmp
"C:\Users\Admin\AppData\Local\Temp\5D5C.tmp"
1⤵
PID:2532
- C:\Users\Admin\AppData\Local\Temp\5D9A.tmp
  "C:\Users\Admin\AppData\Local\Temp\5D9A.tmp"
  2⤵
  PID:2896
- - C:\Users\Admin\AppData\Local\Temp\4EFA.tmp
    "C:\Users\Admin\AppData\Local\Temp\4EFA.tmp"
    3⤵
    PID:2480
- - C:\Users\Admin\AppData\Local\Temp\401C.tmp
    "C:\Users\Admin\AppData\Local\Temp\401C.tmp"
    3⤵
    PID:2480

C:\Users\Admin\AppData\Local\Temp\5CC0.tmp
"C:\Users\Admin\AppData\Local\Temp\5CC0.tmp"
1⤵
PID:1860
- C:\Users\Admin\AppData\Local\Temp\4E20.tmp
  "C:\Users\Admin\AppData\Local\Temp\4E20.tmp"
  2⤵
  PID:788
- - C:\Users\Admin\AppData\Local\Temp\3F70.tmp
    "C:\Users\Admin\AppData\Local\Temp\3F70.tmp"
    3⤵
    PID:1144

C:\Users\Admin\AppData\Local\Temp\5E56.tmp
"C:\Users\Admin\AppData\Local\Temp\5E56.tmp"
1⤵
PID:1292
- C:\Users\Admin\AppData\Local\Temp\5E94.tmp
  "C:\Users\Admin\AppData\Local\Temp\5E94.tmp"
  2⤵
  PID:1404
- - C:\Users\Admin\AppData\Local\Temp\258A.tmp
    "C:\Users\Admin\AppData\Local\Temp\258A.tmp"
    3⤵
    PID:996
- C:\Users\Admin\AppData\Local\Temp\7031.tmp
  "C:\Users\Admin\AppData\Local\Temp\7031.tmp"
  2⤵
  PID:1404
- - C:\Users\Admin\AppData\Local\Temp\705F.tmp
    "C:\Users\Admin\AppData\Local\Temp\705F.tmp"
    3⤵
    PID:3024
  - - C:\Users\Admin\AppData\Local\Temp\8018.tmp
      "C:\Users\Admin\AppData\Local\Temp\8018.tmp"
      4⤵
      PID:1324
    - - C:\Users\Admin\AppData\Local\Temp\AFDF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AFDF.tmp"
        5⤵
        
        PID:2516
      - C:\Users\Admin\AppData\Local\Temp\B01D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B01D.tmp"
        6⤵
        
        PID:2104
        
        C:\Users\Admin\AppData\Local\Temp\B07B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B07B.tmp"
        7⤵
        
        PID:1624
        
        C:\Users\Admin\AppData\Local\Temp\B0D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B0D8.tmp"
        8⤵
        
        PID:2380
        
        C:\Users\Admin\AppData\Local\Temp\B126.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B126.tmp"
        9⤵
        
        PID:2148
        
        C:\Users\Admin\AppData\Local\Temp\B174.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B174.tmp"
        10⤵
        
        PID:1204

C:\Users\Admin\AppData\Local\Temp\5C62.tmp
"C:\Users\Admin\AppData\Local\Temp\5C62.tmp"
1⤵
PID:1484
- C:\Users\Admin\AppData\Local\Temp\4DC2.tmp
  "C:\Users\Admin\AppData\Local\Temp\4DC2.tmp"
  2⤵
  PID:2948

C:\Users\Admin\AppData\Local\Temp\5C34.tmp
"C:\Users\Admin\AppData\Local\Temp\5C34.tmp"
1⤵
PID:956

C:\Users\Admin\AppData\Local\Temp\5F01.tmp
"C:\Users\Admin\AppData\Local\Temp\5F01.tmp"
1⤵
PID:1324

C:\Users\Admin\AppData\Local\Temp\5ED2.tmp
"C:\Users\Admin\AppData\Local\Temp\5ED2.tmp"
1⤵
PID:3024
- C:\Users\Admin\AppData\Local\Temp\709E.tmp
  "C:\Users\Admin\AppData\Local\Temp\709E.tmp"
  2⤵
  PID:1324
- - C:\Users\Admin\AppData\Local\Temp\901F.tmp
    "C:\Users\Admin\AppData\Local\Temp\901F.tmp"
    3⤵
    PID:2320
  - - C:\Users\Admin\AppData\Local\Temp\905D.tmp
      "C:\Users\Admin\AppData\Local\Temp\905D.tmp"
      4⤵
      PID:2104

C:\Users\Admin\AppData\Local\Temp\58F9.tmp
"C:\Users\Admin\AppData\Local\Temp\58F9.tmp"
1⤵
PID:2244

C:\Users\Admin\AppData\Local\Temp\57C1.tmp
"C:\Users\Admin\AppData\Local\Temp\57C1.tmp"
1⤵
PID:872
- C:\Users\Admin\AppData\Local\Temp\788A.tmp
  "C:\Users\Admin\AppData\Local\Temp\788A.tmp"
  2⤵
  PID:1328

C:\Users\Admin\AppData\Local\Temp\5792.tmp
"C:\Users\Admin\AppData\Local\Temp\5792.tmp"
1⤵
PID:1352
- C:\Users\Admin\AppData\Local\Temp\A67C.tmp
  "C:\Users\Admin\AppData\Local\Temp\A67C.tmp"
  2⤵
  PID:2328
- - C:\Users\Admin\AppData\Local\Temp\A6BB.tmp
    "C:\Users\Admin\AppData\Local\Temp\A6BB.tmp"
    3⤵
    PID:2332

C:\Users\Admin\AppData\Local\Temp\5541.tmp
"C:\Users\Admin\AppData\Local\Temp\5541.tmp"
1⤵
PID:2680
- C:\Users\Admin\AppData\Local\Temp\2AD8.tmp
  "C:\Users\Admin\AppData\Local\Temp\2AD8.tmp"
  2⤵
  PID:2664

C:\Users\Admin\AppData\Local\Temp\5457.tmp
"C:\Users\Admin\AppData\Local\Temp\5457.tmp"
1⤵
PID:2748
- C:\Users\Admin\AppData\Local\Temp\3746.tmp
  "C:\Users\Admin\AppData\Local\Temp\3746.tmp"
  2⤵
  PID:2260
- - C:\Users\Admin\AppData\Local\Temp\846C.tmp
    "C:\Users\Admin\AppData\Local\Temp\846C.tmp"
    3⤵
    PID:2784

C:\Users\Admin\AppData\Local\Temp\532F.tmp
"C:\Users\Admin\AppData\Local\Temp\532F.tmp"
1⤵
PID:2256
- C:\Users\Admin\AppData\Local\Temp\449E.tmp
  "C:\Users\Admin\AppData\Local\Temp\449E.tmp"
  2⤵
  PID:2096
- - C:\Users\Admin\AppData\Local\Temp\E43.tmp
    "C:\Users\Admin\AppData\Local\Temp\E43.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of WriteProcessMemory
    PID:2900
  - - C:\Users\Admin\AppData\Local\Temp\8353.tmp
      "C:\Users\Admin\AppData\Local\Temp\8353.tmp"
      4⤵
      PID:2832
    - - C:\Users\Admin\AppData\Local\Temp\934A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\934A.tmp"
        5⤵
        
        PID:344

C:\Users\Admin\AppData\Local\Temp\5283.tmp
"C:\Users\Admin\AppData\Local\Temp\5283.tmp"
1⤵
PID:888
- C:\Users\Admin\AppData\Local\Temp\281A.tmp
  "C:\Users\Admin\AppData\Local\Temp\281A.tmp"
  2⤵
  PID:1592
- - C:\Users\Admin\AppData\Local\Temp\738B.tmp
    "C:\Users\Admin\AppData\Local\Temp\738B.tmp"
    3⤵
    PID:2256
- C:\Users\Admin\AppData\Local\Temp\1AA2.tmp
  "C:\Users\Admin\AppData\Local\Temp\1AA2.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1796

C:\Users\Admin\AppData\Local\Temp\51D8.tmp
"C:\Users\Admin\AppData\Local\Temp\51D8.tmp"
1⤵
PID:2004

C:\Users\Admin\AppData\Local\Temp\512C.tmp
"C:\Users\Admin\AppData\Local\Temp\512C.tmp"
1⤵
PID:2104
- C:\Users\Admin\AppData\Local\Temp\908C.tmp
  "C:\Users\Admin\AppData\Local\Temp\908C.tmp"
  2⤵
  PID:1692
- - C:\Users\Admin\AppData\Local\Temp\A0B2.tmp
    "C:\Users\Admin\AppData\Local\Temp\A0B2.tmp"
    3⤵
    PID:2124

C:\Users\Admin\AppData\Local\Temp\5080.tmp
"C:\Users\Admin\AppData\Local\Temp\5080.tmp"
1⤵
PID:2976
- C:\Users\Admin\AppData\Local\Temp\5FAD.tmp
  "C:\Users\Admin\AppData\Local\Temp\5FAD.tmp"
  2⤵
  PID:2308
- - C:\Users\Admin\AppData\Local\Temp\5FEB.tmp
    "C:\Users\Admin\AppData\Local\Temp\5FEB.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:2184
- - C:\Users\Admin\AppData\Local\Temp\71C6.tmp
    "C:\Users\Admin\AppData\Local\Temp\71C6.tmp"
    3⤵
    PID:2516

C:\Users\Admin\AppData\Local\Temp\5052.tmp
"C:\Users\Admin\AppData\Local\Temp\5052.tmp"
1⤵
PID:2320

C:\Users\Admin\AppData\Local\Temp\5013.tmp
"C:\Users\Admin\AppData\Local\Temp\5013.tmp"
1⤵
PID:924
- C:\Users\Admin\AppData\Local\Temp\AEA7.tmp
  "C:\Users\Admin\AppData\Local\Temp\AEA7.tmp"
  2⤵
  PID:1260
- - C:\Users\Admin\AppData\Local\Temp\AEE5.tmp
    "C:\Users\Admin\AppData\Local\Temp\AEE5.tmp"
    3⤵
    PID:1756
  - - C:\Users\Admin\AppData\Local\Temp\AF43.tmp
      "C:\Users\Admin\AppData\Local\Temp\AF43.tmp"
      4⤵
      PID:1732
  - - C:\Users\Admin\AppData\Local\Temp\D375.tmp
      "C:\Users\Admin\AppData\Local\Temp\D375.tmp"
      4⤵
      PID:1732
    - - C:\Users\Admin\AppData\Local\Temp\D3B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D3B3.tmp"
        5⤵
        
        PID:2184
      - C:\Users\Admin\AppData\Local\Temp\D401.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D401.tmp"
        6⤵
        
        PID:2280
        
        C:\Users\Admin\AppData\Local\Temp\D440.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D440.tmp"
        7⤵
        
        PID:2364
        
        C:\Users\Admin\AppData\Local\Temp\D49D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D49D.tmp"
        8⤵
        
        PID:1632
        
        C:\Users\Admin\AppData\Local\Temp\D4DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D4DC.tmp"
        9⤵
        
        PID:1692
        
        C:\Users\Admin\AppData\Local\Temp\D52A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D52A.tmp"
        10⤵
        
        PID:2812
        
        C:\Users\Admin\AppData\Local\Temp\E63A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E63A.tmp"
        9⤵
        
        PID:3048
        
        C:\Users\Admin\AppData\Local\Temp\E5BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5BD.tmp"
        7⤵
        
        PID:2364
        
        C:\Users\Admin\AppData\Local\Temp\E5FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5FC.tmp"
        8⤵
        
        PID:1632

C:\Users\Admin\AppData\Local\Temp\4E8D.tmp
"C:\Users\Admin\AppData\Local\Temp\4E8D.tmp"
1⤵
PID:2532

C:\Users\Admin\AppData\Local\Temp\4B33.tmp
"C:\Users\Admin\AppData\Local\Temp\4B33.tmp"
1⤵
PID:2588

C:\Users\Admin\AppData\Local\Temp\4644.tmp
"C:\Users\Admin\AppData\Local\Temp\4644.tmp"
1⤵
PID:2740
- C:\Users\Admin\AppData\Local\Temp\1CE3.tmp
  "C:\Users\Admin\AppData\Local\Temp\1CE3.tmp"
  2⤵
  - Executes dropped EXE
  PID:2564

C:\Users\Admin\AppData\Local\Temp\4183.tmp
"C:\Users\Admin\AppData\Local\Temp\4183.tmp"
1⤵
PID:328

C:\Users\Admin\AppData\Local\Temp\3D9C.tmp
"C:\Users\Admin\AppData\Local\Temp\3D9C.tmp"
1⤵
PID:588

C:\Users\Admin\AppData\Local\Temp\3C07.tmp
"C:\Users\Admin\AppData\Local\Temp\3C07.tmp"
1⤵
PID:1276

C:\Users\Admin\AppData\Local\Temp\3A62.tmp
"C:\Users\Admin\AppData\Local\Temp\3A62.tmp"
1⤵
PID:1996

C:\Users\Admin\AppData\Local\Temp\38AD.tmp
"C:\Users\Admin\AppData\Local\Temp\38AD.tmp"
1⤵
PID:2624

C:\Users\Admin\AppData\Local\Temp\3208.tmp
"C:\Users\Admin\AppData\Local\Temp\3208.tmp"
1⤵
PID:2416

C:\Users\Admin\AppData\Local\Temp\31DA.tmp
"C:\Users\Admin\AppData\Local\Temp\31DA.tmp"
1⤵
PID:412
- C:\Users\Admin\AppData\Local\Temp\6E5D.tmp
  "C:\Users\Admin\AppData\Local\Temp\6E5D.tmp"
  2⤵
  PID:788

C:\Users\Admin\AppData\Local\Temp\312E.tmp
"C:\Users\Admin\AppData\Local\Temp\312E.tmp"
1⤵
PID:652

C:\Users\Admin\AppData\Local\Temp\2D28.tmp
"C:\Users\Admin\AppData\Local\Temp\2D28.tmp"
1⤵
PID:1256

C:\Users\Admin\AppData\Local\Temp\2A2C.tmp
"C:\Users\Admin\AppData\Local\Temp\2A2C.tmp"
1⤵
PID:2864
- C:\Users\Admin\AppData\Local\Temp\74F1.tmp
  "C:\Users\Admin\AppData\Local\Temp\74F1.tmp"
  2⤵
  PID:2876
- - C:\Users\Admin\AppData\Local\Temp\7530.tmp
    "C:\Users\Admin\AppData\Local\Temp\7530.tmp"
    3⤵
    PID:2816
  - - C:\Users\Admin\AppData\Local\Temp\FBCC.tmp
      "C:\Users\Admin\AppData\Local\Temp\FBCC.tmp"
      4⤵
      PID:2632
    - - C:\Users\Admin\AppData\Local\Temp\FC0B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC0B.tmp"
        5⤵
        
        PID:1128
      - C:\Users\Admin\AppData\Local\Temp\FC68.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC68.tmp"
        6⤵
        
        PID:2748
        
        C:\Users\Admin\AppData\Local\Temp\FCB6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FCB6.tmp"
        7⤵
        
        PID:2776
        
        C:\Users\Admin\AppData\Local\Temp\FD14.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD14.tmp"
        8⤵
        
        PID:888
        
        C:\Users\Admin\AppData\Local\Temp\FD72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD72.tmp"
        9⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\FE0E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE0E.tmp"
        10⤵
        
        PID:2652
        
        C:\Users\Admin\AppData\Local\Temp\FE7B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE7B.tmp"
        11⤵
        
        PID:2936
        
        C:\Users\Admin\AppData\Local\Temp\FEC9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEC9.tmp"
        12⤵
        
        PID:2628
        
        C:\Users\Admin\AppData\Local\Temp\FF17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF17.tmp"
        13⤵
        
        PID:2172
        
        C:\Users\Admin\AppData\Local\Temp\FF55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF55.tmp"
        14⤵
        
        PID:1672
        
        C:\Users\Admin\AppData\Local\Temp\FFD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFD2.tmp"
        15⤵
        
        PID:3064
        
        C:\Users\Admin\AppData\Local\Temp\30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30.tmp"
        16⤵
        
        PID:2804
        
        C:\Users\Admin\AppData\Local\Temp\7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E.tmp"
        17⤵
        
        PID:1636

C:\Users\Admin\AppData\Local\Temp\2971.tmp
"C:\Users\Admin\AppData\Local\Temp\2971.tmp"
1⤵
PID:2744
- C:\Users\Admin\AppData\Local\Temp\1C38.tmp
  "C:\Users\Admin\AppData\Local\Temp\1C38.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1028
- - C:\Users\Admin\AppData\Local\Temp\842D.tmp
    "C:\Users\Admin\AppData\Local\Temp\842D.tmp"
    3⤵
    PID:2260
- C:\Users\Admin\AppData\Local\Temp\6374.tmp
  "C:\Users\Admin\AppData\Local\Temp\6374.tmp"
  2⤵
  PID:2860
- - C:\Users\Admin\AppData\Local\Temp\63A3.tmp
    "C:\Users\Admin\AppData\Local\Temp\63A3.tmp"
    3⤵
    PID:2748
  - - C:\Users\Admin\AppData\Local\Temp\63F1.tmp
      "C:\Users\Admin\AppData\Local\Temp\63F1.tmp"
      4⤵
      PID:2784
    - - C:\Users\Admin\AppData\Local\Temp\643F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\643F.tmp"
        5⤵
        
        PID:2264
      - C:\Users\Admin\AppData\Local\Temp\647D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\647D.tmp"
        6⤵
        
        PID:2016
        
        C:\Users\Admin\AppData\Local\Temp\64EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\64EB.tmp"
        7⤵
        
        PID:1128
    - - C:\Users\Admin\AppData\Local\Temp\849B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\849B.tmp"
        5⤵
        
        PID:2652
      - C:\Users\Admin\AppData\Local\Temp\84C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\84C9.tmp"
        6⤵
        
        PID:2728
      - C:\Users\Admin\AppData\Local\Temp\94C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\94C1.tmp"
        6⤵
        
        PID:2016
        
        C:\Users\Admin\AppData\Local\Temp\94FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\94FF.tmp"
        7⤵
        
        PID:2936
        
        C:\Users\Admin\AppData\Local\Temp\A4A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A4A8.tmp"
        7⤵
        
        PID:1596

C:\Users\Admin\AppData\Local\Temp\25C9.tmp
"C:\Users\Admin\AppData\Local\Temp\25C9.tmp"
1⤵
PID:1324
- C:\Users\Admin\AppData\Local\Temp\5F40.tmp
  "C:\Users\Admin\AppData\Local\Temp\5F40.tmp"
  2⤵
  PID:2000
- - C:\Users\Admin\AppData\Local\Temp\8085.tmp
    "C:\Users\Admin\AppData\Local\Temp\8085.tmp"
    3⤵
    PID:2976
  - - C:\Users\Admin\AppData\Local\Temp\80C4.tmp
      "C:\Users\Admin\AppData\Local\Temp\80C4.tmp"
      4⤵
      PID:1692
    - - C:\Users\Admin\AppData\Local\Temp\90BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\90BB.tmp"
        5⤵
        
        PID:2124
      - C:\Users\Admin\AppData\Local\Temp\A0F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A0F1.tmp"
        6⤵
        
        PID:2004
        
        C:\Users\Admin\AppData\Local\Temp\A12F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A12F.tmp"
        7⤵
        
        PID:2792
  - - C:\Users\Admin\AppData\Local\Temp\A083.tmp
      "C:\Users\Admin\AppData\Local\Temp\A083.tmp"
      4⤵
      PID:1692
    - - C:\Users\Admin\AppData\Local\Temp\C320.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C320.tmp"
        5⤵
        
        PID:1680
- C:\Users\Admin\AppData\Local\Temp\70DC.tmp
  "C:\Users\Admin\AppData\Local\Temp\70DC.tmp"
  2⤵
  PID:2320
- - C:\Users\Admin\AppData\Local\Temp\711B.tmp
    "C:\Users\Admin\AppData\Local\Temp\711B.tmp"
    3⤵
    PID:2976
  - - C:\Users\Admin\AppData\Local\Temp\7188.tmp
      "C:\Users\Admin\AppData\Local\Temp\7188.tmp"
      4⤵
      PID:2308

C:\Users\Admin\AppData\Local\Temp\2452.tmp
"C:\Users\Admin\AppData\Local\Temp\2452.tmp"
1⤵
PID:1656

C:\Users\Admin\AppData\Local\Temp\1F24.tmp
"C:\Users\Admin\AppData\Local\Temp\1F24.tmp"
1⤵
PID:1924

C:\Users\Admin\AppData\Local\Temp\1AE0.tmp
"C:\Users\Admin\AppData\Local\Temp\1AE0.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2052

C:\Users\Admin\AppData\Local\Temp\19F6.tmp
"C:\Users\Admin\AppData\Local\Temp\19F6.tmp"
1⤵
PID:2184
- C:\Users\Admin\AppData\Local\Temp\602A.tmp
  "C:\Users\Admin\AppData\Local\Temp\602A.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1760
- - C:\Users\Admin\AppData\Local\Temp\7224.tmp
    "C:\Users\Admin\AppData\Local\Temp\7224.tmp"
    3⤵
    PID:2752

C:\Users\Admin\AppData\Local\Temp\193B.tmp
"C:\Users\Admin\AppData\Local\Temp\193B.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:708

C:\Users\Admin\AppData\Local\Temp\1748.tmp
"C:\Users\Admin\AppData\Local\Temp\1748.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:452

C:\Users\Admin\AppData\Local\Temp\169C.tmp
"C:\Users\Admin\AppData\Local\Temp\169C.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:360
- C:\Users\Admin\AppData\Local\Temp\AB6C.tmp
  "C:\Users\Admin\AppData\Local\Temp\AB6C.tmp"
  2⤵
  PID:1016
- - C:\Users\Admin\AppData\Local\Temp\ABAA.tmp
    "C:\Users\Admin\AppData\Local\Temp\ABAA.tmp"
    3⤵
    PID:288
  - - C:\Users\Admin\AppData\Local\Temp\ABE9.tmp
      "C:\Users\Admin\AppData\Local\Temp\ABE9.tmp"
      4⤵
      PID:2416
    - - C:\Users\Admin\AppData\Local\Temp\AC46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC46.tmp"
        5⤵
        
        PID:2616
      - C:\Users\Admin\AppData\Local\Temp\ACA4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ACA4.tmp"
        6⤵
        
        PID:1044
        
        C:\Users\Admin\AppData\Local\Temp\ACE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ACE2.tmp"
        7⤵
        
        PID:2532
- - C:\Users\Admin\AppData\Local\Temp\BDB4.tmp
    "C:\Users\Admin\AppData\Local\Temp\BDB4.tmp"
    3⤵
    PID:2220
  - - C:\Users\Admin\AppData\Local\Temp\BE02.tmp
      "C:\Users\Admin\AppData\Local\Temp\BE02.tmp"
      4⤵
      PID:1860
    - - C:\Users\Admin\AppData\Local\Temp\BE7F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE7F.tmp"
        5⤵
        
        PID:2948
      - C:\Users\Admin\AppData\Local\Temp\BECD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BECD.tmp"
        6⤵
        
        PID:1616
        
        C:\Users\Admin\AppData\Local\Temp\D0A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D0A7.tmp"
        7⤵
        
        PID:488

C:\Users\Admin\AppData\Local\Temp\14B9.tmp
"C:\Users\Admin\AppData\Local\Temp\14B9.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2088

C:\Users\Admin\AppData\Local\Temp\1390.tmp
"C:\Users\Admin\AppData\Local\Temp\1390.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1308
- C:\Users\Admin\AppData\Local\Temp\A7C4.tmp
  "C:\Users\Admin\AppData\Local\Temp\A7C4.tmp"
  2⤵
  PID:1824

C:\Users\Admin\AppData\Local\Temp\1352.tmp
"C:\Users\Admin\AppData\Local\Temp\1352.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2180

C:\Users\Admin\AppData\Local\Temp\1314.tmp
"C:\Users\Admin\AppData\Local\Temp\1314.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1580

C:\Users\Admin\AppData\Local\Temp\121A.tmp
"C:\Users\Admin\AppData\Local\Temp\121A.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2520

C:\Users\Admin\AppData\Local\Temp\11DC.tmp
"C:\Users\Admin\AppData\Local\Temp\11DC.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2800
- C:\Users\Admin\AppData\Local\Temp\868E.tmp
  "C:\Users\Admin\AppData\Local\Temp\868E.tmp"
  2⤵
  PID:1524
- - C:\Users\Admin\AppData\Local\Temp\86CC.tmp
    "C:\Users\Admin\AppData\Local\Temp\86CC.tmp"
    3⤵
    PID:1872
  - - C:\Users\Admin\AppData\Local\Temp\870B.tmp
      "C:\Users\Admin\AppData\Local\Temp\870B.tmp"
      4⤵
      PID:2228
    - - C:\Users\Admin\AppData\Local\Temp\77DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77DE.tmp"
        5⤵
        
        PID:1700
  - - C:\Users\Admin\AppData\Local\Temp\9731.tmp
      "C:\Users\Admin\AppData\Local\Temp\9731.tmp"
      4⤵
      PID:2228

C:\Users\Admin\AppData\Local\Temp\115F.tmp
"C:\Users\Admin\AppData\Local\Temp\115F.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2660

C:\Users\Admin\AppData\Local\Temp\10A4.tmp
"C:\Users\Admin\AppData\Local\Temp\10A4.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2780

C:\Users\Admin\AppData\Local\Temp\1017.tmp
"C:\Users\Admin\AppData\Local\Temp\1017.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2652

C:\Users\Admin\AppData\Local\Temp\FD9.tmp
"C:\Users\Admin\AppData\Local\Temp\FD9.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2632
- C:\Users\Admin\AppData\Local\Temp\A3CE.tmp
  "C:\Users\Admin\AppData\Local\Temp\A3CE.tmp"
  2⤵
  PID:2260

C:\Users\Admin\AppData\Local\Temp\F9A.tmp
"C:\Users\Admin\AppData\Local\Temp\F9A.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2876

C:\Users\Admin\AppData\Local\Temp\EFE.tmp
"C:\Users\Admin\AppData\Local\Temp\EFE.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2836

C:\Users\Admin\AppData\Local\Temp\EC0.tmp
"C:\Users\Admin\AppData\Local\Temp\EC0.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2716

C:\Users\Admin\AppData\Local\Temp\2024-01-06_5483274bf5cc7ac8b2a0eb3afe3c3668_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-06_5483274bf5cc7ac8b2a0eb3afe3c3668_mafia.exe"
1⤵
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2380

C:\Users\Admin\AppData\Local\Temp\5F7E.tmp
"C:\Users\Admin\AppData\Local\Temp\5F7E.tmp"
1⤵
PID:2976

C:\Users\Admin\AppData\Local\Temp\6123.tmp
"C:\Users\Admin\AppData\Local\Temp\6123.tmp"
1⤵
PID:2528
- C:\Users\Admin\AppData\Local\Temp\6152.tmp
  "C:\Users\Admin\AppData\Local\Temp\6152.tmp"
  2⤵
  PID:2112
- - C:\Users\Admin\AppData\Local\Temp\6190.tmp
    "C:\Users\Admin\AppData\Local\Temp\6190.tmp"
    3⤵
    PID:3056
  - - C:\Users\Admin\AppData\Local\Temp\61BF.tmp
      "C:\Users\Admin\AppData\Local\Temp\61BF.tmp"
      4⤵
      PID:2012
    - - C:\Users\Admin\AppData\Local\Temp\C3CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C3CC.tmp"
        5⤵
        
        PID:1592
      - C:\Users\Admin\AppData\Local\Temp\C40A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C40A.tmp"
        6⤵
        
        PID:3056
        
        C:\Users\Admin\AppData\Local\Temp\C458.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C458.tmp"
        7⤵
        
        PID:1816
        
        C:\Users\Admin\AppData\Local\Temp\C4B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4B6.tmp"
        8⤵
        
        PID:2716
        
        C:\Users\Admin\AppData\Local\Temp\C504.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C504.tmp"
        9⤵
        
        PID:2796
        
        C:\Users\Admin\AppData\Local\Temp\D75B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D75B.tmp"
        10⤵
        
        PID:2608
        
        C:\Users\Admin\AppData\Local\Temp\D79A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D79A.tmp"
        11⤵
        
        PID:2988

C:\Users\Admin\AppData\Local\Temp\60E5.tmp
"C:\Users\Admin\AppData\Local\Temp\60E5.tmp"
1⤵
PID:1520

C:\Users\Admin\AppData\Local\Temp\622C.tmp
"C:\Users\Admin\AppData\Local\Temp\622C.tmp"
1⤵
PID:3036
- C:\Users\Admin\AppData\Local\Temp\626B.tmp
  "C:\Users\Admin\AppData\Local\Temp\626B.tmp"
  2⤵
  PID:2484
- - C:\Users\Admin\AppData\Local\Temp\62A9.tmp
    "C:\Users\Admin\AppData\Local\Temp\62A9.tmp"
    3⤵
    PID:2140
  - - C:\Users\Admin\AppData\Local\Temp\62F7.tmp
      "C:\Users\Admin\AppData\Local\Temp\62F7.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2304
- C:\Users\Admin\AppData\Local\Temp\D597.tmp
  "C:\Users\Admin\AppData\Local\Temp\D597.tmp"
  2⤵
  PID:2872

C:\Users\Admin\AppData\Local\Temp\693E.tmp
"C:\Users\Admin\AppData\Local\Temp\693E.tmp"
1⤵
PID:3044

C:\Users\Admin\AppData\Local\Temp\6F18.tmp
"C:\Users\Admin\AppData\Local\Temp\6F18.tmp"
1⤵
PID:2896
- C:\Users\Admin\AppData\Local\Temp\6F56.tmp
  "C:\Users\Admin\AppData\Local\Temp\6F56.tmp"
  2⤵
  PID:776
- - C:\Users\Admin\AppData\Local\Temp\6F95.tmp
    "C:\Users\Admin\AppData\Local\Temp\6F95.tmp"
    3⤵
    PID:2196
  - - C:\Users\Admin\AppData\Local\Temp\6FF2.tmp
      "C:\Users\Admin\AppData\Local\Temp\6FF2.tmp"
      4⤵
      PID:1292
    - - C:\Users\Admin\AppData\Local\Temp\7F9B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F9B.tmp"
        5⤵
        
        PID:1404
    - - C:\Users\Admin\AppData\Local\Temp\8F64.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F64.tmp"
        5⤵
        
        PID:1404
      - C:\Users\Admin\AppData\Local\Temp\8FA2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8FA2.tmp"
        6⤵
        
        PID:2460
        
        C:\Users\Admin\AppData\Local\Temp\E437.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E437.tmp"
        7⤵
        
        PID:924
        
        C:\Users\Admin\AppData\Local\Temp\E476.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E476.tmp"
        8⤵
        
        PID:1760
        
        C:\Users\Admin\AppData\Local\Temp\F788.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F788.tmp"
        9⤵
        
        PID:1756
        
        C:\Users\Admin\AppData\Local\Temp\F7C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F7C7.tmp"
        10⤵
        
        PID:1520
        
        C:\Users\Admin\AppData\Local\Temp\F805.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F805.tmp"
        11⤵
        
        PID:1652
        
        C:\Users\Admin\AppData\Local\Temp\F853.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F853.tmp"
        12⤵
        
        PID:1332
        
        C:\Users\Admin\AppData\Local\Temp\F8A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8A1.tmp"
        13⤵
        
        PID:1204
        
        C:\Users\Admin\AppData\Local\Temp\F8FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8FF.tmp"
        14⤵
        
        PID:1632
        
        C:\Users\Admin\AppData\Local\Temp\F94D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F94D.tmp"
        15⤵
        
        PID:1208
        
        C:\Users\Admin\AppData\Local\Temp\F99B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F99B.tmp"
        16⤵
        
        PID:2812
        
        C:\Users\Admin\AppData\Local\Temp\F9E9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9E9.tmp"
        17⤵
        
        PID:2676
        
        C:\Users\Admin\AppData\Local\Temp\FA27.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA27.tmp"
        18⤵
        
        PID:2872
        
        C:\Users\Admin\AppData\Local\Temp\FA75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA75.tmp"
        19⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\FAE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FAE2.tmp"
        20⤵
        
        PID:2912
        
        C:\Users\Admin\AppData\Local\Temp\FB30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB30.tmp"
        21⤵
        
        PID:1816
      - C:\Users\Admin\AppData\Local\Temp\7FDA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FDA.tmp"
        6⤵
        
        PID:3024
      - C:\Users\Admin\AppData\Local\Temp\9F8A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9F8A.tmp"
        6⤵
        
        PID:3024
        
        C:\Users\Admin\AppData\Local\Temp\9FC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FC8.tmp"
        7⤵
        
        PID:2280
        
        C:\Users\Admin\AppData\Local\Temp\A016.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A016.tmp"
        8⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\A055.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A055.tmp"
        9⤵
        
        PID:2976
        
        C:\Users\Admin\AppData\Local\Temp\AFA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AFA0.tmp"
        7⤵
        
        PID:1324
        
        C:\Users\Admin\AppData\Local\Temp\9FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FF.tmp"
        8⤵
        
        PID:1732
- C:\Users\Admin\AppData\Local\Temp\7EFF.tmp
  "C:\Users\Admin\AppData\Local\Temp\7EFF.tmp"
  2⤵
  PID:2440
- - C:\Users\Admin\AppData\Local\Temp\8EF7.tmp
    "C:\Users\Admin\AppData\Local\Temp\8EF7.tmp"
    3⤵
    PID:780

C:\Users\Admin\AppData\Local\Temp\71F5.tmp
"C:\Users\Admin\AppData\Local\Temp\71F5.tmp"
1⤵
PID:1760
- C:\Users\Admin\AppData\Local\Temp\E4B4.tmp
  "C:\Users\Admin\AppData\Local\Temp\E4B4.tmp"
  2⤵
  PID:1756
- - C:\Users\Admin\AppData\Local\Temp\E4E3.tmp
    "C:\Users\Admin\AppData\Local\Temp\E4E3.tmp"
    3⤵
    PID:1728
  - - C:\Users\Admin\AppData\Local\Temp\E540.tmp
      "C:\Users\Admin\AppData\Local\Temp\E540.tmp"
      4⤵
      PID:2492
    - - C:\Users\Admin\AppData\Local\Temp\E58E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E58E.tmp"
        5⤵
        
        PID:2280

C:\Users\Admin\AppData\Local\Temp\73E8.tmp
"C:\Users\Admin\AppData\Local\Temp\73E8.tmp"
1⤵
PID:2832
- C:\Users\Admin\AppData\Local\Temp\8391.tmp
  "C:\Users\Admin\AppData\Local\Temp\8391.tmp"
  2⤵
  PID:344
- - C:\Users\Admin\AppData\Local\Temp\83C0.tmp
    "C:\Users\Admin\AppData\Local\Temp\83C0.tmp"
    3⤵
    PID:2756
- - C:\Users\Admin\AppData\Local\Temp\7446.tmp
    "C:\Users\Admin\AppData\Local\Temp\7446.tmp"
    3⤵
    PID:2980
- - C:\Users\Admin\AppData\Local\Temp\9389.tmp
    "C:\Users\Admin\AppData\Local\Temp\9389.tmp"
    3⤵
    PID:2756
  - - C:\Users\Admin\AppData\Local\Temp\93C7.tmp
      "C:\Users\Admin\AppData\Local\Temp\93C7.tmp"
      4⤵
      PID:1028

C:\Users\Admin\AppData\Local\Temp\75CC.tmp
"C:\Users\Admin\AppData\Local\Temp\75CC.tmp"
1⤵
PID:1788
- C:\Users\Admin\AppData\Local\Temp\760A.tmp
  "C:\Users\Admin\AppData\Local\Temp\760A.tmp"
  2⤵
  PID:3060

C:\Users\Admin\AppData\Local\Temp\758D.tmp
"C:\Users\Admin\AppData\Local\Temp\758D.tmp"
1⤵
PID:2504

C:\Users\Admin\AppData\Local\Temp\7A4E.tmp
"C:\Users\Admin\AppData\Local\Temp\7A4E.tmp"
1⤵
PID:2268
- C:\Users\Admin\AppData\Local\Temp\7A8D.tmp
  "C:\Users\Admin\AppData\Local\Temp\7A8D.tmp"
  2⤵
  PID:2476
- C:\Users\Admin\AppData\Local\Temp\8A17.tmp
  "C:\Users\Admin\AppData\Local\Temp\8A17.tmp"
  2⤵
  PID:2476
- - C:\Users\Admin\AppData\Local\Temp\8A55.tmp
    "C:\Users\Admin\AppData\Local\Temp\8A55.tmp"
    3⤵
    PID:2164
  - - C:\Users\Admin\AppData\Local\Temp\9A7B.tmp
      "C:\Users\Admin\AppData\Local\Temp\9A7B.tmp"
      4⤵
      PID:2572
- - C:\Users\Admin\AppData\Local\Temp\A9F5.tmp
    "C:\Users\Admin\AppData\Local\Temp\A9F5.tmp"
    3⤵
    PID:1992
  - - C:\Users\Admin\AppData\Local\Temp\AA34.tmp
      "C:\Users\Admin\AppData\Local\Temp\AA34.tmp"
      4⤵
      PID:1176
    - - C:\Users\Admin\AppData\Local\Temp\AA72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA72.tmp"
        5⤵
        
        PID:3012

C:\Users\Admin\AppData\Local\Temp\7BE4.tmp
"C:\Users\Admin\AppData\Local\Temp\7BE4.tmp"
1⤵
PID:2020

C:\Users\Admin\AppData\Local\Temp\7F2E.tmp
"C:\Users\Admin\AppData\Local\Temp\7F2E.tmp"
1⤵
PID:2196
- C:\Users\Admin\AppData\Local\Temp\7F5D.tmp
  "C:\Users\Admin\AppData\Local\Temp\7F5D.tmp"
  2⤵
  PID:1292
- - C:\Users\Admin\AppData\Local\Temp\9F4B.tmp
    "C:\Users\Admin\AppData\Local\Temp\9F4B.tmp"
    3⤵
    PID:1404
  - - C:\Users\Admin\AppData\Local\Temp\C1C9.tmp
      "C:\Users\Admin\AppData\Local\Temp\C1C9.tmp"
      4⤵
      PID:3024
    - - C:\Users\Admin\AppData\Local\Temp\C207.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C207.tmp"
        5⤵
        
        PID:2280
      - C:\Users\Admin\AppData\Local\Temp\C265.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C265.tmp"
        6⤵
        
        PID:2516
        
        C:\Users\Admin\AppData\Local\Temp\C2B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C2B3.tmp"
        7⤵
        
        PID:1628

C:\Users\Admin\AppData\Local\Temp\81AE.tmp
"C:\Users\Admin\AppData\Local\Temp\81AE.tmp"
1⤵
PID:1208
- C:\Users\Admin\AppData\Local\Temp\91B5.tmp
  "C:\Users\Admin\AppData\Local\Temp\91B5.tmp"
  2⤵
  PID:1972
- - C:\Users\Admin\AppData\Local\Temp\91F3.tmp
    "C:\Users\Admin\AppData\Local\Temp\91F3.tmp"
    3⤵
    PID:1816

C:\Users\Admin\AppData\Local\Temp\8575.tmp
"C:\Users\Admin\AppData\Local\Temp\8575.tmp"
1⤵
PID:3060
- C:\Users\Admin\AppData\Local\Temp\85B3.tmp
  "C:\Users\Admin\AppData\Local\Temp\85B3.tmp"
  2⤵
  PID:2672
- - C:\Users\Admin\AppData\Local\Temp\95F9.tmp
    "C:\Users\Admin\AppData\Local\Temp\95F9.tmp"
    3⤵
    PID:2928
  - - C:\Users\Admin\AppData\Local\Temp\9637.tmp
      "C:\Users\Admin\AppData\Local\Temp\9637.tmp"
      4⤵
      PID:2804
    - - C:\Users\Admin\AppData\Local\Temp\A5FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A5FF.tmp"
        5⤵
        
        PID:2800
      - C:\Users\Admin\AppData\Local\Temp\A63E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A63E.tmp"
        6⤵
        
        PID:1352
      - C:\Users\Admin\AppData\Local\Temp\B77D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B77D.tmp"
        6⤵
        
        PID:1352
        
        C:\Users\Admin\AppData\Local\Temp\B7BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7BB.tmp"
        7⤵
        
        PID:2328
        
        C:\Users\Admin\AppData\Local\Temp\B7F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7F9.tmp"
        8⤵
        
        PID:2332
        
        C:\Users\Admin\AppData\Local\Temp\B838.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B838.tmp"
        9⤵
        
        PID:2684
- C:\Users\Admin\AppData\Local\Temp\7639.tmp
  "C:\Users\Admin\AppData\Local\Temp\7639.tmp"
  2⤵
  PID:1540

C:\Users\Admin\AppData\Local\Temp\896B.tmp
"C:\Users\Admin\AppData\Local\Temp\896B.tmp"
1⤵
PID:1304
- C:\Users\Admin\AppData\Local\Temp\89A9.tmp
  "C:\Users\Admin\AppData\Local\Temp\89A9.tmp"
  2⤵
  PID:3016
- - C:\Users\Admin\AppData\Local\Temp\99CF.tmp
    "C:\Users\Admin\AppData\Local\Temp\99CF.tmp"
    3⤵
    PID:2892
  - - C:\Users\Admin\AppData\Local\Temp\9A0E.tmp
      "C:\Users\Admin\AppData\Local\Temp\9A0E.tmp"
      4⤵
      PID:604
- C:\Users\Admin\AppData\Local\Temp\9991.tmp
  "C:\Users\Admin\AppData\Local\Temp\9991.tmp"
  2⤵
  PID:3016
- - C:\Users\Admin\AppData\Local\Temp\BB15.tmp
    "C:\Users\Admin\AppData\Local\Temp\BB15.tmp"
    3⤵
    PID:540
  - - C:\Users\Admin\AppData\Local\Temp\BB53.tmp
      "C:\Users\Admin\AppData\Local\Temp\BB53.tmp"
      4⤵
      PID:604
    - - C:\Users\Admin\AppData\Local\Temp\BB92.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB92.tmp"
        5⤵
        
        PID:2164
      - C:\Users\Admin\AppData\Local\Temp\BBE0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBE0.tmp"
        6⤵
        
        PID:2572
        
        C:\Users\Admin\AppData\Local\Temp\BC2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC2E.tmp"
        7⤵
        
        PID:3020
        
        C:\Users\Admin\AppData\Local\Temp\BC7C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC7C.tmp"
        8⤵
        
        PID:1604
        
        C:\Users\Admin\AppData\Local\Temp\BCBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BCBA.tmp"
        9⤵
        
        PID:2908
        
        C:\Users\Admin\AppData\Local\Temp\F1FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1FD.tmp"
        8⤵
        
        PID:2576
        
        C:\Users\Admin\AppData\Local\Temp\F23B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F23B.tmp"
        9⤵
        
        PID:1604
    - - C:\Users\Admin\AppData\Local\Temp\CD7C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD7C.tmp"
        5⤵
        
        PID:2164
      - C:\Users\Admin\AppData\Local\Temp\CDBB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDBB.tmp"
        6⤵
        
        PID:1504

C:\Users\Admin\AppData\Local\Temp\89D8.tmp
"C:\Users\Admin\AppData\Local\Temp\89D8.tmp"
1⤵
PID:2268

C:\Users\Admin\AppData\Local\Temp\8C67.tmp
"C:\Users\Admin\AppData\Local\Temp\8C67.tmp"
1⤵
PID:2220

C:\Users\Admin\AppData\Local\Temp\8881.tmp
"C:\Users\Admin\AppData\Local\Temp\8881.tmp"
1⤵
PID:1104
- C:\Users\Admin\AppData\Local\Temp\98A7.tmp
  "C:\Users\Admin\AppData\Local\Temp\98A7.tmp"
  2⤵
  PID:2932

C:\Users\Admin\AppData\Local\Temp\8537.tmp
"C:\Users\Admin\AppData\Local\Temp\8537.tmp"
1⤵
PID:2628
- C:\Users\Admin\AppData\Local\Temp\957C.tmp
  "C:\Users\Admin\AppData\Local\Temp\957C.tmp"
  2⤵
  PID:3060
- - C:\Users\Admin\AppData\Local\Temp\95BA.tmp
    "C:\Users\Admin\AppData\Local\Temp\95BA.tmp"
    3⤵
    PID:2672

C:\Users\Admin\AppData\Local\Temp\80F3.tmp
"C:\Users\Admin\AppData\Local\Temp\80F3.tmp"
1⤵
PID:2124
- C:\Users\Admin\AppData\Local\Temp\90F9.tmp
  "C:\Users\Admin\AppData\Local\Temp\90F9.tmp"
  2⤵
  PID:2004

C:\Users\Admin\AppData\Local\Temp\7484.tmp
"C:\Users\Admin\AppData\Local\Temp\7484.tmp"
1⤵
PID:1028
- C:\Users\Admin\AppData\Local\Temp\9405.tmp
  "C:\Users\Admin\AppData\Local\Temp\9405.tmp"
  2⤵
  PID:2260
- - C:\Users\Admin\AppData\Local\Temp\9444.tmp
    "C:\Users\Admin\AppData\Local\Temp\9444.tmp"
    3⤵
    PID:2564
  - - C:\Users\Admin\AppData\Local\Temp\9482.tmp
      "C:\Users\Admin\AppData\Local\Temp\9482.tmp"
      4⤵
      PID:2652
  - - C:\Users\Admin\AppData\Local\Temp\A43B.tmp
      "C:\Users\Admin\AppData\Local\Temp\A43B.tmp"
      4⤵
      PID:2652
    - - C:\Users\Admin\AppData\Local\Temp\A46A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A46A.tmp"
        5⤵
        
        PID:2016
      - C:\Users\Admin\AppData\Local\Temp\C800.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C800.tmp"
        6⤵
        
        PID:556
- - C:\Users\Admin\AppData\Local\Temp\A3FD.tmp
    "C:\Users\Admin\AppData\Local\Temp\A3FD.tmp"
    3⤵
    PID:2564

C:\Users\Admin\AppData\Local\Temp\9A4C.tmp
"C:\Users\Admin\AppData\Local\Temp\9A4C.tmp"
1⤵
PID:2164

C:\Users\Admin\AppData\Local\Temp\9CBC.tmp
"C:\Users\Admin\AppData\Local\Temp\9CBC.tmp"
1⤵
PID:956

C:\Users\Admin\AppData\Local\Temp\A5C1.tmp
"C:\Users\Admin\AppData\Local\Temp\A5C1.tmp"
1⤵
PID:2804

C:\Users\Admin\AppData\Local\Temp\A795.tmp
"C:\Users\Admin\AppData\Local\Temp\A795.tmp"
1⤵
PID:1308

C:\Users\Admin\AppData\Local\Temp\A979.tmp
"C:\Users\Admin\AppData\Local\Temp\A979.tmp"
1⤵
PID:1280
- C:\Users\Admin\AppData\Local\Temp\A9B7.tmp
  "C:\Users\Admin\AppData\Local\Temp\A9B7.tmp"
  2⤵
  PID:2476
- - C:\Users\Admin\AppData\Local\Temp\F0F4.tmp
    "C:\Users\Admin\AppData\Local\Temp\F0F4.tmp"
    3⤵
    PID:564
  - - C:\Users\Admin\AppData\Local\Temp\F132.tmp
      "C:\Users\Admin\AppData\Local\Temp\F132.tmp"
      4⤵
      PID:604
    - - C:\Users\Admin\AppData\Local\Temp\F170.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F170.tmp"
        5⤵
        
        PID:804
      - C:\Users\Admin\AppData\Local\Temp\F1BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1BE.tmp"
        6⤵
        
        PID:3020

C:\Users\Admin\AppData\Local\Temp\A93A.tmp
"C:\Users\Admin\AppData\Local\Temp\A93A.tmp"
1⤵
PID:2224

C:\Users\Admin\AppData\Local\Temp\AB0E.tmp
"C:\Users\Admin\AppData\Local\Temp\AB0E.tmp"
1⤵
PID:1048
- C:\Users\Admin\AppData\Local\Temp\BD37.tmp
  "C:\Users\Admin\AppData\Local\Temp\BD37.tmp"
  2⤵
  PID:2764
- - C:\Users\Admin\AppData\Local\Temp\BD75.tmp
    "C:\Users\Admin\AppData\Local\Temp\BD75.tmp"
    3⤵
    PID:1016
- - C:\Users\Admin\AppData\Local\Temp\CF50.tmp
    "C:\Users\Admin\AppData\Local\Temp\CF50.tmp"
    3⤵
    PID:1016
  - - C:\Users\Admin\AppData\Local\Temp\CF8F.tmp
      "C:\Users\Admin\AppData\Local\Temp\CF8F.tmp"
      4⤵
      PID:2220
    - - C:\Users\Admin\AppData\Local\Temp\CFCD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFCD.tmp"
        5⤵
        
        PID:1556
      - C:\Users\Admin\AppData\Local\Temp\D01B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D01B.tmp"
        6⤵
        
        PID:2272
        
        C:\Users\Admin\AppData\Local\Temp\D069.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D069.tmp"
        7⤵
        
        PID:1616
        
        C:\Users\Admin\AppData\Local\Temp\F4AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4AB.tmp"
        7⤵
        
        PID:1780
        
        C:\Users\Admin\AppData\Local\Temp\7FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FC.tmp"
        8⤵
        
        PID:2032
        
        C:\Users\Admin\AppData\Local\Temp\83B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\83B.tmp"
        9⤵
        
        PID:572
        
        C:\Users\Admin\AppData\Local\Temp\879.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\879.tmp"
        10⤵
        
        PID:1376
        
        C:\Users\Admin\AppData\Local\Temp\8C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C7.tmp"
        11⤵
        
        PID:2196

C:\Users\Admin\AppData\Local\Temp\AD7E.tmp
"C:\Users\Admin\AppData\Local\Temp\AD7E.tmp"
1⤵
PID:2724
- C:\Users\Admin\AppData\Local\Temp\ADBD.tmp
  "C:\Users\Admin\AppData\Local\Temp\ADBD.tmp"
  2⤵
  PID:892

C:\Users\Admin\AppData\Local\Temp\AD4F.tmp
"C:\Users\Admin\AppData\Local\Temp\AD4F.tmp"
1⤵
PID:1560

C:\Users\Admin\AppData\Local\Temp\AE68.tmp
"C:\Users\Admin\AppData\Local\Temp\AE68.tmp"
1⤵
PID:924

C:\Users\Admin\AppData\Local\Temp\B1F1.tmp
"C:\Users\Admin\AppData\Local\Temp\B1F1.tmp"
1⤵
PID:2700
- C:\Users\Admin\AppData\Local\Temp\B22F.tmp
  "C:\Users\Admin\AppData\Local\Temp\B22F.tmp"
  2⤵
  PID:2256
- - C:\Users\Admin\AppData\Local\Temp\B27D.tmp
    "C:\Users\Admin\AppData\Local\Temp\B27D.tmp"
    3⤵
    PID:2052
  - - C:\Users\Admin\AppData\Local\Temp\B2EB.tmp
      "C:\Users\Admin\AppData\Local\Temp\B2EB.tmp"
      4⤵
      PID:2732
    - - C:\Users\Admin\AppData\Local\Temp\B329.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B329.tmp"
        5⤵
        
        PID:2904
  - - C:\Users\Admin\AppData\Local\Temp\D71D.tmp
      "C:\Users\Admin\AppData\Local\Temp\D71D.tmp"
      4⤵
      PID:2796

C:\Users\Admin\AppData\Local\Temp\B49F.tmp
"C:\Users\Admin\AppData\Local\Temp\B49F.tmp"
1⤵
PID:2848

C:\Users\Admin\AppData\Local\Temp\B8A5.tmp
"C:\Users\Admin\AppData\Local\Temp\B8A5.tmp"
1⤵
PID:2180
- C:\Users\Admin\AppData\Local\Temp\B8E3.tmp
  "C:\Users\Admin\AppData\Local\Temp\B8E3.tmp"
  2⤵
  PID:2244
- - C:\Users\Admin\AppData\Local\Temp\B931.tmp
    "C:\Users\Admin\AppData\Local\Temp\B931.tmp"
    3⤵
    PID:2972
  - - C:\Users\Admin\AppData\Local\Temp\B98F.tmp
      "C:\Users\Admin\AppData\Local\Temp\B98F.tmp"
      4⤵
      PID:1104
    - - C:\Users\Admin\AppData\Local\Temp\B9ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B9ED.tmp"
        5⤵
        
        PID:2856
      - C:\Users\Admin\AppData\Local\Temp\CB99.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB99.tmp"
        6⤵
        
        PID:2200
        
        C:\Users\Admin\AppData\Local\Temp\CBD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBD7.tmp"
        7⤵
        
        PID:2852
        
        C:\Users\Admin\AppData\Local\Temp\CC35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC35.tmp"
        8⤵
        
        PID:1304
        
        C:\Users\Admin\AppData\Local\Temp\CC92.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC92.tmp"
        9⤵
        
        PID:1980
        
        C:\Users\Admin\AppData\Local\Temp\CCFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCFF.tmp"
        10⤵
        
        PID:540
        
        C:\Users\Admin\AppData\Local\Temp\CD3E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD3E.tmp"
        11⤵
        
        PID:604
        
        C:\Users\Admin\AppData\Local\Temp\F077.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F077.tmp"
        8⤵
        
        PID:1168
        
        C:\Users\Admin\AppData\Local\Temp\F0B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0B5.tmp"
        9⤵
        
        PID:2476
        
        C:\Users\Admin\AppData\Local\Temp\DE10.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE10.tmp"
        7⤵
        
        PID:2956
- - C:\Users\Admin\AppData\Local\Temp\CADD.tmp
    "C:\Users\Admin\AppData\Local\Temp\CADD.tmp"
    3⤵
    PID:2972
  - - C:\Users\Admin\AppData\Local\Temp\CB1C.tmp
      "C:\Users\Admin\AppData\Local\Temp\CB1C.tmp"
      4⤵
      PID:1988
  - - C:\Users\Admin\AppData\Local\Temp\DD64.tmp
      "C:\Users\Admin\AppData\Local\Temp\DD64.tmp"
      4⤵
      PID:2248
    - - C:\Users\Admin\AppData\Local\Temp\DDA2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DDA2.tmp"
        5⤵
        
        PID:2856
    - - C:\Users\Admin\AppData\Local\Temp\EFAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFAC.tmp"
        5⤵
        
        PID:2296
      - C:\Users\Admin\AppData\Local\Temp\EFEA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFEA.tmp"
        6⤵
        
        PID:2200

C:\Users\Admin\AppData\Local\Temp\BA1B.tmp
"C:\Users\Admin\AppData\Local\Temp\BA1B.tmp"
1⤵
PID:2200
- C:\Users\Admin\AppData\Local\Temp\BA5A.tmp
  "C:\Users\Admin\AppData\Local\Temp\BA5A.tmp"
  2⤵
  PID:2208

C:\Users\Admin\AppData\Local\Temp\C83F.tmp
"C:\Users\Admin\AppData\Local\Temp\C83F.tmp"
1⤵
PID:2628
- C:\Users\Admin\AppData\Local\Temp\C87D.tmp
  "C:\Users\Admin\AppData\Local\Temp\C87D.tmp"
  2⤵
  PID:2916

C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe -Embedding
1⤵
PID:1924

C:\Users\Admin\AppData\Local\Temp\CDF9.tmp
"C:\Users\Admin\AppData\Local\Temp\CDF9.tmp"
1⤵
PID:3012
- C:\Users\Admin\AppData\Local\Temp\CE47.tmp
  "C:\Users\Admin\AppData\Local\Temp\CE47.tmp"
  2⤵
  PID:1984
- - C:\Users\Admin\AppData\Local\Temp\CE95.tmp
    "C:\Users\Admin\AppData\Local\Temp\CE95.tmp"
    3⤵
    PID:1492
  - - C:\Users\Admin\AppData\Local\Temp\CED3.tmp
      "C:\Users\Admin\AppData\Local\Temp\CED3.tmp"
      4⤵
      PID:2408
  - - C:\Users\Admin\AppData\Local\Temp\E070.tmp
      "C:\Users\Admin\AppData\Local\Temp\E070.tmp"
      4⤵
      PID:2408
    - - C:\Users\Admin\AppData\Local\Temp\E0AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0AE.tmp"
        5⤵
        
        PID:2764
      - C:\Users\Admin\AppData\Local\Temp\E0DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0DD.tmp"
        6⤵
        
        PID:2616
        
        C:\Users\Admin\AppData\Local\Temp\E11C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E11C.tmp"
        7⤵
        
        PID:2220
        
        C:\Users\Admin\AppData\Local\Temp\E179.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E179.tmp"
        8⤵
        
        PID:1556
        
        C:\Users\Admin\AppData\Local\Temp\E1C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1C7.tmp"
        9⤵
        
        PID:2252
        
        C:\Users\Admin\AppData\Local\Temp\E206.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E206.tmp"
        10⤵
        
        PID:1780
        
        C:\Users\Admin\AppData\Local\Temp\F4EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4EA.tmp"
        11⤵
        
        PID:824
        
        C:\Users\Admin\AppData\Local\Temp\F528.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F528.tmp"
        12⤵
        
        PID:1296
        
        C:\Users\Admin\AppData\Local\Temp\F5A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5A5.tmp"
        13⤵
        
        PID:2420
        
        C:\Users\Admin\AppData\Local\Temp\F5F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5F3.tmp"
        14⤵
        
        PID:788
        
        C:\Users\Admin\AppData\Local\Temp\F631.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F631.tmp"
        15⤵
        
        PID:2512
        
        C:\Users\Admin\AppData\Local\Temp\F68F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F68F.tmp"
        16⤵
        
        PID:632
        
        C:\Users\Admin\AppData\Local\Temp\F6DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F6DD.tmp"
        17⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\982.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\982.tmp"
        17⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\9C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C1.tmp"
        18⤵
        
        PID:1324
        
        C:\Users\Admin\AppData\Local\Temp\F46D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F46D.tmp"
        9⤵
        
        PID:2272
        
        C:\Users\Admin\AppData\Local\Temp\7CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CE.tmp"
        10⤵
        
        PID:1780
        
        C:\Users\Admin\AppData\Local\Temp\686.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\686.tmp"
        7⤵
        
        PID:856
        
        C:\Users\Admin\AppData\Local\Temp\6D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D4.tmp"
        8⤵
        
        PID:412
        
        C:\Users\Admin\AppData\Local\Temp\712.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\712.tmp"
        9⤵
        
        PID:1640
        
        C:\Users\Admin\AppData\Local\Temp\751.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\751.tmp"
        10⤵
        
        PID:960
        
        C:\Users\Admin\AppData\Local\Temp\78F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78F.tmp"
        11⤵
        
        PID:2272

C:\Users\Admin\AppData\Local\Temp\CF12.tmp
"C:\Users\Admin\AppData\Local\Temp\CF12.tmp"
1⤵
PID:2764

C:\Users\Admin\AppData\Local\Temp\D5D5.tmp
"C:\Users\Admin\AppData\Local\Temp\D5D5.tmp"
1⤵
PID:2772
- C:\Users\Admin\AppData\Local\Temp\D614.tmp
  "C:\Users\Admin\AppData\Local\Temp\D614.tmp"
  2⤵
  PID:2912
- - C:\Users\Admin\AppData\Local\Temp\D671.tmp
    "C:\Users\Admin\AppData\Local\Temp\D671.tmp"
    3⤵
    PID:1816
  - - C:\Users\Admin\AppData\Local\Temp\D6DF.tmp
      "C:\Users\Admin\AppData\Local\Temp\D6DF.tmp"
      4⤵
      PID:2052
    - - C:\Users\Admin\AppData\Local\Temp\E87B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E87B.tmp"
        5⤵
        
        PID:2796
      - C:\Users\Admin\AppData\Local\Temp\E8BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E8BA.tmp"
        6⤵
        
        PID:1028
        
        C:\Users\Admin\AppData\Local\Temp\E8F8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E8F8.tmp"
        7⤵
        
        PID:1952
        
        C:\Users\Admin\AppData\Local\Temp\E975.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E975.tmp"
        8⤵
        
        PID:2748
        
        C:\Users\Admin\AppData\Local\Temp\E9B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9B3.tmp"
        9⤵
        
        PID:2776
  - - C:\Users\Admin\AppData\Local\Temp\E83D.tmp
      "C:\Users\Admin\AppData\Local\Temp\E83D.tmp"
      4⤵
      PID:2052
- - C:\Users\Admin\AppData\Local\Temp\E7FE.tmp
    "C:\Users\Admin\AppData\Local\Temp\E7FE.tmp"
    3⤵
    PID:1816
  - - C:\Users\Admin\AppData\Local\Temp\FB6F.tmp
      "C:\Users\Admin\AppData\Local\Temp\FB6F.tmp"
      4⤵
      PID:2424

C:\Users\Admin\AppData\Local\Temp\D559.tmp
"C:\Users\Admin\AppData\Local\Temp\D559.tmp"
1⤵
PID:3036

C:\Users\Admin\AppData\Local\Temp\D910.tmp
"C:\Users\Admin\AppData\Local\Temp\D910.tmp"
1⤵
PID:2848
- C:\Users\Admin\AppData\Local\Temp\D94F.tmp
  "C:\Users\Admin\AppData\Local\Temp\D94F.tmp"
  2⤵
  PID:2056

C:\Users\Admin\AppData\Local\Temp\DB90.tmp
"C:\Users\Admin\AppData\Local\Temp\DB90.tmp"
1⤵
PID:2756
- C:\Users\Admin\AppData\Local\Temp\DBCE.tmp
  "C:\Users\Admin\AppData\Local\Temp\DBCE.tmp"
  2⤵
  PID:2332

C:\Users\Admin\AppData\Local\Temp\DE3E.tmp
"C:\Users\Admin\AppData\Local\Temp\DE3E.tmp"
1⤵
PID:1168
- C:\Users\Admin\AppData\Local\Temp\DE7D.tmp
  "C:\Users\Admin\AppData\Local\Temp\DE7D.tmp"
  2⤵
  PID:1980
- - C:\Users\Admin\AppData\Local\Temp\DEBB.tmp
    "C:\Users\Admin\AppData\Local\Temp\DEBB.tmp"
    3⤵
    PID:564

C:\Users\Admin\AppData\Local\Temp\E3F9.tmp
"C:\Users\Admin\AppData\Local\Temp\E3F9.tmp"
1⤵
PID:2460

C:\Users\Admin\AppData\Local\Temp\EF6E.tmp
"C:\Users\Admin\AppData\Local\Temp\EF6E.tmp"
1⤵
PID:2248

C:\Users\Admin\AppData\Local\Temp\F74A.tmp
"C:\Users\Admin\AppData\Local\Temp\F74A.tmp"
1⤵
PID:1760

C:\Users\Admin\AppData\Local\Temp\F70C.tmp
"C:\Users\Admin\AppData\Local\Temp\F70C.tmp"
1⤵
PID:1752

C:\Users\Admin\AppData\Local\Temp\657.tmp
"C:\Users\Admin\AppData\Local\Temp\657.tmp"
1⤵
PID:2616

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\1056.tmp

Filesize
520KB

MD5
8ab563b1a7a1370645375f0764f31b02

SHA1
d563032ca2675cff4f2c6e31bb6c352701735841

SHA256
95e1b28698391343fa8fa1fb0e5c6d69d1beccd03258fecc7945a9629bd599e5

SHA512
2106bdb45fc429ccf01c33b0cde4121562bb10932354f709e401c8b3a9a15974ca8aa74e0ad94bcb0cc9b440089396f3f38d50e9e2ae31e207b6a89de558838e

Download Submit
C:\Users\Admin\AppData\Local\Temp\10E2.tmp

Filesize
520KB

MD5
7f0e13cd1b6cb1c1f5b51ba1145b3e97

SHA1
4c06793a1133aa8afa443fd71861cdc375d74347

SHA256
6b7ca65e423814b2f190c39ffff09262381fc34f9e770146c3a4e5a68e0a95df

SHA512
54ae1f9de18922af96085e318baced7b0d7acc5721a798a13b6c6daf2348d08aca1cdb01fef5a9cdf6f3266b9b2cc7b91ef932b72933d44becad400ee1c74cbd

Download Submit
C:\Users\Admin\AppData\Local\Temp\1120.tmp

Filesize
520KB

MD5
18c762c1b25336c7ac73deacad8075b7

SHA1
72d9fafeccf6b440cb86ddb68ea9a31c9d17fe62

SHA256
713bf36cd8fa956a07abd67c41ca08c48d11f1aac5fc22cf1bd0f381fa09afba

SHA512
72358ad4ab9598d848f0877868550c42e938a7dccd95a34b4907199ac740360eaca74ec6ce105d5ef6c6063d87df56d69f5312dab84a80a9bb6e19bc57bee0df

Download Submit
C:\Users\Admin\AppData\Local\Temp\115F.tmp

Filesize
520KB

MD5
c937a92b9028072f7780a0def92eae03

SHA1
0837cd8f71d736348f9c18379dfa37d3cd0aefcd

SHA256
972e3742060b52857165b7a8085a2c47ef2d5433905395d71639c98a8cd066e6

SHA512
5e8fc6af058ad20b0062e249d25fa4a028f0f146fa3f877aea5f4c86ec3c7ad524e833744290397cb006670bd2d7f24df5b351947afdca1fd9112c17ea574abb

Download Submit
C:\Users\Admin\AppData\Local\Temp\119D.tmp

Filesize
520KB

MD5
dd3fad7907e3bbc6f9206010561b1804

SHA1
c1d0e7720258ec42b995e2d3ac8e6e38bed43941

SHA256
bf8a8116df2ceafdd7cea347bd98591f4cb7adb73e31d9e81224b7afb9162ec3

SHA512
1902a868cf61acdf75c7197e96757917dbbfec61aeafcec1d8254c286b8b191da39d0e77a99fc0a07dcadb82aff229f98e5576f48b65ab5bb69e3850c6a3f511

Download Submit
C:\Users\Admin\AppData\Local\Temp\11DC.tmp

Filesize
520KB

MD5
407ce018e86ea45dfe6ec78a9675e7ae

SHA1
e5fd68be9590fde797027d8b519eb2dd33378607

SHA256
c3ff25829940d47daf9da2bdbf2144daf606974d7c22fbbda33058601cd2053d

SHA512
1e36cf4330bfc700af8fecb8ee97738e1409fd65f8dfc61a7e45edd0008c78742d818073d3682dbaa1c7fd2c07d3fb95424aaabb66a4b35e40fd844145f3bf36

Download Submit
C:\Users\Admin\AppData\Local\Temp\121A.tmp

Filesize
520KB

MD5
2f9f14585fe7022b80e70b0b91af656e

SHA1
37d74a7292132cfd3e5770c58c363f783e4eb3aa

SHA256
4cfcda3c266fb835d8877b79a4002877bbd23e25a2ce2e6786938a12a54fc422

SHA512
817a93b98963d3ee89bb6cc1b282e1db001c21849ebf273e243cf3d9eaed5a8257a34f2eaefcbdf521f863e672be5508d2827eaa4a180950a4fa6a2aa9fa15e5

Download Submit
C:\Users\Admin\AppData\Local\Temp\1258.tmp

Filesize
520KB

MD5
79557837d2afbcee048242c3b15eba50

SHA1
17c213d509737088fc294bb7cfb7b01271593706

SHA256
b6d5ff2df34a05f375df8c986134cb2aad0ff9f36acff5ccd2487ef2401cb410

SHA512
2c74bcba504c6e297a5355587ea5a8518b92fe1436eab4a3e77cf803ed74ac9d51375c70d487cfece0302d22dadfd4b25878bd72ef0ae55c88e459a5ddfe0131

Download Submit
C:\Users\Admin\AppData\Local\Temp\1297.tmp

Filesize
520KB

MD5
fcfff72001a67752aadb7947cc5a8f4b

SHA1
1ce2e5ae9f1580cb5efaebec512cf2b0e3369141

SHA256
d6e1f5736f43b55de94d780c8c24bc9282b92d953791419e875aeaf7ac0d0fb5

SHA512
578d30c11f1ec7d7623cdfc8a356c55b36e3365450542dd033ec5eba19e53f8b00b8944628b527fb1330e8e35f4f4c43e0bb0abd52355a08abbbfbc858e378bb

Download Submit
C:\Users\Admin\AppData\Local\Temp\12D5.tmp

Filesize
520KB

MD5
38b93b9a32048b136ff61811a8be290a

SHA1
e1afec14aae526dfae63e243c4704682022f78ce

SHA256
a1bc70a284c530c01a4dcba710ae73e351b008997a732bc94bbee2bbbcaa1f08

SHA512
1f89207ccb97fd2199bab203fd9cdd30e76512b706440cca913c1213547017338cf6f00e753d40e1d917682756c85649cbc455fbcaedc2afa8c84f415786b452

Download Submit
C:\Users\Admin\AppData\Local\Temp\1314.tmp

Filesize
520KB

MD5
84d50b1c79be0ed91c180746591fe123

SHA1
7ab697b338dab879b963d8a8ca40a89b4ce40108

SHA256
5f3c888745c378da38cc171e0f62e833ca441903e74da0d19b9a0501ade6611a

SHA512
ad0e897a92135e429ddb1be9d8543cba20dd18818219d15a3253c2e5323557a3b8b76b8e55fcb6a788dcf30f952b38c5ff2ecee4afae9c65d8504243ea7cb9bf

Download Submit
C:\Users\Admin\AppData\Local\Temp\E05.tmp

Filesize
386KB

MD5
db3e1103782a3354d54d9aea2e47fefc

SHA1
48a4acc08f8c46429aea244fa05aad836e3e39a6

SHA256
a19ca38baef9d56ed4f8b85aef22f133f1ebe5c71d992dfa93600a7a758262aa

SHA512
5f85449ef82c5532390b09d30be69d59e25aa9dbbfe0d02209f45a78338a42911d968106f3164d075b74256eec7dd125f10d5761a2fa4460546dca53533bda99

Download Submit
C:\Users\Admin\AppData\Local\Temp\E05.tmp

Filesize
520KB

MD5
61e39bffdfde9b0dfe04732580453f98

SHA1
e3c080915f6a68823064beda54639dcda76c6379

SHA256
359a32affe3a6dfaf88650e7a7fe81290689811926d0a9bd259564639a716c59

SHA512
2cabc19c1817c8514bdf1db2137faedd84f65ceb0daf3b1c0e1a2c714b198d6acc787e883eb7083820390ff3119e44ddad31468dc20007c209b796a7b213d9b1

Download Submit
C:\Users\Admin\AppData\Local\Temp\E43.tmp

Filesize
520KB

MD5
74bb12ebe15193fdaff6ad82c4e57b68

SHA1
3789e54b6af0be3994e5cd6d222ff84082578aed

SHA256
4e51bcb7a2eb517071602a2612c8e95d9546a84a120bbadaeb42d161838202ca

SHA512
44965b47a990ca9b1e8e134e34612d22472a51106d476beaf727f12cfcbf2e480ba3b766c16293820b7e56d95c20c44ea8d2f26b39490de39c2d3bcee0230ff3

Download Submit
C:\Users\Admin\AppData\Local\Temp\EFE.tmp

Filesize
520KB

MD5
cad8fcc9ac639efe8b1952f836ebc1fb

SHA1
7f04bfbdd4ec084f07c5f3ec5775f2f4a950659e

SHA256
e24a9f678675dfcac732e13ce9cc8df16d2e3d69f226c4d5ce5ad3507076c39d

SHA512
5d82a8bd59505e9ae365a624b713cbf733371790352b77135d8c7aac95731aa53fda20d012e2a9215157c7106171df0379767208776a046de50d69714d4155db

Download Submit
C:\Users\Admin\AppData\Local\Temp\F5C.tmp

Filesize
520KB

MD5
e59c3930002d84837f1e08a32b80a54d

SHA1
49e6b96a9d9757dfff18daef06407688bdff3db2

SHA256
61265c7e2069b0f4b20f143b1ef3b8b32a8da4b4b2a041589bab1bc4dba74676

SHA512
0c2007487708f577a87fcfd983c9c9183f5edaba73bdeb6f3fdb35dfe98a4dea82fa5eeac6206e0d57930bc254d5a5075f85bf0ae147b8ad2c27ff99795ad98e

Download Submit
C:\Users\Admin\AppData\Local\Temp\F9A.tmp

Filesize
520KB

MD5
eed6277ba1436cc5ff2b0118fd5ca463

SHA1
660b418dfcbce79e435b14b2bd76725974dd1c97

SHA256
d7c363d1e5ff25c9237107021845c627d6b63daaeb1552870475b38bd9996e74

SHA512
0df37d7b4cf13bd9df3f9de9c013794cea2e30eb8bd0e4dad864e6f606736094d053d7e0e690130ca028e9d3e064e14583abe24c0663eb0b5335c63b757bfde5

Download Submit
C:\Users\Admin\AppData\Local\Temp\FD9.tmp

Filesize
520KB

MD5
2b6ea46b8c1fb3c01ad1b222d5b1045c

SHA1
f34a8e052ffa443edc57637444b801fbf9d8573c

SHA256
5a30ac08eb84c52084836525dee9325e1510ebfbb32df2265a43af634889196a

SHA512
5afec8a98e694ee930df1c15456fbb124d3e44bfa292694e55fe02139f263ac032f1e0b3a3975005f6ef10073addcadf2da727f01e09a5f9787515819f4beb95

Download Submit
\Users\Admin\AppData\Local\Temp\1017.tmp

Filesize
520KB

MD5
f997ad7e0a79ff8e62cc63558e4fb356

SHA1
d95e4f674552b08121456242bbd816b64724f3de

SHA256
a8459c92a44a18a273f3cde7ca7c299d00f066ba9b9273c967d6e2f35feb28ff

SHA512
e165a4b52c4130ed803db668b25a6d9de581e27e8150a309e3f4586d64232ba974f5eca4ca0f123d8bc9c44e61a8a69f7e36edccbeaa1c10be1b8ac408f3c06e

Download Submit
\Users\Admin\AppData\Local\Temp\10A4.tmp

Filesize
520KB

MD5
b8d984a2dd93045628576229c9896160

SHA1
4a8a4cb6058da9cfb0d67d96203745927bbc5a20

SHA256
835be1667bbb8d2729e7cc2a92951f1135a045337999eda1d9655fe0b63feeff

SHA512
9a6658b062ae07d7055169f2dda0f4f8c60bbc0ae873b1ae30db0a45e0ddc97bf271fb6f12a231023c40c6b37353e2dac1ab71ec57b57553a935c4ef675dbdc0

Download Submit
\Users\Admin\AppData\Local\Temp\E05.tmp

Filesize
381KB

MD5
237b081a7d467eac8eee41e52a167e88

SHA1
f021e7ed8cd99da03204909c1877a9aa23143c86

SHA256
c37fab5f1eae1ab5ed3b4dbe59ba1e41a61070a5ee274da132d5703000965c6f

SHA512
3a7bccb6cea6d7a5e22ff00fa9632cab08cbcb6cd68b1369b25b4c8b4117871dd9a6ad68fe7beaf8550d79c0eb4f7a34c17fe1d0c87c70446cfff17ff267f62b

Download Submit
\Users\Admin\AppData\Local\Temp\E82.tmp

Filesize
520KB

MD5
996eb697e9edccf630a5785ea63b6c06

SHA1
de1caac7c112a0584b0bc0d26bbbd56c90d596e7

SHA256
e983d84fc81152ee95d6ea2a14ebd2cfbd77216181f1bbd272cc0e9f93a6412b

SHA512
03844cb830f886224c7c61bd67ae53c4c7b3a66c446ac3ef92eb0479b0f7be6cf32816f8a78807d412059e4f2ca61daf5857903dad0e833e91da5c1f0f084d0d

Download Submit
\Users\Admin\AppData\Local\Temp\EC0.tmp

Filesize
520KB

MD5
84c4f8935c686f5717f0472da05eb11f

SHA1
000186445a39bfcb5e49eb65e8dce902a6560db9

SHA256
e86ee3b7b3aee2b66132740322cd2a27f89001ac4c9fee1271cc3d1bd4a39b4e

SHA512
bb651f222d98cb4b722c0ea3def5697628a4756cf2ae4ae4abc2a089689537f2a08f3cd1a9709f55241d110fab839474f289e5a92d6019fd19be436597d2a9bb

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads