543f8ae7451b881532973d2b141089f934fb31cc940194bff838e4bb740a9f16

Analysis

max time kernel
150s
max time network
123s
platform
windows7_x64
resource
win7-20231215-en
resource tags

arch:x64arch:x86image:win7-20231215-enlocale:en-usos:windows7-x64system
submitted
07/01/2024, 12:14

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2024-01-06_a05add19a968318b6e0adc33dd9ff63d_mafia.exe
Size

488KB
MD5

a05add19a968318b6e0adc33dd9ff63d
SHA1

92fe65247d0cfe3bca38b49006db82042dec391d
SHA256

543f8ae7451b881532973d2b141089f934fb31cc940194bff838e4bb740a9f16
SHA512

fe56c1b309baff41f5a51126ae296c246075d4b571db5fec798186d3b9fd014e274ee5a9ab769817bf0100ef885e62c7ab030b89e25c40411f8ea4d159e4d8d0
SSDEEP

12288:/U5rCOTeiDsut9CjXsLonXnW6mCvjcGug79NZ:/UQOJDsuXy8MXVmsjFN

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
2736	1304.tmp
2680	1352.tmp
2752	1390.tmp
2704	13CF.tmp
2800	140D.tmp
2408	144C.tmp
2716	148A.tmp
2604	14C8.tmp
2612	1516.tmp
3036	1555.tmp
1512	1593.tmp
2840	15E1.tmp
2896	51B8.tmp
2340	165E.tmp
1552	510D.tmp
1636	16DB.tmp
2428	5235.tmp
1504	1758.tmp
988	1796.tmp
2608	17D4.tmp
2036	1813.tmp
2020	1851.tmp
2236	189F.tmp
2216	18DE.tmp
1712	276E.tmp
2068	35FE.tmp
2212	4579.tmp
2052	19D7.tmp
596	1A16.tmp
556	45B7.tmp
592	45F6.tmp
1408	4624.tmp
800	1B0F.tmp
2644	1B5D.tmp
1148	1B9C.tmp
908	1BDA.tmp
2096	1C18.tmp
2512	1C57.tmp
2132	1C95.tmp
2124	1CD4.tmp
1604	1D12.tmp
1288	1D50.tmp
2500	1D8F.tmp
332	2C10.tmp
896	1E0C.tmp
1440	1E4A.tmp
2968	1E88.tmp
1972	1EC7.tmp
288	1F05.tmp
2424	1F44.tmp
1964	1F82.tmp
3044	1FB1.tmp
1436	1FEF.tmp
2988	202E.tmp
3024	206C.tmp
1528	209B.tmp
2156	20D9.tmp
2024	2118.tmp
2484	2156.tmp
2768	2194.tmp
2928	21D3.tmp
2556	2211.tmp
2584	4EEB.tmp
2688	228E.tmp

Loads dropped DLL 64 IoCs

pid	Process
2156	20D9.tmp
2736	1304.tmp
2680	1352.tmp
2752	1390.tmp
2704	13CF.tmp
2800	140D.tmp
2408	144C.tmp
2716	148A.tmp
2604	14C8.tmp
2612	1516.tmp
3036	1555.tmp
1512	1593.tmp
2840	15E1.tmp
2896	51B8.tmp
2340	165E.tmp
1552	510D.tmp
1636	16DB.tmp
2428	5235.tmp
1504	1758.tmp
988	1796.tmp
2608	17D4.tmp
2036	1813.tmp
2020	1851.tmp
2236	189F.tmp
2216	18DE.tmp
1712	276E.tmp
2068	35FE.tmp
2212	4579.tmp
2052	19D7.tmp
596	1A16.tmp
556	45B7.tmp
592	45F6.tmp
1408	4624.tmp
800	1B0F.tmp
2644	1B5D.tmp
1148	1B9C.tmp
908	1BDA.tmp
2096	1C18.tmp
2512	1C57.tmp
2132	1C95.tmp
2124	1CD4.tmp
1604	1D12.tmp
1288	1D50.tmp
2500	1D8F.tmp
332	2C10.tmp
896	1E0C.tmp
1440	1E4A.tmp
2968	1E88.tmp
1972	1EC7.tmp
288	1F05.tmp
2424	1F44.tmp
1964	1F82.tmp
3044	1FB1.tmp
1436	1FEF.tmp
2988	202E.tmp
3024	206C.tmp
1528	209B.tmp
2156	20D9.tmp
2024	2118.tmp
2484	2156.tmp
2768	2194.tmp
2928	21D3.tmp
2556	2211.tmp
2584	4EEB.tmp

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2156 wrote to memory of 2736	2156	20D9.tmp	28
PID 2156 wrote to memory of 2736	2156	20D9.tmp	28
PID 2156 wrote to memory of 2736	2156	20D9.tmp	28
PID 2156 wrote to memory of 2736	2156	20D9.tmp	28
PID 2736 wrote to memory of 2680	2736	1304.tmp	286
PID 2736 wrote to memory of 2680	2736	1304.tmp	286
PID 2736 wrote to memory of 2680	2736	1304.tmp	286
PID 2736 wrote to memory of 2680	2736	1304.tmp	286
PID 2680 wrote to memory of 2752	2680	1352.tmp	285
PID 2680 wrote to memory of 2752	2680	1352.tmp	285
PID 2680 wrote to memory of 2752	2680	1352.tmp	285
PID 2680 wrote to memory of 2752	2680	1352.tmp	285
PID 2752 wrote to memory of 2704	2752	1390.tmp	29
PID 2752 wrote to memory of 2704	2752	1390.tmp	29
PID 2752 wrote to memory of 2704	2752	1390.tmp	29
PID 2752 wrote to memory of 2704	2752	1390.tmp	29
PID 2704 wrote to memory of 2800	2704	13CF.tmp	284
PID 2704 wrote to memory of 2800	2704	13CF.tmp	284
PID 2704 wrote to memory of 2800	2704	13CF.tmp	284
PID 2704 wrote to memory of 2800	2704	13CF.tmp	284
PID 2800 wrote to memory of 2408	2800	140D.tmp	283
PID 2800 wrote to memory of 2408	2800	140D.tmp	283
PID 2800 wrote to memory of 2408	2800	140D.tmp	283
PID 2800 wrote to memory of 2408	2800	140D.tmp	283
PID 2408 wrote to memory of 2716	2408	144C.tmp	282
PID 2408 wrote to memory of 2716	2408	144C.tmp	282
PID 2408 wrote to memory of 2716	2408	144C.tmp	282
PID 2408 wrote to memory of 2716	2408	144C.tmp	282
PID 2716 wrote to memory of 2604	2716	148A.tmp	281
PID 2716 wrote to memory of 2604	2716	148A.tmp	281
PID 2716 wrote to memory of 2604	2716	148A.tmp	281
PID 2716 wrote to memory of 2604	2716	148A.tmp	281
PID 2604 wrote to memory of 2612	2604	14C8.tmp	280
PID 2604 wrote to memory of 2612	2604	14C8.tmp	280
PID 2604 wrote to memory of 2612	2604	14C8.tmp	280
PID 2604 wrote to memory of 2612	2604	14C8.tmp	280
PID 2612 wrote to memory of 3036	2612	1516.tmp	279
PID 2612 wrote to memory of 3036	2612	1516.tmp	279
PID 2612 wrote to memory of 3036	2612	1516.tmp	279
PID 2612 wrote to memory of 3036	2612	1516.tmp	279
PID 3036 wrote to memory of 1512	3036	1555.tmp	278
PID 3036 wrote to memory of 1512	3036	1555.tmp	278
PID 3036 wrote to memory of 1512	3036	1555.tmp	278
PID 3036 wrote to memory of 1512	3036	1555.tmp	278
PID 1512 wrote to memory of 2840	1512	1593.tmp	277
PID 1512 wrote to memory of 2840	1512	1593.tmp	277
PID 1512 wrote to memory of 2840	1512	1593.tmp	277
PID 1512 wrote to memory of 2840	1512	1593.tmp	277
PID 2840 wrote to memory of 2896	2840	15E1.tmp	293
PID 2840 wrote to memory of 2896	2840	15E1.tmp	293
PID 2840 wrote to memory of 2896	2840	15E1.tmp	293
PID 2840 wrote to memory of 2896	2840	15E1.tmp	293
PID 2896 wrote to memory of 2340	2896	51B8.tmp	272
PID 2896 wrote to memory of 2340	2896	51B8.tmp	272
PID 2896 wrote to memory of 2340	2896	51B8.tmp	272
PID 2896 wrote to memory of 2340	2896	51B8.tmp	272
PID 2340 wrote to memory of 1552	2340	165E.tmp	287
PID 2340 wrote to memory of 1552	2340	165E.tmp	287
PID 2340 wrote to memory of 1552	2340	165E.tmp	287
PID 2340 wrote to memory of 1552	2340	165E.tmp	287
PID 1552 wrote to memory of 1636	1552	510D.tmp	270
PID 1552 wrote to memory of 1636	1552	510D.tmp	270
PID 1552 wrote to memory of 1636	1552	510D.tmp	270
PID 1552 wrote to memory of 1636	1552	510D.tmp	270

C:\Users\Admin\AppData\Local\Temp\2024-01-06_a05add19a968318b6e0adc33dd9ff63d_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-06_a05add19a968318b6e0adc33dd9ff63d_mafia.exe"
1⤵
PID:2156
- C:\Users\Admin\AppData\Local\Temp\1304.tmp
  "C:\Users\Admin\AppData\Local\Temp\1304.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:2736
- - C:\Users\Admin\AppData\Local\Temp\1352.tmp
    "C:\Users\Admin\AppData\Local\Temp\1352.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of WriteProcessMemory
    PID:2680

C:\Users\Admin\AppData\Local\Temp\13CF.tmp
"C:\Users\Admin\AppData\Local\Temp\13CF.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2704
- C:\Users\Admin\AppData\Local\Temp\140D.tmp
  "C:\Users\Admin\AppData\Local\Temp\140D.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:2800

C:\Users\Admin\AppData\Local\Temp\189F.tmp
"C:\Users\Admin\AppData\Local\Temp\189F.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2236
- C:\Users\Admin\AppData\Local\Temp\18DE.tmp
  "C:\Users\Admin\AppData\Local\Temp\18DE.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2216
- - C:\Users\Admin\AppData\Local\Temp\191C.tmp
    "C:\Users\Admin\AppData\Local\Temp\191C.tmp"
    3⤵
    PID:1712
  - - C:\Users\Admin\AppData\Local\Temp\195A.tmp
      "C:\Users\Admin\AppData\Local\Temp\195A.tmp"
      4⤵
      PID:2068
    - - C:\Users\Admin\AppData\Local\Temp\363D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\363D.tmp"
        5⤵
        
        PID:2648
      - C:\Users\Admin\AppData\Local\Temp\366C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\366C.tmp"
        6⤵
        
        PID:2952
        
        C:\Users\Admin\AppData\Local\Temp\871A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\871A.tmp"
        7⤵
        
        PID:2676
        
        C:\Users\Admin\AppData\Local\Temp\8759.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8759.tmp"
        8⤵
        
        PID:484
        
        C:\Users\Admin\AppData\Local\Temp\9721.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9721.tmp"
        9⤵
        
        PID:584
        
        C:\Users\Admin\AppData\Local\Temp\975F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\975F.tmp"
        10⤵
        
        PID:300
        
        C:\Users\Admin\AppData\Local\Temp\96E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\96E3.tmp"
        8⤵
        
        PID:484
      - C:\Users\Admin\AppData\Local\Temp\7ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7ED.tmp"
        6⤵
        
        PID:1960
  - - C:\Users\Admin\AppData\Local\Temp\27AC.tmp
      "C:\Users\Admin\AppData\Local\Temp\27AC.tmp"
      4⤵
      PID:1840
    - - C:\Users\Admin\AppData\Local\Temp\27DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27DB.tmp"
        5⤵
        
        PID:2212
      - C:\Users\Admin\AppData\Local\Temp\281A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\281A.tmp"
        6⤵
        
        PID:1664
        
        C:\Users\Admin\AppData\Local\Temp\2858.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2858.tmp"
        7⤵
        
        PID:672
    - - C:\Users\Admin\AppData\Local\Temp\9637.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9637.tmp"
        5⤵
        
        PID:1712
      - C:\Users\Admin\AppData\Local\Temp\A60F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A60F.tmp"
        6⤵
        
        PID:996
        
        C:\Users\Admin\AppData\Local\Temp\A64D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A64D.tmp"
        7⤵
        
        PID:2676

C:\Users\Admin\AppData\Local\Temp\1999.tmp
"C:\Users\Admin\AppData\Local\Temp\1999.tmp"
1⤵
PID:2212

C:\Users\Admin\AppData\Local\Temp\1A54.tmp
"C:\Users\Admin\AppData\Local\Temp\1A54.tmp"
1⤵
PID:556
- C:\Users\Admin\AppData\Local\Temp\1A92.tmp
  "C:\Users\Admin\AppData\Local\Temp\1A92.tmp"
  2⤵
  PID:592
- C:\Users\Admin\AppData\Local\Temp\45F6.tmp
  "C:\Users\Admin\AppData\Local\Temp\45F6.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:592
- - C:\Users\Admin\AppData\Local\Temp\4624.tmp
    "C:\Users\Admin\AppData\Local\Temp\4624.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1408
  - - C:\Users\Admin\AppData\Local\Temp\1B0F.tmp
      "C:\Users\Admin\AppData\Local\Temp\1B0F.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:800
    - - C:\Users\Admin\AppData\Local\Temp\88B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88B0.tmp"
        5⤵
        
        PID:1680
      - C:\Users\Admin\AppData\Local\Temp\88DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88DF.tmp"
        6⤵
        
        PID:1748
        
        C:\Users\Admin\AppData\Local\Temp\891D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\891D.tmp"
        7⤵
        
        PID:2380
        
        C:\Users\Admin\AppData\Local\Temp\98C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\98C6.tmp"
        8⤵
        
        PID:408
        
        C:\Users\Admin\AppData\Local\Temp\98F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\98F5.tmp"
        9⤵
        
        PID:2516
        
        C:\Users\Admin\AppData\Local\Temp\B9AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B9AE.tmp"
        10⤵
        
        PID:2132
        
        C:\Users\Admin\AppData\Local\Temp\B9ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B9ED.tmp"
        11⤵
        
        PID:1724
        
        C:\Users\Admin\AppData\Local\Temp\EAFB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EAFB.tmp"
        9⤵
        
        PID:1604
        
        C:\Users\Admin\AppData\Local\Temp\EB39.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB39.tmp"
        10⤵
        
        PID:1872
        
        C:\Users\Admin\AppData\Local\Temp\EB87.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB87.tmp"
        11⤵
        
        PID:3032
        
        C:\Users\Admin\AppData\Local\Temp\EBE5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EBE5.tmp"
        12⤵
        
        PID:380
        
        C:\Users\Admin\AppData\Local\Temp\EC42.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC42.tmp"
        13⤵
        
        PID:2160
        
        C:\Users\Admin\AppData\Local\Temp\EC90.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC90.tmp"
        14⤵
        
        PID:2384
        
        C:\Users\Admin\AppData\Local\Temp\ECDE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ECDE.tmp"
        15⤵
        
        PID:376
        
        C:\Users\Admin\AppData\Local\Temp\ED2C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED2C.tmp"
        16⤵
        
        PID:2424
        
        C:\Users\Admin\AppData\Local\Temp\ED9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED9A.tmp"
        17⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\FE7B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE7B.tmp"
        16⤵
        
        PID:1132
        
        C:\Users\Admin\AppData\Local\Temp\9897.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9897.tmp"
        7⤵
        
        PID:2380
      - C:\Users\Admin\AppData\Local\Temp\9859.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9859.tmp"
        6⤵
        
        PID:1748
  - - C:\Users\Admin\AppData\Local\Temp\6799.tmp
      "C:\Users\Admin\AppData\Local\Temp\6799.tmp"
      4⤵
      PID:984

C:\Users\Admin\AppData\Local\Temp\1AD1.tmp
"C:\Users\Admin\AppData\Local\Temp\1AD1.tmp"
1⤵
PID:1408
- C:\Users\Admin\AppData\Local\Temp\4663.tmp
  "C:\Users\Admin\AppData\Local\Temp\4663.tmp"
  2⤵
  PID:1412
- - C:\Users\Admin\AppData\Local\Temp\4692.tmp
    "C:\Users\Admin\AppData\Local\Temp\4692.tmp"
    3⤵
    PID:904
  - - C:\Users\Admin\AppData\Local\Temp\46D0.tmp
      "C:\Users\Admin\AppData\Local\Temp\46D0.tmp"
      4⤵
      PID:1500

C:\Users\Admin\AppData\Local\Temp\1B5D.tmp
"C:\Users\Admin\AppData\Local\Temp\1B5D.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2644
- C:\Users\Admin\AppData\Local\Temp\1B9C.tmp
  "C:\Users\Admin\AppData\Local\Temp\1B9C.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1148
- - C:\Users\Admin\AppData\Local\Temp\1BDA.tmp
    "C:\Users\Admin\AppData\Local\Temp\1BDA.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:908
- - C:\Users\Admin\AppData\Local\Temp\C7E1.tmp
    "C:\Users\Admin\AppData\Local\Temp\C7E1.tmp"
    3⤵
    PID:2044
  - - C:\Users\Admin\AppData\Local\Temp\C81F.tmp
      "C:\Users\Admin\AppData\Local\Temp\C81F.tmp"
      4⤵
      PID:1788
    - - C:\Users\Admin\AppData\Local\Temp\C84E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C84E.tmp"
        5⤵
        
        PID:1404
- C:\Users\Admin\AppData\Local\Temp\E936.tmp
  "C:\Users\Admin\AppData\Local\Temp\E936.tmp"
  2⤵
  PID:1408
- - C:\Users\Admin\AppData\Local\Temp\FB6F.tmp
    "C:\Users\Admin\AppData\Local\Temp\FB6F.tmp"
    3⤵
    PID:684
  - - C:\Users\Admin\AppData\Local\Temp\FBAD.tmp
      "C:\Users\Admin\AppData\Local\Temp\FBAD.tmp"
      4⤵
      PID:1412

C:\Users\Admin\AppData\Local\Temp\1C18.tmp
"C:\Users\Admin\AppData\Local\Temp\1C18.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2096
- C:\Users\Admin\AppData\Local\Temp\1C57.tmp
  "C:\Users\Admin\AppData\Local\Temp\1C57.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2512
- C:\Users\Admin\AppData\Local\Temp\FC59.tmp
  "C:\Users\Admin\AppData\Local\Temp\FC59.tmp"
  2⤵
  PID:2728

C:\Users\Admin\AppData\Local\Temp\1C95.tmp
"C:\Users\Admin\AppData\Local\Temp\1C95.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2132
- C:\Users\Admin\AppData\Local\Temp\1CD4.tmp
  "C:\Users\Admin\AppData\Local\Temp\1CD4.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2124
- - C:\Users\Admin\AppData\Local\Temp\C929.tmp
    "C:\Users\Admin\AppData\Local\Temp\C929.tmp"
    3⤵
    PID:1708
- C:\Users\Admin\AppData\Local\Temp\8A17.tmp
  "C:\Users\Admin\AppData\Local\Temp\8A17.tmp"
  2⤵
  PID:3032
- - C:\Users\Admin\AppData\Local\Temp\8A55.tmp
    "C:\Users\Admin\AppData\Local\Temp\8A55.tmp"
    3⤵
    PID:2508
- - C:\Users\Admin\AppData\Local\Temp\DAE4.tmp
    "C:\Users\Admin\AppData\Local\Temp\DAE4.tmp"
    3⤵
    PID:380

C:\Users\Admin\AppData\Local\Temp\1D12.tmp
"C:\Users\Admin\AppData\Local\Temp\1D12.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1604
- C:\Users\Admin\AppData\Local\Temp\1D50.tmp
  "C:\Users\Admin\AppData\Local\Temp\1D50.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1288
- - C:\Users\Admin\AppData\Local\Temp\1D8F.tmp
    "C:\Users\Admin\AppData\Local\Temp\1D8F.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:2500
  - - C:\Users\Admin\AppData\Local\Temp\FD33.tmp
      "C:\Users\Admin\AppData\Local\Temp\FD33.tmp"
      4⤵
      PID:296
    - - C:\Users\Admin\AppData\Local\Temp\FD72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD72.tmp"
        5⤵
        
        PID:3032
      - C:\Users\Admin\AppData\Local\Temp\FDA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDA0.tmp"
        6⤵
        
        PID:3040

C:\Users\Admin\AppData\Local\Temp\1DCD.tmp
"C:\Users\Admin\AppData\Local\Temp\1DCD.tmp"
1⤵
PID:332

C:\Users\Admin\AppData\Local\Temp\1E88.tmp
"C:\Users\Admin\AppData\Local\Temp\1E88.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2968
- C:\Users\Admin\AppData\Local\Temp\1EC7.tmp
  "C:\Users\Admin\AppData\Local\Temp\1EC7.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1972

C:\Users\Admin\AppData\Local\Temp\1F05.tmp
"C:\Users\Admin\AppData\Local\Temp\1F05.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:288
- C:\Users\Admin\AppData\Local\Temp\1F44.tmp
  "C:\Users\Admin\AppData\Local\Temp\1F44.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2424
- C:\Users\Admin\AppData\Local\Temp\DC5B.tmp
  "C:\Users\Admin\AppData\Local\Temp\DC5B.tmp"
  2⤵
  PID:332

C:\Users\Admin\AppData\Local\Temp\1FEF.tmp
"C:\Users\Admin\AppData\Local\Temp\1FEF.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1436
- C:\Users\Admin\AppData\Local\Temp\202E.tmp
  "C:\Users\Admin\AppData\Local\Temp\202E.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2988
- - C:\Users\Admin\AppData\Local\Temp\3B8.tmp
    "C:\Users\Admin\AppData\Local\Temp\3B8.tmp"
    3⤵
    PID:2756

C:\Users\Admin\AppData\Local\Temp\1FB1.tmp
"C:\Users\Admin\AppData\Local\Temp\1FB1.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:3044

C:\Users\Admin\AppData\Local\Temp\20D9.tmp
"C:\Users\Admin\AppData\Local\Temp\20D9.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2156
- C:\Users\Admin\AppData\Local\Temp\2118.tmp
  "C:\Users\Admin\AppData\Local\Temp\2118.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2024

C:\Users\Admin\AppData\Local\Temp\2156.tmp
"C:\Users\Admin\AppData\Local\Temp\2156.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2484
- C:\Users\Admin\AppData\Local\Temp\2194.tmp
  "C:\Users\Admin\AppData\Local\Temp\2194.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2768
- - C:\Users\Admin\AppData\Local\Temp\5EE2.tmp
    "C:\Users\Admin\AppData\Local\Temp\5EE2.tmp"
    3⤵
    PID:2792
  - - C:\Users\Admin\AppData\Local\Temp\5F20.tmp
      "C:\Users\Admin\AppData\Local\Temp\5F20.tmp"
      4⤵
      PID:2556
  - - C:\Users\Admin\AppData\Local\Temp\8FE1.tmp
      "C:\Users\Admin\AppData\Local\Temp\8FE1.tmp"
      4⤵
      PID:2720
- C:\Users\Admin\AppData\Local\Temp\5EA4.tmp
  "C:\Users\Admin\AppData\Local\Temp\5EA4.tmp"
  2⤵
  PID:2768

C:\Users\Admin\AppData\Local\Temp\2211.tmp
"C:\Users\Admin\AppData\Local\Temp\2211.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2556
- C:\Users\Admin\AppData\Local\Temp\2250.tmp
  "C:\Users\Admin\AppData\Local\Temp\2250.tmp"
  2⤵
  PID:2584
- - C:\Users\Admin\AppData\Local\Temp\228E.tmp
    "C:\Users\Admin\AppData\Local\Temp\228E.tmp"
    3⤵
    - Executes dropped EXE
    PID:2688
- - C:\Users\Admin\AppData\Local\Temp\4F29.tmp
    "C:\Users\Admin\AppData\Local\Temp\4F29.tmp"
    3⤵
    PID:2592
- C:\Users\Admin\AppData\Local\Temp\5F5F.tmp
  "C:\Users\Admin\AppData\Local\Temp\5F5F.tmp"
  2⤵
  PID:2560
- - C:\Users\Admin\AppData\Local\Temp\5F9D.tmp
    "C:\Users\Admin\AppData\Local\Temp\5F9D.tmp"
    3⤵
    PID:2544
  - - C:\Users\Admin\AppData\Local\Temp\5FFB.tmp
      "C:\Users\Admin\AppData\Local\Temp\5FFB.tmp"
      4⤵
      PID:2436

C:\Users\Admin\AppData\Local\Temp\22CC.tmp
"C:\Users\Admin\AppData\Local\Temp\22CC.tmp"
1⤵
PID:2548
- C:\Users\Admin\AppData\Local\Temp\230B.tmp
  "C:\Users\Admin\AppData\Local\Temp\230B.tmp"
  2⤵
  PID:3008
- - C:\Users\Admin\AppData\Local\Temp\2349.tmp
    "C:\Users\Admin\AppData\Local\Temp\2349.tmp"
    3⤵
    PID:3028
  - - C:\Users\Admin\AppData\Local\Temp\6171.tmp
      "C:\Users\Admin\AppData\Local\Temp\6171.tmp"
      4⤵
      PID:2856

C:\Users\Admin\AppData\Local\Temp\23C6.tmp
"C:\Users\Admin\AppData\Local\Temp\23C6.tmp"
1⤵
PID:2732

C:\Users\Admin\AppData\Local\Temp\2472.tmp
"C:\Users\Admin\AppData\Local\Temp\2472.tmp"
1⤵
PID:2324
- C:\Users\Admin\AppData\Local\Temp\24B0.tmp
  "C:\Users\Admin\AppData\Local\Temp\24B0.tmp"
  2⤵
  PID:1572
- - C:\Users\Admin\AppData\Local\Temp\A286.tmp
    "C:\Users\Admin\AppData\Local\Temp\A286.tmp"
    3⤵
    PID:2668
  - - C:\Users\Admin\AppData\Local\Temp\A2C5.tmp
      "C:\Users\Admin\AppData\Local\Temp\A2C5.tmp"
      4⤵
      PID:2036
    - - C:\Users\Admin\AppData\Local\Temp\A303.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A303.tmp"
        5⤵
        
        PID:1060
      - C:\Users\Admin\AppData\Local\Temp\A351.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A351.tmp"
        6⤵
        
        PID:2776
        
        C:\Users\Admin\AppData\Local\Temp\A39F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A39F.tmp"
        7⤵
        
        PID:1368
        
        C:\Users\Admin\AppData\Local\Temp\A3ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A3ED.tmp"
        8⤵
        
        PID:1632
        
        C:\Users\Admin\AppData\Local\Temp\B4DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B4DE.tmp"
        9⤵
        
        PID:2184
        
        C:\Users\Admin\AppData\Local\Temp\B51C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B51C.tmp"
        10⤵
        
        PID:348
        
        C:\Users\Admin\AppData\Local\Temp\B54B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B54B.tmp"
        11⤵
        
        PID:2176
        
        C:\Users\Admin\AppData\Local\Temp\C571.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C571.tmp"
        12⤵
        
        PID:2012
        
        C:\Users\Admin\AppData\Local\Temp\B49F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B49F.tmp"
        8⤵
        
        PID:1632
- C:\Users\Admin\AppData\Local\Temp\C255.tmp
  "C:\Users\Admin\AppData\Local\Temp\C255.tmp"
  2⤵
  PID:848

C:\Users\Admin\AppData\Local\Temp\24EE.tmp
"C:\Users\Admin\AppData\Local\Temp\24EE.tmp"
1⤵
PID:1560

C:\Users\Admin\AppData\Local\Temp\25AA.tmp
"C:\Users\Admin\AppData\Local\Temp\25AA.tmp"
1⤵
PID:1252
- C:\Users\Admin\AppData\Local\Temp\25E8.tmp
  "C:\Users\Admin\AppData\Local\Temp\25E8.tmp"
  2⤵
  PID:2044

C:\Users\Admin\AppData\Local\Temp\256B.tmp
"C:\Users\Admin\AppData\Local\Temp\256B.tmp"
1⤵
PID:1064
- C:\Users\Admin\AppData\Local\Temp\F67F.tmp
  "C:\Users\Admin\AppData\Local\Temp\F67F.tmp"
  2⤵
  PID:2852
- - C:\Users\Admin\AppData\Local\Temp\5DA.tmp
    "C:\Users\Admin\AppData\Local\Temp\5DA.tmp"
    3⤵
    PID:1616

C:\Users\Admin\AppData\Local\Temp\2636.tmp
"C:\Users\Admin\AppData\Local\Temp\2636.tmp"
1⤵
PID:2196
- C:\Users\Admin\AppData\Local\Temp\2674.tmp
  "C:\Users\Admin\AppData\Local\Temp\2674.tmp"
  2⤵
  PID:1976
- C:\Users\Admin\AppData\Local\Temp\B423.tmp
  "C:\Users\Admin\AppData\Local\Temp\B423.tmp"
  2⤵
  PID:2776
- - C:\Users\Admin\AppData\Local\Temp\B461.tmp
    "C:\Users\Admin\AppData\Local\Temp\B461.tmp"
    3⤵
    PID:1368
  - - C:\Users\Admin\AppData\Local\Temp\C468.tmp
      "C:\Users\Admin\AppData\Local\Temp\C468.tmp"
      4⤵
      PID:1632
    - - C:\Users\Admin\AppData\Local\Temp\C4A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4A6.tmp"
        5⤵
        
        PID:2184
      - C:\Users\Admin\AppData\Local\Temp\C4F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4F4.tmp"
        6⤵
        
        PID:348
        
        C:\Users\Admin\AppData\Local\Temp\C533.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C533.tmp"
        7⤵
        
        PID:2176
      - C:\Users\Admin\AppData\Local\Temp\D633.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D633.tmp"
        6⤵
        
        PID:2532
- - C:\Users\Admin\AppData\Local\Temp\C439.tmp
    "C:\Users\Admin\AppData\Local\Temp\C439.tmp"
    3⤵
    PID:1368

C:\Users\Admin\AppData\Local\Temp\26F1.tmp
"C:\Users\Admin\AppData\Local\Temp\26F1.tmp"
1⤵
PID:1904
- C:\Users\Admin\AppData\Local\Temp\2730.tmp
  "C:\Users\Admin\AppData\Local\Temp\2730.tmp"
  2⤵
  PID:1844

C:\Users\Admin\AppData\Local\Temp\28D5.tmp
"C:\Users\Admin\AppData\Local\Temp\28D5.tmp"
1⤵
PID:1404
- C:\Users\Admin\AppData\Local\Temp\2913.tmp
  "C:\Users\Admin\AppData\Local\Temp\2913.tmp"
  2⤵
  PID:2940
- - C:\Users\Admin\AppData\Local\Temp\2952.tmp
    "C:\Users\Admin\AppData\Local\Temp\2952.tmp"
    3⤵
    PID:1788
  - - C:\Users\Admin\AppData\Local\Temp\6854.tmp
      "C:\Users\Admin\AppData\Local\Temp\6854.tmp"
      4⤵
      PID:1880

C:\Users\Admin\AppData\Local\Temp\2896.tmp
"C:\Users\Admin\AppData\Local\Temp\2896.tmp"
1⤵
PID:868

C:\Users\Admin\AppData\Local\Temp\2A2C.tmp
"C:\Users\Admin\AppData\Local\Temp\2A2C.tmp"
1⤵
PID:2516
- C:\Users\Admin\AppData\Local\Temp\2A6A.tmp
  "C:\Users\Admin\AppData\Local\Temp\2A6A.tmp"
  2⤵
  PID:2284
- - C:\Users\Admin\AppData\Local\Temp\B28.tmp
    "C:\Users\Admin\AppData\Local\Temp\B28.tmp"
    3⤵
    PID:1888
  - - C:\Users\Admin\AppData\Local\Temp\B66.tmp
      "C:\Users\Admin\AppData\Local\Temp\B66.tmp"
      4⤵
      PID:408

C:\Users\Admin\AppData\Local\Temp\2AA9.tmp
"C:\Users\Admin\AppData\Local\Temp\2AA9.tmp"
1⤵
PID:2080
- C:\Users\Admin\AppData\Local\Temp\2AD8.tmp
  "C:\Users\Admin\AppData\Local\Temp\2AD8.tmp"
  2⤵
  PID:1208
- - C:\Users\Admin\AppData\Local\Temp\2B16.tmp
    "C:\Users\Admin\AppData\Local\Temp\2B16.tmp"
    3⤵
    PID:1888
  - - C:\Users\Admin\AppData\Local\Temp\99CF.tmp
      "C:\Users\Admin\AppData\Local\Temp\99CF.tmp"
      4⤵
      PID:888
- - C:\Users\Admin\AppData\Local\Temp\A3E.tmp
    "C:\Users\Admin\AppData\Local\Temp\A3E.tmp"
    3⤵
    PID:800
- C:\Users\Admin\AppData\Local\Temp\69CB.tmp
  "C:\Users\Admin\AppData\Local\Temp\69CB.tmp"
  2⤵
  PID:1852

C:\Users\Admin\AppData\Local\Temp\2B54.tmp
"C:\Users\Admin\AppData\Local\Temp\2B54.tmp"
1⤵
PID:380

C:\Users\Admin\AppData\Local\Temp\2C10.tmp
"C:\Users\Admin\AppData\Local\Temp\2C10.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:332
- C:\Users\Admin\AppData\Local\Temp\2C4E.tmp
  "C:\Users\Admin\AppData\Local\Temp\2C4E.tmp"
  2⤵
  PID:876
- - C:\Users\Admin\AppData\Local\Temp\2C8C.tmp
    "C:\Users\Admin\AppData\Local\Temp\2C8C.tmp"
    3⤵
    PID:1440
- C:\Users\Admin\AppData\Local\Temp\1E0C.tmp
  "C:\Users\Admin\AppData\Local\Temp\1E0C.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:896
- C:\Users\Admin\AppData\Local\Temp\AB2D.tmp
  "C:\Users\Admin\AppData\Local\Temp\AB2D.tmp"
  2⤵
  PID:1624
- - C:\Users\Admin\AppData\Local\Temp\BB92.tmp
    "C:\Users\Admin\AppData\Local\Temp\BB92.tmp"
    3⤵
    PID:776
  - - C:\Users\Admin\AppData\Local\Temp\BBD0.tmp
      "C:\Users\Admin\AppData\Local\Temp\BBD0.tmp"
      4⤵
      PID:2404

C:\Users\Admin\AppData\Local\Temp\2BD1.tmp
"C:\Users\Admin\AppData\Local\Temp\2BD1.tmp"
1⤵
PID:2500

C:\Users\Admin\AppData\Local\Temp\2D09.tmp
"C:\Users\Admin\AppData\Local\Temp\2D09.tmp"
1⤵
PID:3048
- C:\Users\Admin\AppData\Local\Temp\2D48.tmp
  "C:\Users\Admin\AppData\Local\Temp\2D48.tmp"
  2⤵
  PID:1688
- - C:\Users\Admin\AppData\Local\Temp\BC5D.tmp
    "C:\Users\Admin\AppData\Local\Temp\BC5D.tmp"
    3⤵
    PID:1964

C:\Users\Admin\AppData\Local\Temp\2DF3.tmp
"C:\Users\Admin\AppData\Local\Temp\2DF3.tmp"
1⤵
PID:1744
- C:\Users\Admin\AppData\Local\Temp\2E22.tmp
  "C:\Users\Admin\AppData\Local\Temp\2E22.tmp"
  2⤵
  PID:1008
- - C:\Users\Admin\AppData\Local\Temp\2E60.tmp
    "C:\Users\Admin\AppData\Local\Temp\2E60.tmp"
    3⤵
    PID:2980
  - - C:\Users\Admin\AppData\Local\Temp\8E3B.tmp
      "C:\Users\Admin\AppData\Local\Temp\8E3B.tmp"
      4⤵
      PID:1524
    - - C:\Users\Admin\AppData\Local\Temp\9D58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D58.tmp"
        5⤵
        
        PID:1244
      - C:\Users\Admin\AppData\Local\Temp\9D97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D97.tmp"
        6⤵
        
        PID:2740
        
        C:\Users\Admin\AppData\Local\Temp\8EF7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8EF7.tmp"
        7⤵
        
        PID:2976
      - C:\Users\Admin\AppData\Local\Temp\8EB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8EB8.tmp"
        6⤵
        
        PID:2740

C:\Users\Admin\AppData\Local\Temp\2DB5.tmp
"C:\Users\Admin\AppData\Local\Temp\2DB5.tmp"
1⤵
PID:1644

C:\Users\Admin\AppData\Local\Temp\2E9F.tmp
"C:\Users\Admin\AppData\Local\Temp\2E9F.tmp"
1⤵
PID:1536
- C:\Users\Admin\AppData\Local\Temp\2EDD.tmp
  "C:\Users\Admin\AppData\Local\Temp\2EDD.tmp"
  2⤵
  PID:2076
- - C:\Users\Admin\AppData\Local\Temp\2F1C.tmp
    "C:\Users\Admin\AppData\Local\Temp\2F1C.tmp"
    3⤵
    PID:2328
  - - C:\Users\Admin\AppData\Local\Temp\2F5A.tmp
      "C:\Users\Admin\AppData\Local\Temp\2F5A.tmp"
      4⤵
      PID:2772
- - C:\Users\Admin\AppData\Local\Temp\4DB3.tmp
    "C:\Users\Admin\AppData\Local\Temp\4DB3.tmp"
    3⤵
    PID:2792
  - - C:\Users\Admin\AppData\Local\Temp\4DF1.tmp
      "C:\Users\Admin\AppData\Local\Temp\4DF1.tmp"
      4⤵
      PID:2748
    - - C:\Users\Admin\AppData\Local\Temp\4E30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E30.tmp"
        5⤵
        
        PID:2576
      - C:\Users\Admin\AppData\Local\Temp\4E6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E6E.tmp"
        6⤵
        
        PID:2752
      - C:\Users\Admin\AppData\Local\Temp\9EEE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9EEE.tmp"
        6⤵
        
        PID:2716

C:\Users\Admin\AppData\Local\Temp\2FD7.tmp
"C:\Users\Admin\AppData\Local\Temp\2FD7.tmp"
1⤵
PID:2836
- C:\Users\Admin\AppData\Local\Temp\3015.tmp
  "C:\Users\Admin\AppData\Local\Temp\3015.tmp"
  2⤵
  PID:2652
- - C:\Users\Admin\AppData\Local\Temp\8085.tmp
    "C:\Users\Admin\AppData\Local\Temp\8085.tmp"
    3⤵
    PID:2724
  - - C:\Users\Admin\AppData\Local\Temp\80C4.tmp
      "C:\Users\Admin\AppData\Local\Temp\80C4.tmp"
      4⤵
      PID:2376

C:\Users\Admin\AppData\Local\Temp\30D0.tmp
"C:\Users\Admin\AppData\Local\Temp\30D0.tmp"
1⤵
PID:2672
- C:\Users\Admin\AppData\Local\Temp\310F.tmp
  "C:\Users\Admin\AppData\Local\Temp\310F.tmp"
  2⤵
  PID:3004
- - C:\Users\Admin\AppData\Local\Temp\81BD.tmp
    "C:\Users\Admin\AppData\Local\Temp\81BD.tmp"
    3⤵
    PID:2736
  - - C:\Users\Admin\AppData\Local\Temp\81FC.tmp
      "C:\Users\Admin\AppData\Local\Temp\81FC.tmp"
      4⤵
      PID:2888

C:\Users\Admin\AppData\Local\Temp\314D.tmp
"C:\Users\Admin\AppData\Local\Temp\314D.tmp"
1⤵
PID:2388
- C:\Users\Admin\AppData\Local\Temp\318C.tmp
  "C:\Users\Admin\AppData\Local\Temp\318C.tmp"
  2⤵
  PID:1444
- C:\Users\Admin\AppData\Local\Temp\817F.tmp
  "C:\Users\Admin\AppData\Local\Temp\817F.tmp"
  2⤵
  PID:3004

C:\Users\Admin\AppData\Local\Temp\3208.tmp
"C:\Users\Admin\AppData\Local\Temp\3208.tmp"
1⤵
PID:2856
- C:\Users\Admin\AppData\Local\Temp\3237.tmp
  "C:\Users\Admin\AppData\Local\Temp\3237.tmp"
  2⤵
  PID:2732
- - C:\Users\Admin\AppData\Local\Temp\2404.tmp
    "C:\Users\Admin\AppData\Local\Temp\2404.tmp"
    3⤵
    PID:2848
  - - C:\Users\Admin\AppData\Local\Temp\628A.tmp
      "C:\Users\Admin\AppData\Local\Temp\628A.tmp"
      4⤵
      PID:1676
- - C:\Users\Admin\AppData\Local\Temp\E7C0.tmp
    "C:\Users\Admin\AppData\Local\Temp\E7C0.tmp"
    3⤵
    PID:348
  - - C:\Users\Admin\AppData\Local\Temp\E7FE.tmp
      "C:\Users\Admin\AppData\Local\Temp\E7FE.tmp"
      4⤵
      PID:2420
    - - C:\Users\Admin\AppData\Local\Temp\E82D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E82D.tmp"
        5⤵
        
        PID:284
      - C:\Users\Admin\AppData\Local\Temp\E87B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E87B.tmp"
        6⤵
        
        PID:2536
        
        C:\Users\Admin\AppData\Local\Temp\E8C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E8C9.tmp"
        7⤵
        
        PID:1192
        
        C:\Users\Admin\AppData\Local\Temp\E908.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E908.tmp"
        8⤵
        
        PID:2644
        
        C:\Users\Admin\AppData\Local\Temp\FB30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB30.tmp"
        9⤵
        
        PID:1408
      - C:\Users\Admin\AppData\Local\Temp\FA46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA46.tmp"
        6⤵
        
        PID:2536
        
        C:\Users\Admin\AppData\Local\Temp\FA85.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA85.tmp"
        7⤵
        
        PID:484
        
        C:\Users\Admin\AppData\Local\Temp\FAE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FAE2.tmp"
        8⤵
        
        PID:2644
- C:\Users\Admin\AppData\Local\Temp\61B0.tmp
  "C:\Users\Admin\AppData\Local\Temp\61B0.tmp"
  2⤵
  PID:2692
- - C:\Users\Admin\AppData\Local\Temp\61EE.tmp
    "C:\Users\Admin\AppData\Local\Temp\61EE.tmp"
    3⤵
    PID:2756
- - C:\Users\Admin\AppData\Local\Temp\E30F.tmp
    "C:\Users\Admin\AppData\Local\Temp\E30F.tmp"
    3⤵
    PID:2624
  - - C:\Users\Admin\AppData\Local\Temp\E34D.tmp
      "C:\Users\Admin\AppData\Local\Temp\E34D.tmp"
      4⤵
      PID:2900
    - - C:\Users\Admin\AppData\Local\Temp\E37C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E37C.tmp"
        5⤵
        
        PID:2984
      - C:\Users\Admin\AppData\Local\Temp\E3DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E3DA.tmp"
        6⤵
        
        PID:1572
        
        C:\Users\Admin\AppData\Local\Temp\E447.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E447.tmp"
        7⤵
        
        PID:2668
        
        C:\Users\Admin\AppData\Local\Temp\E485.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E485.tmp"
        8⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\E4D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E4D3.tmp"
        9⤵
        
        PID:1584
        
        C:\Users\Admin\AppData\Local\Temp\E521.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E521.tmp"
        10⤵
        
        PID:1692

C:\Users\Admin\AppData\Local\Temp\32B4.tmp
"C:\Users\Admin\AppData\Local\Temp\32B4.tmp"
1⤵
PID:2896

C:\Users\Admin\AppData\Local\Temp\336F.tmp
"C:\Users\Admin\AppData\Local\Temp\336F.tmp"
1⤵
PID:1560
- C:\Users\Admin\AppData\Local\Temp\33AE.tmp
  "C:\Users\Admin\AppData\Local\Temp\33AE.tmp"
  2⤵
  PID:304
- - C:\Users\Admin\AppData\Local\Temp\F641.tmp
    "C:\Users\Admin\AppData\Local\Temp\F641.tmp"
    3⤵
    PID:1064
  - - C:\Users\Admin\AppData\Local\Temp\5AC.tmp
      "C:\Users\Admin\AppData\Local\Temp\5AC.tmp"
      4⤵
      PID:2852
- C:\Users\Admin\AppData\Local\Temp\252D.tmp
  "C:\Users\Admin\AppData\Local\Temp\252D.tmp"
  2⤵
  PID:1540

C:\Users\Admin\AppData\Local\Temp\33DC.tmp
"C:\Users\Admin\AppData\Local\Temp\33DC.tmp"
1⤵
PID:2456
- C:\Users\Admin\AppData\Local\Temp\4318.tmp
  "C:\Users\Admin\AppData\Local\Temp\4318.tmp"
  2⤵
  PID:2032
- - C:\Users\Admin\AppData\Local\Temp\757E.tmp
    "C:\Users\Admin\AppData\Local\Temp\757E.tmp"
    3⤵
    PID:1908
  - - C:\Users\Admin\AppData\Local\Temp\75BC.tmp
      "C:\Users\Admin\AppData\Local\Temp\75BC.tmp"
      4⤵
      PID:2016

C:\Users\Admin\AppData\Local\Temp\3498.tmp
"C:\Users\Admin\AppData\Local\Temp\3498.tmp"
1⤵
PID:348
- C:\Users\Admin\AppData\Local\Temp\34D6.tmp
  "C:\Users\Admin\AppData\Local\Temp\34D6.tmp"
  2⤵
  PID:2020
- C:\Users\Admin\AppData\Local\Temp\950F.tmp
  "C:\Users\Admin\AppData\Local\Temp\950F.tmp"
  2⤵
  PID:2020
- - C:\Users\Admin\AppData\Local\Temp\954D.tmp
    "C:\Users\Admin\AppData\Local\Temp\954D.tmp"
    3⤵
    PID:2012
  - - C:\Users\Admin\AppData\Local\Temp\A515.tmp
      "C:\Users\Admin\AppData\Local\Temp\A515.tmp"
      4⤵
      PID:2812
    - - C:\Users\Admin\AppData\Local\Temp\A554.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A554.tmp"
        5⤵
        
        PID:2180
      - C:\Users\Admin\AppData\Local\Temp\A5B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A5B1.tmp"
        6⤵
        
        PID:1840
        
        C:\Users\Admin\AppData\Local\Temp\B664.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B664.tmp"
        7⤵
        
        PID:1712
      - C:\Users\Admin\AppData\Local\Temp\B625.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B625.tmp"
        6⤵
        
        PID:1840

C:\Users\Admin\AppData\Local\Temp\3505.tmp
"C:\Users\Admin\AppData\Local\Temp\3505.tmp"
1⤵
PID:2208
- C:\Users\Admin\AppData\Local\Temp\3543.tmp
  "C:\Users\Admin\AppData\Local\Temp\3543.tmp"
  2⤵
  PID:2200
- - C:\Users\Admin\AppData\Local\Temp\5496.tmp
    "C:\Users\Admin\AppData\Local\Temp\5496.tmp"
    3⤵
    PID:1948
  - - C:\Users\Admin\AppData\Local\Temp\54D4.tmp
      "C:\Users\Admin\AppData\Local\Temp\54D4.tmp"
      4⤵
      PID:1872
    - - C:\Users\Admin\AppData\Local\Temp\5512.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5512.tmp"
        5⤵
        
        PID:268
      - C:\Users\Admin\AppData\Local\Temp\5551.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5551.tmp"
        6⤵
        
        PID:400

C:\Users\Admin\AppData\Local\Temp\3582.tmp
"C:\Users\Admin\AppData\Local\Temp\3582.tmp"
1⤵
PID:2492
- C:\Users\Admin\AppData\Local\Temp\35C0.tmp
  "C:\Users\Admin\AppData\Local\Temp\35C0.tmp"
  2⤵
  PID:2240
- C:\Users\Admin\AppData\Local\Temp\6587.tmp
  "C:\Users\Admin\AppData\Local\Temp\6587.tmp"
  2⤵
  PID:2944

C:\Users\Admin\AppData\Local\Temp\3756.tmp
"C:\Users\Admin\AppData\Local\Temp\3756.tmp"
1⤵
PID:1576
- C:\Users\Admin\AppData\Local\Temp\3794.tmp
  "C:\Users\Admin\AppData\Local\Temp\3794.tmp"
  2⤵
  PID:1404
- - C:\Users\Admin\AppData\Local\Temp\37D2.tmp
    "C:\Users\Admin\AppData\Local\Temp\37D2.tmp"
    3⤵
    PID:800
- - C:\Users\Admin\AppData\Local\Temp\56D7.tmp
    "C:\Users\Admin\AppData\Local\Temp\56D7.tmp"
    3⤵
    PID:1680

C:\Users\Admin\AppData\Local\Temp\3717.tmp
"C:\Users\Admin\AppData\Local\Temp\3717.tmp"
1⤵
PID:2924

C:\Users\Admin\AppData\Local\Temp\384F.tmp
"C:\Users\Admin\AppData\Local\Temp\384F.tmp"
1⤵
PID:1748
- C:\Users\Admin\AppData\Local\Temp\388E.tmp
  "C:\Users\Admin\AppData\Local\Temp\388E.tmp"
  2⤵
  PID:1716
- - C:\Users\Admin\AppData\Local\Temp\29EE.tmp
    "C:\Users\Admin\AppData\Local\Temp\29EE.tmp"
    3⤵
    PID:1240
  - - C:\Users\Admin\AppData\Local\Temp\580F.tmp
      "C:\Users\Admin\AppData\Local\Temp\580F.tmp"
      4⤵
      PID:1672
    - - C:\Users\Admin\AppData\Local\Temp\583E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\583E.tmp"
        5⤵
        
        PID:2508
      - C:\Users\Admin\AppData\Local\Temp\7AAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AAC.tmp"
        6⤵
        
        PID:2080
        
        C:\Users\Admin\AppData\Local\Temp\7AEA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AEA.tmp"
        7⤵
        
        PID:1852
        
        C:\Users\Admin\AppData\Local\Temp\7B38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B38.tmp"
        8⤵
        
        PID:816
        
        C:\Users\Admin\AppData\Local\Temp\7B77.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B77.tmp"
        9⤵
        
        PID:376
        
        C:\Users\Admin\AppData\Local\Temp\BA98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA98.tmp"
        10⤵
        
        PID:2276
    - - C:\Users\Admin\AppData\Local\Temp\7DD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DD7.tmp"
        5⤵
        
        PID:1988

C:\Users\Admin\AppData\Local\Temp\390A.tmp
"C:\Users\Admin\AppData\Local\Temp\390A.tmp"
1⤵
PID:448
- C:\Users\Admin\AppData\Local\Temp\3949.tmp
  "C:\Users\Admin\AppData\Local\Temp\3949.tmp"
  2⤵
  PID:1852
- C:\Users\Admin\AppData\Local\Temp\A93A.tmp
  "C:\Users\Admin\AppData\Local\Temp\A93A.tmp"
  2⤵
  PID:2488

C:\Users\Admin\AppData\Local\Temp\3A71.tmp
"C:\Users\Admin\AppData\Local\Temp\3A71.tmp"
1⤵
PID:2160

C:\Users\Admin\AppData\Local\Temp\3B0D.tmp
"C:\Users\Admin\AppData\Local\Temp\3B0D.tmp"
1⤵
PID:2404
- C:\Users\Admin\AppData\Local\Temp\3B4C.tmp
  "C:\Users\Admin\AppData\Local\Temp\3B4C.tmp"
  2⤵
  PID:1952
- - C:\Users\Admin\AppData\Local\Temp\3B8A.tmp
    "C:\Users\Admin\AppData\Local\Temp\3B8A.tmp"
    3⤵
    PID:3056

C:\Users\Admin\AppData\Local\Temp\3BC8.tmp
"C:\Users\Admin\AppData\Local\Temp\3BC8.tmp"
1⤵
PID:612
- C:\Users\Admin\AppData\Local\Temp\3C07.tmp
  "C:\Users\Admin\AppData\Local\Temp\3C07.tmp"
  2⤵
  PID:1132
- - C:\Users\Admin\AppData\Local\Temp\FEAA.tmp
    "C:\Users\Admin\AppData\Local\Temp\FEAA.tmp"
    3⤵
    PID:1440
  - - C:\Users\Admin\AppData\Local\Temp\FED8.tmp
      "C:\Users\Admin\AppData\Local\Temp\FED8.tmp"
      4⤵
      PID:1672
    - - C:\Users\Admin\AppData\Local\Temp\FF17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF17.tmp"
        5⤵
        
        PID:2992
      - C:\Users\Admin\AppData\Local\Temp\FF65.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF65.tmp"
        6⤵
        
        PID:2288
- C:\Users\Admin\AppData\Local\Temp\7D3B.tmp
  "C:\Users\Admin\AppData\Local\Temp\7D3B.tmp"
  2⤵
  PID:884

C:\Users\Admin\AppData\Local\Temp\3CA3.tmp
"C:\Users\Admin\AppData\Local\Temp\3CA3.tmp"
1⤵
PID:1644
- C:\Users\Admin\AppData\Local\Temp\3CE1.tmp
  "C:\Users\Admin\AppData\Local\Temp\3CE1.tmp"
  2⤵
  PID:1744
- - C:\Users\Admin\AppData\Local\Temp\3D20.tmp
    "C:\Users\Admin\AppData\Local\Temp\3D20.tmp"
    3⤵
    PID:3000
  - - C:\Users\Admin\AppData\Local\Temp\4CE8.tmp
      "C:\Users\Admin\AppData\Local\Temp\4CE8.tmp"
      4⤵
      PID:1496
- - C:\Users\Admin\AppData\Local\Temp\5D3D.tmp
    "C:\Users\Admin\AppData\Local\Temp\5D3D.tmp"
    3⤵
    PID:1212
  - - C:\Users\Admin\AppData\Local\Temp\5D7B.tmp
      "C:\Users\Admin\AppData\Local\Temp\5D7B.tmp"
      4⤵
      PID:1244
    - - C:\Users\Admin\AppData\Local\Temp\5DBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DBA.tmp"
        5⤵
        
        PID:2344
      - C:\Users\Admin\AppData\Local\Temp\5E27.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E27.tmp"
        6⤵
        
        PID:1496
        
        C:\Users\Admin\AppData\Local\Temp\5E65.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E65.tmp"
        7⤵
        
        PID:2484
- C:\Users\Admin\AppData\Local\Temp\5D0E.tmp
  "C:\Users\Admin\AppData\Local\Temp\5D0E.tmp"
  2⤵
  PID:1744
- - C:\Users\Admin\AppData\Local\Temp\E254.tmp
    "C:\Users\Admin\AppData\Local\Temp\E254.tmp"
    3⤵
    PID:1360
  - - C:\Users\Admin\AppData\Local\Temp\E292.tmp
      "C:\Users\Admin\AppData\Local\Temp\E292.tmp"
      4⤵
      PID:2268
    - - C:\Users\Admin\AppData\Local\Temp\E2D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E2D0.tmp"
        5⤵
        
        PID:2692
    - - C:\Users\Admin\AppData\Local\Temp\F586.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F586.tmp"
        5⤵
        
        PID:3008
  - - C:\Users\Admin\AppData\Local\Temp\F547.tmp
      "C:\Users\Admin\AppData\Local\Temp\F547.tmp"
      4⤵
      PID:2268

C:\Users\Admin\AppData\Local\Temp\3D9C.tmp
"C:\Users\Admin\AppData\Local\Temp\3D9C.tmp"
1⤵
PID:2464
- C:\Users\Admin\AppData\Local\Temp\3DDB.tmp
  "C:\Users\Admin\AppData\Local\Temp\3DDB.tmp"
  2⤵
  PID:2824
- - C:\Users\Admin\AppData\Local\Temp\7FDA.tmp
    "C:\Users\Admin\AppData\Local\Temp\7FDA.tmp"
    3⤵
    PID:2704
  - - C:\Users\Admin\AppData\Local\Temp\8018.tmp
      "C:\Users\Admin\AppData\Local\Temp\8018.tmp"
      4⤵
      PID:2684
- C:\Users\Admin\AppData\Local\Temp\7F9B.tmp
  "C:\Users\Admin\AppData\Local\Temp\7F9B.tmp"
  2⤵
  PID:2824

C:\Users\Admin\AppData\Local\Temp\3E58.tmp
"C:\Users\Admin\AppData\Local\Temp\3E58.tmp"
1⤵
PID:2684
- C:\Users\Admin\AppData\Local\Temp\3E86.tmp
  "C:\Users\Admin\AppData\Local\Temp\3E86.tmp"
  2⤵
  PID:2696
- C:\Users\Admin\AppData\Local\Temp\8047.tmp
  "C:\Users\Admin\AppData\Local\Temp\8047.tmp"
  2⤵
  PID:2652
- - C:\Users\Admin\AppData\Local\Temp\904E.tmp
    "C:\Users\Admin\AppData\Local\Temp\904E.tmp"
    3⤵
    PID:2112
  - - C:\Users\Admin\AppData\Local\Temp\908C.tmp
      "C:\Users\Admin\AppData\Local\Temp\908C.tmp"
      4⤵
      PID:2584

C:\Users\Admin\AppData\Local\Temp\3F61.tmp
"C:\Users\Admin\AppData\Local\Temp\3F61.tmp"
1⤵
PID:2716
- C:\Users\Admin\AppData\Local\Temp\3F9F.tmp
  "C:\Users\Admin\AppData\Local\Temp\3F9F.tmp"
  2⤵
  PID:2660
- - C:\Users\Admin\AppData\Local\Temp\3FDE.tmp
    "C:\Users\Admin\AppData\Local\Temp\3FDE.tmp"
    3⤵
    PID:2600
- - C:\Users\Admin\AppData\Local\Temp\261.tmp
    "C:\Users\Admin\AppData\Local\Temp\261.tmp"
    3⤵
    PID:980
- C:\Users\Admin\AppData\Local\Temp\14C8.tmp
  "C:\Users\Admin\AppData\Local\Temp\14C8.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:2604

C:\Users\Admin\AppData\Local\Temp\400C.tmp
"C:\Users\Admin\AppData\Local\Temp\400C.tmp"
1⤵
PID:1660
- C:\Users\Admin\AppData\Local\Temp\404B.tmp
  "C:\Users\Admin\AppData\Local\Temp\404B.tmp"
  2⤵
  PID:1512
- - C:\Users\Admin\AppData\Local\Temp\15E1.tmp
    "C:\Users\Admin\AppData\Local\Temp\15E1.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of WriteProcessMemory
    PID:2840
- C:\Users\Admin\AppData\Local\Temp\31C.tmp
  "C:\Users\Admin\AppData\Local\Temp\31C.tmp"
  2⤵
  PID:3036

C:\Users\Admin\AppData\Local\Temp\4089.tmp
"C:\Users\Admin\AppData\Local\Temp\4089.tmp"
1⤵
PID:1360
- C:\Users\Admin\AppData\Local\Temp\40C8.tmp
  "C:\Users\Admin\AppData\Local\Temp\40C8.tmp"
  2⤵
  PID:1588

C:\Users\Admin\AppData\Local\Temp\4135.tmp
"C:\Users\Admin\AppData\Local\Temp\4135.tmp"
1⤵
PID:2732
- C:\Users\Admin\AppData\Local\Temp\4173.tmp
  "C:\Users\Admin\AppData\Local\Temp\4173.tmp"
  2⤵
  PID:2848
- C:\Users\Admin\AppData\Local\Temp\3276.tmp
  "C:\Users\Admin\AppData\Local\Temp\3276.tmp"
  2⤵
  PID:2848
- - C:\Users\Admin\AppData\Local\Temp\2433.tmp
    "C:\Users\Admin\AppData\Local\Temp\2433.tmp"
    3⤵
    PID:2896
  - - C:\Users\Admin\AppData\Local\Temp\165E.tmp
      "C:\Users\Admin\AppData\Local\Temp\165E.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of WriteProcessMemory
      PID:2340
    - - C:\Users\Admin\AppData\Local\Temp\83FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\83FF.tmp"
        5⤵
        
        PID:1200

C:\Users\Admin\AppData\Local\Temp\41B2.tmp
"C:\Users\Admin\AppData\Local\Temp\41B2.tmp"
1⤵
PID:2896
- C:\Users\Admin\AppData\Local\Temp\41F0.tmp
  "C:\Users\Admin\AppData\Local\Temp\41F0.tmp"
  2⤵
  PID:2340
- - C:\Users\Admin\AppData\Local\Temp\422E.tmp
    "C:\Users\Admin\AppData\Local\Temp\422E.tmp"
    3⤵
    PID:1572
- - C:\Users\Admin\AppData\Local\Temp\3331.tmp
    "C:\Users\Admin\AppData\Local\Temp\3331.tmp"
    3⤵
    PID:1572
- C:\Users\Admin\AppData\Local\Temp\32F2.tmp
  "C:\Users\Admin\AppData\Local\Temp\32F2.tmp"
  2⤵
  PID:2340
- - C:\Users\Admin\AppData\Local\Temp\169C.tmp
    "C:\Users\Admin\AppData\Local\Temp\169C.tmp"
    3⤵
    PID:1552

C:\Users\Admin\AppData\Local\Temp\42AB.tmp
"C:\Users\Admin\AppData\Local\Temp\42AB.tmp"
1⤵
PID:2776
- C:\Users\Admin\AppData\Local\Temp\42EA.tmp
  "C:\Users\Admin\AppData\Local\Temp\42EA.tmp"
  2⤵
  PID:2456
- - C:\Users\Admin\AppData\Local\Temp\341B.tmp
    "C:\Users\Admin\AppData\Local\Temp\341B.tmp"
    3⤵
    PID:2608
  - - C:\Users\Admin\AppData\Local\Temp\1813.tmp
      "C:\Users\Admin\AppData\Local\Temp\1813.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2036
    - - C:\Users\Admin\AppData\Local\Temp\93C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\93C7.tmp"
        5⤵
        
        PID:1232

C:\Users\Admin\AppData\Local\Temp\4347.tmp
"C:\Users\Admin\AppData\Local\Temp\4347.tmp"
1⤵
PID:352
- C:\Users\Admin\AppData\Local\Temp\4386.tmp
  "C:\Users\Admin\AppData\Local\Temp\4386.tmp"
  2⤵
  PID:1756
- - C:\Users\Admin\AppData\Local\Temp\43C4.tmp
    "C:\Users\Admin\AppData\Local\Temp\43C4.tmp"
    3⤵
    PID:2176
- C:\Users\Admin\AppData\Local\Temp\94D0.tmp
  "C:\Users\Admin\AppData\Local\Temp\94D0.tmp"
  2⤵
  PID:348
- - C:\Users\Admin\AppData\Local\Temp\A499.tmp
    "C:\Users\Admin\AppData\Local\Temp\A499.tmp"
    3⤵
    PID:2176
  - - C:\Users\Admin\AppData\Local\Temp\A4D7.tmp
      "C:\Users\Admin\AppData\Local\Temp\A4D7.tmp"
      4⤵
      PID:2012
    - - C:\Users\Admin\AppData\Local\Temp\C5AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C5AF.tmp"
        5⤵
        
        PID:2004
      - C:\Users\Admin\AppData\Local\Temp\C5EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C5EE.tmp"
        6⤵
        
        PID:764
        
        C:\Users\Admin\AppData\Local\Temp\C62C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C62C.tmp"
        7⤵
        
        PID:1840
        
        C:\Users\Admin\AppData\Local\Temp\C66B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C66B.tmp"
        8⤵
        
        PID:1712
        
        C:\Users\Admin\AppData\Local\Temp\C6B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6B9.tmp"
        9⤵
        
        PID:684
        
        C:\Users\Admin\AppData\Local\Temp\C716.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C716.tmp"
        10⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\C764.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C764.tmp"
        11⤵
        
        PID:2940
  - - C:\Users\Admin\AppData\Local\Temp\B57A.tmp
      "C:\Users\Admin\AppData\Local\Temp\B57A.tmp"
      4⤵
      PID:628

C:\Users\Admin\AppData\Local\Temp\4441.tmp
"C:\Users\Admin\AppData\Local\Temp\4441.tmp"
1⤵
PID:1948
- C:\Users\Admin\AppData\Local\Temp\447F.tmp
  "C:\Users\Admin\AppData\Local\Temp\447F.tmp"
  2⤵
  PID:2532
- - C:\Users\Admin\AppData\Local\Temp\44BE.tmp
    "C:\Users\Admin\AppData\Local\Temp\44BE.tmp"
    3⤵
    PID:1844
  - - C:\Users\Admin\AppData\Local\Temp\276E.tmp
      "C:\Users\Admin\AppData\Local\Temp\276E.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:1712
- - C:\Users\Admin\AppData\Local\Temp\86AD.tmp
    "C:\Users\Admin\AppData\Local\Temp\86AD.tmp"
    3⤵
    PID:1712
  - - C:\Users\Admin\AppData\Local\Temp\9666.tmp
      "C:\Users\Admin\AppData\Local\Temp\9666.tmp"
      4⤵
      PID:684
    - - C:\Users\Admin\AppData\Local\Temp\96A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\96A4.tmp"
        5⤵
        
        PID:2676
      - C:\Users\Admin\AppData\Local\Temp\A68C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A68C.tmp"
        6⤵
        
        PID:484
        
        C:\Users\Admin\AppData\Local\Temp\A6BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A6BB.tmp"
        7⤵
        
        PID:584
        
        C:\Users\Admin\AppData\Local\Temp\A709.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A709.tmp"
        8⤵
        
        PID:1408
        
        C:\Users\Admin\AppData\Local\Temp\A766.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A766.tmp"
        9⤵
        
        PID:636
        
        C:\Users\Admin\AppData\Local\Temp\A7B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A7B4.tmp"
        10⤵
        
        PID:1404
        
        C:\Users\Admin\AppData\Local\Temp\A7F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A7F3.tmp"
        11⤵
        
        PID:1720
        
        C:\Users\Admin\AppData\Local\Temp\A860.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A860.tmp"
        12⤵
        
        PID:1680
        
        C:\Users\Admin\AppData\Local\Temp\A89E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A89E.tmp"
        13⤵
        
        PID:1748
        
        C:\Users\Admin\AppData\Local\Temp\A8DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A8DD.tmp"
        14⤵
        
        PID:1708
        
        C:\Users\Admin\AppData\Local\Temp\A90B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A90B.tmp"
        15⤵
        
        PID:448
        
        C:\Users\Admin\AppData\Local\Temp\B970.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B970.tmp"
        16⤵
        
        PID:2516
        
        C:\Users\Admin\AppData\Local\Temp\B8E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8E3.tmp"
        14⤵
        
        PID:1708
        
        C:\Users\Admin\AppData\Local\Temp\B922.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B922.tmp"
        15⤵
        
        PID:448
        
        C:\Users\Admin\AppData\Local\Temp\C967.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C967.tmp"
        15⤵
        
        PID:2160
        
        C:\Users\Admin\AppData\Local\Temp\C9A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9A5.tmp"
        16⤵
        
        PID:1580
        
        C:\Users\Admin\AppData\Local\Temp\B867.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B867.tmp"
        12⤵
        
        PID:2308
        
        C:\Users\Admin\AppData\Local\Temp\B8A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8A5.tmp"
        13⤵
        
        PID:1748
        
        C:\Users\Admin\AppData\Local\Temp\C8FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8FA.tmp"
        13⤵
        
        PID:2124
        
        C:\Users\Admin\AppData\Local\Temp\B828.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B828.tmp"
        11⤵
        
        PID:1720
        
        C:\Users\Admin\AppData\Local\Temp\E975.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E975.tmp"
        9⤵
        
        PID:684
        
        C:\Users\Admin\AppData\Local\Temp\E9B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9B3.tmp"
        10⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\FBEC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FBEC.tmp"
        11⤵
        
        PID:1788
        
        C:\Users\Admin\AppData\Local\Temp\FC2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC2A.tmp"
        12⤵
        
        PID:2096
        
        C:\Users\Admin\AppData\Local\Temp\B79C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B79C.tmp"
        8⤵
        
        PID:2044

C:\Users\Admin\AppData\Local\Temp\4402.tmp
"C:\Users\Admin\AppData\Local\Temp\4402.tmp"
1⤵
PID:2936
- C:\Users\Admin\AppData\Local\Temp\EABC.tmp
  "C:\Users\Admin\AppData\Local\Temp\EABC.tmp"
  2⤵
  PID:408
- - C:\Users\Admin\AppData\Local\Temp\FCF5.tmp
    "C:\Users\Admin\AppData\Local\Temp\FCF5.tmp"
    3⤵
    PID:2500

C:\Users\Admin\AppData\Local\Temp\44FC.tmp
"C:\Users\Admin\AppData\Local\Temp\44FC.tmp"
1⤵
PID:2636
- C:\Users\Admin\AppData\Local\Temp\453A.tmp
  "C:\Users\Admin\AppData\Local\Temp\453A.tmp"
  2⤵
  PID:2064

C:\Users\Admin\AppData\Local\Temp\4579.tmp
"C:\Users\Admin\AppData\Local\Temp\4579.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2212
- C:\Users\Admin\AppData\Local\Temp\45B7.tmp
  "C:\Users\Admin\AppData\Local\Temp\45B7.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:556
- C:\Users\Admin\AppData\Local\Temp\19D7.tmp
  "C:\Users\Admin\AppData\Local\Temp\19D7.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2052

C:\Users\Admin\AppData\Local\Temp\473D.tmp
"C:\Users\Admin\AppData\Local\Temp\473D.tmp"
1⤵
PID:616
- C:\Users\Admin\AppData\Local\Temp\477C.tmp
  "C:\Users\Admin\AppData\Local\Temp\477C.tmp"
  2⤵
  PID:2932

C:\Users\Admin\AppData\Local\Temp\46FF.tmp
"C:\Users\Admin\AppData\Local\Temp\46FF.tmp"
1⤵
PID:2272

C:\Users\Admin\AppData\Local\Temp\47F8.tmp
"C:\Users\Admin\AppData\Local\Temp\47F8.tmp"
1⤵
PID:1184
- C:\Users\Admin\AppData\Local\Temp\4837.tmp
  "C:\Users\Admin\AppData\Local\Temp\4837.tmp"
  2⤵
  PID:2432
- - C:\Users\Admin\AppData\Local\Temp\4875.tmp
    "C:\Users\Admin\AppData\Local\Temp\4875.tmp"
    3⤵
    PID:1852
  - - C:\Users\Admin\AppData\Local\Temp\48B4.tmp
      "C:\Users\Admin\AppData\Local\Temp\48B4.tmp"
      4⤵
      PID:816
  - - C:\Users\Admin\AppData\Local\Temp\3987.tmp
      "C:\Users\Admin\AppData\Local\Temp\3987.tmp"
      4⤵
      PID:1708
  - - C:\Users\Admin\AppData\Local\Temp\6A09.tmp
      "C:\Users\Admin\AppData\Local\Temp\6A09.tmp"
      4⤵
      PID:816
    - - C:\Users\Admin\AppData\Local\Temp\6A38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A38.tmp"
        5⤵
        
        PID:2276
      - C:\Users\Admin\AppData\Local\Temp\6A67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A67.tmp"
        6⤵
        
        PID:380
        
        C:\Users\Admin\AppData\Local\Temp\DB23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB23.tmp"
        7⤵
        
        PID:2160
        
        C:\Users\Admin\AppData\Local\Temp\DB61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB61.tmp"
        8⤵
        
        PID:944
        
        C:\Users\Admin\AppData\Local\Temp\DB9F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB9F.tmp"
        9⤵
        
        PID:376
        
        C:\Users\Admin\AppData\Local\Temp\FE3C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE3C.tmp"
        9⤵
        
        PID:376
- - C:\Users\Admin\AppData\Local\Temp\99A1.tmp
    "C:\Users\Admin\AppData\Local\Temp\99A1.tmp"
    3⤵
    PID:1888

C:\Users\Admin\AppData\Local\Temp\47BA.tmp
"C:\Users\Admin\AppData\Local\Temp\47BA.tmp"
1⤵
PID:2260
- C:\Users\Admin\AppData\Local\Temp\A0F.tmp
  "C:\Users\Admin\AppData\Local\Temp\A0F.tmp"
  2⤵
  PID:1208

C:\Users\Admin\AppData\Local\Temp\4930.tmp
"C:\Users\Admin\AppData\Local\Temp\4930.tmp"
1⤵
PID:380
- C:\Users\Admin\AppData\Local\Temp\496F.tmp
  "C:\Users\Admin\AppData\Local\Temp\496F.tmp"
  2⤵
  PID:1316
- C:\Users\Admin\AppData\Local\Temp\2B93.tmp
  "C:\Users\Admin\AppData\Local\Temp\2B93.tmp"
  2⤵
  PID:2276
- C:\Users\Admin\AppData\Local\Temp\6AA5.tmp
  "C:\Users\Admin\AppData\Local\Temp\6AA5.tmp"
  2⤵
  PID:944
- - C:\Users\Admin\AppData\Local\Temp\6AF3.tmp
    "C:\Users\Admin\AppData\Local\Temp\6AF3.tmp"
    3⤵
    PID:896
  - - C:\Users\Admin\AppData\Local\Temp\6B51.tmp
      "C:\Users\Admin\AppData\Local\Temp\6B51.tmp"
      4⤵
      PID:3040
    - - C:\Users\Admin\AppData\Local\Temp\6B9F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B9F.tmp"
        5⤵
        
        PID:1940
      - C:\Users\Admin\AppData\Local\Temp\7CBE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CBE.tmp"
        6⤵
        
        PID:1972
        
        C:\Users\Admin\AppData\Local\Temp\7CFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CFD.tmp"
        7⤵
        
        PID:612
        
        C:\Users\Admin\AppData\Local\Temp\CB3B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB3B.tmp"
        8⤵
        
        PID:2404
        
        C:\Users\Admin\AppData\Local\Temp\CB79.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB79.tmp"
        9⤵
        
        PID:908
        
        C:\Users\Admin\AppData\Local\Temp\DDC2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DDC2.tmp"
        10⤵
        
        PID:1688
        
        C:\Users\Admin\AppData\Local\Temp\CAFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAFD.tmp"
        7⤵
        
        PID:612
    - - C:\Users\Admin\AppData\Local\Temp\FDCF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDCF.tmp"
        5⤵
        
        PID:2160
      - C:\Users\Admin\AppData\Local\Temp\FE0E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE0E.tmp"
        6⤵
        
        PID:944
- - C:\Users\Admin\AppData\Local\Temp\7C13.tmp
    "C:\Users\Admin\AppData\Local\Temp\7C13.tmp"
    3⤵
    PID:876
  - - C:\Users\Admin\AppData\Local\Temp\7C51.tmp
      "C:\Users\Admin\AppData\Local\Temp\7C51.tmp"
      4⤵
      PID:1440
    - - C:\Users\Admin\AppData\Local\Temp\8C77.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C77.tmp"
        5⤵
        
        PID:2364
      - C:\Users\Admin\AppData\Local\Temp\8CB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8CB5.tmp"
        6⤵
        
        PID:2992
        
        C:\Users\Admin\AppData\Local\Temp\9BF1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9BF1.tmp"
        7⤵
        
        PID:2796
        
        C:\Users\Admin\AppData\Local\Temp\AD11.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD11.tmp"
        8⤵
        
        PID:1460
      - C:\Users\Admin\AppData\Local\Temp\9BC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9BC3.tmp"
        6⤵
        
        PID:2992
        
        C:\Users\Admin\AppData\Local\Temp\8CF4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8CF4.tmp"
        7⤵
        
        PID:1700
        
        C:\Users\Admin\AppData\Local\Temp\EE45.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE45.tmp"
        7⤵
        
        PID:1436
        
        C:\Users\Admin\AppData\Local\Temp\EE84.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE84.tmp"
        8⤵
        
        PID:1984
        
        C:\Users\Admin\AppData\Local\Temp\EEE1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EEE1.tmp"
        9⤵
        
        PID:3020
        
        C:\Users\Admin\AppData\Local\Temp\EF5E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF5E.tmp"
        10⤵
        
        PID:1688
        
        C:\Users\Admin\AppData\Local\Temp\EF9C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF9C.tmp"
        11⤵
        
        PID:1964
        
        C:\Users\Admin\AppData\Local\Temp\EFDB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFDB.tmp"
        12⤵
        
        PID:2796
        
        C:\Users\Admin\AppData\Local\Temp\F019.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F019.tmp"
        13⤵
        
        PID:1524
        
        C:\Users\Admin\AppData\Local\Temp\F058.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F058.tmp"
        14⤵
        
        PID:2056
        
        C:\Users\Admin\AppData\Local\Temp\F0D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0D4.tmp"
        15⤵
        
        PID:1628
        
        C:\Users\Admin\AppData\Local\Temp\F132.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F132.tmp"
        16⤵
        
        PID:704
        
        C:\Users\Admin\AppData\Local\Temp\F161.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F161.tmp"
        17⤵
        
        PID:2464

C:\Users\Admin\AppData\Local\Temp\48F2.tmp
"C:\Users\Admin\AppData\Local\Temp\48F2.tmp"
1⤵
PID:992
- C:\Users\Admin\AppData\Local\Temp\3A04.tmp
  "C:\Users\Admin\AppData\Local\Temp\3A04.tmp"
  2⤵
  PID:1724

C:\Users\Admin\AppData\Local\Temp\49AD.tmp
"C:\Users\Admin\AppData\Local\Temp\49AD.tmp"
1⤵
PID:2160
- C:\Users\Admin\AppData\Local\Temp\49EC.tmp
  "C:\Users\Admin\AppData\Local\Temp\49EC.tmp"
  2⤵
  PID:2384
- - C:\Users\Admin\AppData\Local\Temp\3ADE.tmp
    "C:\Users\Admin\AppData\Local\Temp\3ADE.tmp"
    3⤵
    PID:704
- C:\Users\Admin\AppData\Local\Temp\3AA0.tmp
  "C:\Users\Admin\AppData\Local\Temp\3AA0.tmp"
  2⤵
  PID:2384

C:\Users\Admin\AppData\Local\Temp\4A68.tmp
"C:\Users\Admin\AppData\Local\Temp\4A68.tmp"
1⤵
PID:2404
- C:\Users\Admin\AppData\Local\Temp\4AA7.tmp
  "C:\Users\Admin\AppData\Local\Temp\4AA7.tmp"
  2⤵
  PID:2468
- - C:\Users\Admin\AppData\Local\Temp\C60.tmp
    "C:\Users\Admin\AppData\Local\Temp\C60.tmp"
    3⤵
    PID:1952
- C:\Users\Admin\AppData\Local\Temp\8C39.tmp
  "C:\Users\Admin\AppData\Local\Temp\8C39.tmp"
  2⤵
  PID:1440
- - C:\Users\Admin\AppData\Local\Temp\9B94.tmp
    "C:\Users\Admin\AppData\Local\Temp\9B94.tmp"
    3⤵
    PID:2364

C:\Users\Admin\AppData\Local\Temp\4A2A.tmp
"C:\Users\Admin\AppData\Local\Temp\4A2A.tmp"
1⤵
PID:1940
- C:\Users\Admin\AppData\Local\Temp\6BDD.tmp
  "C:\Users\Admin\AppData\Local\Temp\6BDD.tmp"
  2⤵
  PID:2520

C:\Users\Admin\AppData\Local\Temp\426D.tmp
"C:\Users\Admin\AppData\Local\Temp\426D.tmp"
1⤵
PID:988
- C:\Users\Admin\AppData\Local\Temp\17D4.tmp
  "C:\Users\Admin\AppData\Local\Temp\17D4.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2608

C:\Users\Admin\AppData\Local\Temp\4106.tmp
"C:\Users\Admin\AppData\Local\Temp\4106.tmp"
1⤵
PID:628
- C:\Users\Admin\AppData\Local\Temp\B5B8.tmp
  "C:\Users\Admin\AppData\Local\Temp\B5B8.tmp"
  2⤵
  PID:2004
- - C:\Users\Admin\AppData\Local\Temp\B5F7.tmp
    "C:\Users\Admin\AppData\Local\Temp\B5F7.tmp"
    3⤵
    PID:2180
  - - C:\Users\Admin\AppData\Local\Temp\8D7.tmp
      "C:\Users\Admin\AppData\Local\Temp\8D7.tmp"
      4⤵
      PID:764
    - - C:\Users\Admin\AppData\Local\Temp\915.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\915.tmp"
        5⤵
        
        PID:1712

C:\Users\Admin\AppData\Local\Temp\3F22.tmp
"C:\Users\Admin\AppData\Local\Temp\3F22.tmp"
1⤵
PID:2408
- C:\Users\Admin\AppData\Local\Temp\148A.tmp
  "C:\Users\Admin\AppData\Local\Temp\148A.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:2716
- - C:\Users\Admin\AppData\Local\Temp\9F2C.tmp
    "C:\Users\Admin\AppData\Local\Temp\9F2C.tmp"
    3⤵
    PID:2112
  - - C:\Users\Admin\AppData\Local\Temp\9F6B.tmp
      "C:\Users\Admin\AppData\Local\Temp\9F6B.tmp"
      4⤵
      PID:2580
    - - C:\Users\Admin\AppData\Local\Temp\9F99.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9F99.tmp"
        5⤵
        
        PID:2664
      - C:\Users\Admin\AppData\Local\Temp\B126.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B126.tmp"
        6⤵
        
        PID:2352
        
        C:\Users\Admin\AppData\Local\Temp\B165.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B165.tmp"
        7⤵
        
        PID:1512
    - - C:\Users\Admin\AppData\Local\Temp\B0F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B0F7.tmp"
        5⤵
        
        PID:2664
  - - C:\Users\Admin\AppData\Local\Temp\B0B9.tmp
      "C:\Users\Admin\AppData\Local\Temp\B0B9.tmp"
      4⤵
      PID:2580

C:\Users\Admin\AppData\Local\Temp\3EE4.tmp
"C:\Users\Admin\AppData\Local\Temp\3EE4.tmp"
1⤵
PID:2472

C:\Users\Admin\AppData\Local\Temp\3EB5.tmp
"C:\Users\Admin\AppData\Local\Temp\3EB5.tmp"
1⤵
PID:2668

C:\Users\Admin\AppData\Local\Temp\3E19.tmp
"C:\Users\Admin\AppData\Local\Temp\3E19.tmp"
1⤵
PID:2708

C:\Users\Admin\AppData\Local\Temp\3D5E.tmp
"C:\Users\Admin\AppData\Local\Temp\3D5E.tmp"
1⤵
PID:2552

C:\Users\Admin\AppData\Local\Temp\3C74.tmp
"C:\Users\Admin\AppData\Local\Temp\3C74.tmp"
1⤵
PID:2088
- C:\Users\Admin\AppData\Local\Temp\4C3C.tmp
  "C:\Users\Admin\AppData\Local\Temp\4C3C.tmp"
  2⤵
  PID:2988
- - C:\Users\Admin\AppData\Local\Temp\4C6B.tmp
    "C:\Users\Admin\AppData\Local\Temp\4C6B.tmp"
    3⤵
    PID:1532
  - - C:\Users\Admin\AppData\Local\Temp\4CAA.tmp
      "C:\Users\Admin\AppData\Local\Temp\4CAA.tmp"
      4⤵
      PID:3000
- - C:\Users\Admin\AppData\Local\Temp\206C.tmp
    "C:\Users\Admin\AppData\Local\Temp\206C.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:3024
  - - C:\Users\Admin\AppData\Local\Temp\6DD0.tmp
      "C:\Users\Admin\AppData\Local\Temp\6DD0.tmp"
      4⤵
      PID:1640

C:\Users\Admin\AppData\Local\Temp\3C36.tmp
"C:\Users\Admin\AppData\Local\Temp\3C36.tmp"
1⤵
PID:2796
- C:\Users\Admin\AppData\Local\Temp\9C20.tmp
  "C:\Users\Admin\AppData\Local\Temp\9C20.tmp"
  2⤵
  PID:3044
- - C:\Users\Admin\AppData\Local\Temp\8D51.tmp
    "C:\Users\Admin\AppData\Local\Temp\8D51.tmp"
    3⤵
    PID:1484

C:\Users\Admin\AppData\Local\Temp\4B24.tmp
"C:\Users\Admin\AppData\Local\Temp\4B24.tmp"
1⤵
PID:2252
- C:\Users\Admin\AppData\Local\Temp\4B52.tmp
  "C:\Users\Admin\AppData\Local\Temp\4B52.tmp"
  2⤵
  PID:1688
- - C:\Users\Admin\AppData\Local\Temp\4B91.tmp
    "C:\Users\Admin\AppData\Local\Temp\4B91.tmp"
    3⤵
    PID:980
- - C:\Users\Admin\AppData\Local\Temp\2D76.tmp
    "C:\Users\Admin\AppData\Local\Temp\2D76.tmp"
    3⤵
    PID:2088
  - - C:\Users\Admin\AppData\Local\Temp\7E54.tmp
      "C:\Users\Admin\AppData\Local\Temp\7E54.tmp"
      4⤵
      PID:2908
    - - C:\Users\Admin\AppData\Local\Temp\7E92.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E92.tmp"
        5⤵
        
        PID:2552
      - C:\Users\Admin\AppData\Local\Temp\7ED1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7ED1.tmp"
        6⤵
        
        PID:1912
        
        C:\Users\Admin\AppData\Local\Temp\7F2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F2E.tmp"
        7⤵
        
        PID:2976
        
        C:\Users\Admin\AppData\Local\Temp\7F5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F5D.tmp"
        8⤵
        
        PID:2464
        
        C:\Users\Admin\AppData\Local\Temp\CDAB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDAB.tmp"
        9⤵
        
        PID:2076
        
        C:\Users\Admin\AppData\Local\Temp\CDE9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDE9.tmp"
        10⤵
        
        PID:1244
        
        C:\Users\Admin\AppData\Local\Temp\CE28.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE28.tmp"
        11⤵
        
        PID:1536
        
        C:\Users\Admin\AppData\Local\Temp\CE76.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE76.tmp"
        12⤵
        
        PID:2764
        
        C:\Users\Admin\AppData\Local\Temp\E0AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0AE.tmp"
        13⤵
        
        PID:2684
        
        C:\Users\Admin\AppData\Local\Temp\E0ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0ED.tmp"
        14⤵
        
        PID:2484
        
        C:\Users\Admin\AppData\Local\Temp\223.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\223.tmp"
        12⤵
        
        PID:2660
        
        C:\Users\Admin\AppData\Local\Temp\E022.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E022.tmp"
        11⤵
        
        PID:3056
        
        C:\Users\Admin\AppData\Local\Temp\E070.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E070.tmp"
        12⤵
        
        PID:2764
        
        C:\Users\Admin\AppData\Local\Temp\DFE4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DFE4.tmp"
        10⤵
        
        PID:1244
        
        C:\Users\Admin\AppData\Local\Temp\8F35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F35.tmp"
        8⤵
        
        PID:1496
        
        C:\Users\Admin\AppData\Local\Temp\8F73.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F73.tmp"
        9⤵
        
        PID:1980

C:\Users\Admin\AppData\Local\Temp\4AE5.tmp
"C:\Users\Admin\AppData\Local\Temp\4AE5.tmp"
1⤵
PID:2144

C:\Users\Admin\AppData\Local\Temp\4BFE.tmp
"C:\Users\Admin\AppData\Local\Temp\4BFE.tmp"
1⤵
PID:2088

C:\Users\Admin\AppData\Local\Temp\4BC0.tmp
"C:\Users\Admin\AppData\Local\Temp\4BC0.tmp"
1⤵
PID:760

C:\Users\Admin\AppData\Local\Temp\4D26.tmp
"C:\Users\Admin\AppData\Local\Temp\4D26.tmp"
1⤵
PID:1536
- C:\Users\Admin\AppData\Local\Temp\4D65.tmp
  "C:\Users\Admin\AppData\Local\Temp\4D65.tmp"
  2⤵
  PID:2076
- C:\Users\Admin\AppData\Local\Temp\AF14.tmp
  "C:\Users\Admin\AppData\Local\Temp\AF14.tmp"
  2⤵
  PID:2764

C:\Users\Admin\AppData\Local\Temp\3A33.tmp
"C:\Users\Admin\AppData\Local\Temp\3A33.tmp"
1⤵
PID:2116
- C:\Users\Admin\AppData\Local\Temp\8B5E.tmp
  "C:\Users\Admin\AppData\Local\Temp\8B5E.tmp"
  2⤵
  PID:2780
- - C:\Users\Admin\AppData\Local\Temp\8B9D.tmp
    "C:\Users\Admin\AppData\Local\Temp\8B9D.tmp"
    3⤵
    PID:1624
- - C:\Users\Admin\AppData\Local\Temp\9AC9.tmp
    "C:\Users\Admin\AppData\Local\Temp\9AC9.tmp"
    3⤵
    PID:1624
  - - C:\Users\Admin\AppData\Local\Temp\9B07.tmp
      "C:\Users\Admin\AppData\Local\Temp\9B07.tmp"
      4⤵
      PID:776
    - - C:\Users\Admin\AppData\Local\Temp\ABAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABAA.tmp"
        5⤵
        
        PID:2404
      - C:\Users\Admin\AppData\Local\Temp\ABE9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABE9.tmp"
        6⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\AC27.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC27.tmp"
        7⤵
        
        PID:2364
        
        C:\Users\Admin\AppData\Local\Temp\AC75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC75.tmp"
        8⤵
        
        PID:1964
        
        C:\Users\Admin\AppData\Local\Temp\ACD3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ACD3.tmp"
        9⤵
        
        PID:2796
        
        C:\Users\Admin\AppData\Local\Temp\BCD9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BCD9.tmp"
        10⤵
        
        PID:1460
        
        C:\Users\Admin\AppData\Local\Temp\BD18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD18.tmp"
        11⤵
        
        PID:3024
        
        C:\Users\Admin\AppData\Local\Temp\BC9B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC9B.tmp"
        9⤵
        
        PID:2796
        
        C:\Users\Admin\AppData\Local\Temp\CC73.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC73.tmp"
        10⤵
        
        PID:2908
        
        C:\Users\Admin\AppData\Local\Temp\CCB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCB1.tmp"
        11⤵
        
        PID:3024
        
        C:\Users\Admin\AppData\Local\Temp\CCF0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCF0.tmp"
        12⤵
        
        PID:1432
        
        C:\Users\Admin\AppData\Local\Temp\CD2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD2E.tmp"
        13⤵
        
        PID:2708
        
        C:\Users\Admin\AppData\Local\Temp\30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30.tmp"
        11⤵
        
        PID:3024
        
        C:\Users\Admin\AppData\Local\Temp\5E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E.tmp"
        12⤵
        
        PID:2796
        
        C:\Users\Admin\AppData\Local\Temp\8D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D.tmp"
        13⤵
        
        PID:2740
        
        C:\Users\Admin\AppData\Local\Temp\CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC.tmp"
        14⤵
        
        PID:2056
        
        C:\Users\Admin\AppData\Local\Temp\EDD8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDD8.tmp"
        7⤵
        
        PID:1672
      - C:\Users\Admin\AppData\Local\Temp\BBFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBFF.tmp"
        6⤵
        
        PID:908
        
        C:\Users\Admin\AppData\Local\Temp\BC2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC2E.tmp"
        7⤵
        
        PID:1688
        
        C:\Users\Admin\AppData\Local\Temp\CBB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBB8.tmp"
        7⤵
        
        PID:1688
        
        C:\Users\Admin\AppData\Local\Temp\CBF6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBF6.tmp"
        8⤵
        
        PID:1964
        
        C:\Users\Admin\AppData\Local\Temp\CC35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC35.tmp"
        9⤵
        
        PID:2796
        
        C:\Users\Admin\AppData\Local\Temp\DE00.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE00.tmp"
        8⤵
        
        PID:1644
  - - C:\Users\Admin\AppData\Local\Temp\AB6C.tmp
      "C:\Users\Admin\AppData\Local\Temp\AB6C.tmp"
      4⤵
      PID:776

C:\Users\Admin\AppData\Local\Temp\4EAC.tmp
"C:\Users\Admin\AppData\Local\Temp\4EAC.tmp"
1⤵
PID:2376
- C:\Users\Admin\AppData\Local\Temp\4EEB.tmp
  "C:\Users\Admin\AppData\Local\Temp\4EEB.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2584
- - C:\Users\Admin\AppData\Local\Temp\90BB.tmp
    "C:\Users\Admin\AppData\Local\Temp\90BB.tmp"
    3⤵
    PID:2664
  - - C:\Users\Admin\AppData\Local\Temp\9FC8.tmp
      "C:\Users\Admin\AppData\Local\Temp\9FC8.tmp"
      4⤵
      PID:2352
- C:\Users\Admin\AppData\Local\Temp\8102.tmp
  "C:\Users\Admin\AppData\Local\Temp\8102.tmp"
  2⤵
  PID:2664
- - C:\Users\Admin\AppData\Local\Temp\8141.tmp
    "C:\Users\Admin\AppData\Local\Temp\8141.tmp"
    3⤵
    PID:2388
- - C:\Users\Admin\AppData\Local\Temp\90F9.tmp
    "C:\Users\Admin\AppData\Local\Temp\90F9.tmp"
    3⤵
    PID:2548
  - - C:\Users\Admin\AppData\Local\Temp\9138.tmp
      "C:\Users\Admin\AppData\Local\Temp\9138.tmp"
      4⤵
      PID:3008
    - - C:\Users\Admin\AppData\Local\Temp\9176.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9176.tmp"
        5⤵
        
        PID:2624
      - C:\Users\Admin\AppData\Local\Temp\A074.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A074.tmp"
        6⤵
        
        PID:2904
        
        C:\Users\Admin\AppData\Local\Temp\91E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\91E3.tmp"
        7⤵
        
        PID:2700

C:\Users\Admin\AppData\Local\Temp\39D5.tmp
"C:\Users\Admin\AppData\Local\Temp\39D5.tmp"
1⤵
PID:992
- C:\Users\Admin\AppData\Local\Temp\8AD2.tmp
  "C:\Users\Admin\AppData\Local\Temp\8AD2.tmp"
  2⤵
  PID:1288
- - C:\Users\Admin\AppData\Local\Temp\8B20.tmp
    "C:\Users\Admin\AppData\Local\Temp\8B20.tmp"
    3⤵
    PID:2116

C:\Users\Admin\AppData\Local\Temp\38CC.tmp
"C:\Users\Admin\AppData\Local\Temp\38CC.tmp"
1⤵
PID:1240

C:\Users\Admin\AppData\Local\Temp\3811.tmp
"C:\Users\Admin\AppData\Local\Temp\3811.tmp"
1⤵
PID:1720

C:\Users\Admin\AppData\Local\Temp\36D9.tmp
"C:\Users\Admin\AppData\Local\Temp\36D9.tmp"
1⤵
PID:3016

C:\Users\Admin\AppData\Local\Temp\36AA.tmp
"C:\Users\Admin\AppData\Local\Temp\36AA.tmp"
1⤵
PID:788

C:\Users\Admin\AppData\Local\Temp\35FE.tmp
"C:\Users\Admin\AppData\Local\Temp\35FE.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2068

C:\Users\Admin\AppData\Local\Temp\3459.tmp
"C:\Users\Admin\AppData\Local\Temp\3459.tmp"
1⤵
PID:2044

C:\Users\Admin\AppData\Local\Temp\4F68.tmp
"C:\Users\Admin\AppData\Local\Temp\4F68.tmp"
1⤵
PID:3004
- C:\Users\Admin\AppData\Local\Temp\4FA6.tmp
  "C:\Users\Admin\AppData\Local\Temp\4FA6.tmp"
  2⤵
  PID:2548
- - C:\Users\Admin\AppData\Local\Temp\4FE4.tmp
    "C:\Users\Admin\AppData\Local\Temp\4FE4.tmp"
    3⤵
    PID:2624
  - - C:\Users\Admin\AppData\Local\Temp\5023.tmp
      "C:\Users\Admin\AppData\Local\Temp\5023.tmp"
      4⤵
      PID:2892
    - - C:\Users\Admin\AppData\Local\Temp\8269.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8269.tmp"
        5⤵
        
        PID:2588

C:\Users\Admin\AppData\Local\Temp\31CA.tmp
"C:\Users\Admin\AppData\Local\Temp\31CA.tmp"
1⤵
PID:1588

C:\Users\Admin\AppData\Local\Temp\3092.tmp
"C:\Users\Admin\AppData\Local\Temp\3092.tmp"
1⤵
PID:2568
- C:\Users\Admin\AppData\Local\Temp\B3B5.tmp
  "C:\Users\Admin\AppData\Local\Temp\B3B5.tmp"
  2⤵
  PID:2036
- - C:\Users\Admin\AppData\Local\Temp\B3E4.tmp
    "C:\Users\Admin\AppData\Local\Temp\B3E4.tmp"
    3⤵
    PID:2196
  - - C:\Users\Admin\AppData\Local\Temp\C3FB.tmp
      "C:\Users\Admin\AppData\Local\Temp\C3FB.tmp"
      4⤵
      PID:2776
- - C:\Users\Admin\AppData\Local\Temp\C3CC.tmp
    "C:\Users\Admin\AppData\Local\Temp\C3CC.tmp"
    3⤵
    PID:2196

C:\Users\Admin\AppData\Local\Temp\3054.tmp
"C:\Users\Admin\AppData\Local\Temp\3054.tmp"
1⤵
PID:2724

C:\Users\Admin\AppData\Local\Temp\2F98.tmp
"C:\Users\Admin\AppData\Local\Temp\2F98.tmp"
1⤵
PID:2784

C:\Users\Admin\AppData\Local\Temp\2CCB.tmp
"C:\Users\Admin\AppData\Local\Temp\2CCB.tmp"
1⤵
PID:2144
- C:\Users\Admin\AppData\Local\Temp\CCD.tmp
  "C:\Users\Admin\AppData\Local\Temp\CCD.tmp"
  2⤵
  PID:1288

C:\Users\Admin\AppData\Local\Temp\29BF.tmp
"C:\Users\Admin\AppData\Local\Temp\29BF.tmp"
1⤵
PID:1716

C:\Users\Admin\AppData\Local\Temp\2990.tmp
"C:\Users\Admin\AppData\Local\Temp\2990.tmp"
1⤵
PID:1880
- C:\Users\Admin\AppData\Local\Temp\6893.tmp
  "C:\Users\Admin\AppData\Local\Temp\6893.tmp"
  2⤵
  PID:2400
- - C:\Users\Admin\AppData\Local\Temp\68D1.tmp
    "C:\Users\Admin\AppData\Local\Temp\68D1.tmp"
    3⤵
    PID:2308
  - - C:\Users\Admin\AppData\Local\Temp\7A2F.tmp
      "C:\Users\Admin\AppData\Local\Temp\7A2F.tmp"
      4⤵
      PID:3032
    - - C:\Users\Admin\AppData\Local\Temp\7A6D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A6D.tmp"
        5⤵
        
        PID:2508
      - C:\Users\Admin\AppData\Local\Temp\8A93.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A93.tmp"
        6⤵
        
        PID:992
- - C:\Users\Admin\AppData\Local\Temp\79F1.tmp
    "C:\Users\Admin\AppData\Local\Temp\79F1.tmp"
    3⤵
    PID:2308

C:\Users\Admin\AppData\Local\Temp\26B3.tmp
"C:\Users\Admin\AppData\Local\Temp\26B3.tmp"
1⤵
PID:2008
- C:\Users\Admin\AppData\Local\Temp\6548.tmp
  "C:\Users\Admin\AppData\Local\Temp\6548.tmp"
  2⤵
  PID:2492
- - C:\Users\Admin\AppData\Local\Temp\76B6.tmp
    "C:\Users\Admin\AppData\Local\Temp\76B6.tmp"
    3⤵
    PID:1712
  - - C:\Users\Admin\AppData\Local\Temp\76F4.tmp
      "C:\Users\Admin\AppData\Local\Temp\76F4.tmp"
      4⤵
      PID:536
  - - C:\Users\Admin\AppData\Local\Temp\86EB.tmp
      "C:\Users\Admin\AppData\Local\Temp\86EB.tmp"
      4⤵
      PID:2952

C:\Users\Admin\AppData\Local\Temp\2388.tmp
"C:\Users\Admin\AppData\Local\Temp\2388.tmp"
1⤵
PID:2868
- C:\Users\Admin\AppData\Local\Temp\72EF.tmp
  "C:\Users\Admin\AppData\Local\Temp\72EF.tmp"
  2⤵
  PID:1896
- - C:\Users\Admin\AppData\Local\Temp\731D.tmp
    "C:\Users\Admin\AppData\Local\Temp\731D.tmp"
    3⤵
    PID:1600
  - - C:\Users\Admin\AppData\Local\Temp\735C.tmp
      "C:\Users\Admin\AppData\Local\Temp\735C.tmp"
      4⤵
      PID:2108
    - - C:\Users\Admin\AppData\Local\Temp\A219.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A219.tmp"
        5⤵
        
        PID:344

C:\Users\Admin\AppData\Local\Temp\21D3.tmp
"C:\Users\Admin\AppData\Local\Temp\21D3.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2928
- C:\Users\Admin\AppData\Local\Temp\177.tmp
  "C:\Users\Admin\AppData\Local\Temp\177.tmp"
  2⤵
  PID:2464
- - C:\Users\Admin\AppData\Local\Temp\1B6.tmp
    "C:\Users\Admin\AppData\Local\Temp\1B6.tmp"
    3⤵
    PID:2076

C:\Users\Admin\AppData\Local\Temp\209B.tmp
"C:\Users\Admin\AppData\Local\Temp\209B.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1528

C:\Users\Admin\AppData\Local\Temp\1F82.tmp
"C:\Users\Admin\AppData\Local\Temp\1F82.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1964
- C:\Users\Admin\AppData\Local\Temp\6CA8.tmp
  "C:\Users\Admin\AppData\Local\Temp\6CA8.tmp"
  2⤵
  PID:3044
- - C:\Users\Admin\AppData\Local\Temp\6CD7.tmp
    "C:\Users\Admin\AppData\Local\Temp\6CD7.tmp"
    3⤵
    PID:980
  - - C:\Users\Admin\AppData\Local\Temp\6D25.tmp
      "C:\Users\Admin\AppData\Local\Temp\6D25.tmp"
      4⤵
      PID:2288
    - - C:\Users\Admin\AppData\Local\Temp\6D63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D63.tmp"
        5⤵
        
        PID:1492
    - - C:\Users\Admin\AppData\Local\Temp\FFA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFA3.tmp"
        5⤵
        
        PID:1984
      - C:\Users\Admin\AppData\Local\Temp\FFD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFD2.tmp"
        6⤵
        
        PID:908
        
        C:\Users\Admin\AppData\Local\Temp\1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1.tmp"
        7⤵
        
        PID:2908
- - C:\Users\Admin\AppData\Local\Temp\9C4F.tmp
    "C:\Users\Admin\AppData\Local\Temp\9C4F.tmp"
    3⤵
    PID:1484

C:\Users\Admin\AppData\Local\Temp\1E4A.tmp
"C:\Users\Admin\AppData\Local\Temp\1E4A.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1440
- C:\Users\Admin\AppData\Local\Temp\7C80.tmp
  "C:\Users\Admin\AppData\Local\Temp\7C80.tmp"
  2⤵
  PID:1940

C:\Users\Admin\AppData\Local\Temp\1A16.tmp
"C:\Users\Admin\AppData\Local\Temp\1A16.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:596
- C:\Users\Admin\AppData\Local\Temp\FA08.tmp
  "C:\Users\Admin\AppData\Local\Temp\FA08.tmp"
  2⤵
  PID:284

C:\Users\Admin\AppData\Local\Temp\1851.tmp
"C:\Users\Admin\AppData\Local\Temp\1851.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2020
- C:\Users\Admin\AppData\Local\Temp\85C3.tmp
  "C:\Users\Admin\AppData\Local\Temp\85C3.tmp"
  2⤵
  PID:1704

C:\Users\Admin\AppData\Local\Temp\1796.tmp
"C:\Users\Admin\AppData\Local\Temp\1796.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:988

C:\Users\Admin\AppData\Local\Temp\1758.tmp
"C:\Users\Admin\AppData\Local\Temp\1758.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1504

C:\Users\Admin\AppData\Local\Temp\1719.tmp
"C:\Users\Admin\AppData\Local\Temp\1719.tmp"
1⤵
PID:2428

C:\Users\Admin\AppData\Local\Temp\16DB.tmp
"C:\Users\Admin\AppData\Local\Temp\16DB.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1636

C:\Users\Admin\AppData\Local\Temp\5061.tmp
"C:\Users\Admin\AppData\Local\Temp\5061.tmp"
1⤵
PID:2900
- C:\Users\Admin\AppData\Local\Temp\50A0.tmp
  "C:\Users\Admin\AppData\Local\Temp\50A0.tmp"
  2⤵
  PID:2100
- - C:\Users\Admin\AppData\Local\Temp\82D6.tmp
    "C:\Users\Admin\AppData\Local\Temp\82D6.tmp"
    3⤵
    PID:848
  - - C:\Users\Admin\AppData\Local\Temp\929F.tmp
      "C:\Users\Admin\AppData\Local\Temp\929F.tmp"
      4⤵
      PID:2848
- C:\Users\Admin\AppData\Local\Temp\B201.tmp
  "C:\Users\Admin\AppData\Local\Temp\B201.tmp"
  2⤵
  PID:2984
- - C:\Users\Admin\AppData\Local\Temp\B23F.tmp
    "C:\Users\Admin\AppData\Local\Temp\B23F.tmp"
    3⤵
    PID:2996
  - - C:\Users\Admin\AppData\Local\Temp\B27D.tmp
      "C:\Users\Admin\AppData\Local\Temp\B27D.tmp"
      4⤵
      PID:1612
- - C:\Users\Admin\AppData\Local\Temp\C1D9.tmp
    "C:\Users\Admin\AppData\Local\Temp\C1D9.tmp"
    3⤵
    PID:2896
  - - C:\Users\Admin\AppData\Local\Temp\C217.tmp
      "C:\Users\Admin\AppData\Local\Temp\C217.tmp"
      4⤵
      PID:2324

C:\Users\Admin\AppData\Local\Temp\1620.tmp
"C:\Users\Admin\AppData\Local\Temp\1620.tmp"
1⤵
PID:2896
- C:\Users\Admin\AppData\Local\Temp\51F7.tmp
  "C:\Users\Admin\AppData\Local\Temp\51F7.tmp"
  2⤵
  PID:2504
- - C:\Users\Admin\AppData\Local\Temp\5235.tmp
    "C:\Users\Admin\AppData\Local\Temp\5235.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:2428
  - - C:\Users\Admin\AppData\Local\Temp\5274.tmp
      "C:\Users\Admin\AppData\Local\Temp\5274.tmp"
      4⤵
      PID:1540
    - - C:\Users\Admin\AppData\Local\Temp\52C2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52C2.tmp"
        5⤵
        
        PID:1256

C:\Users\Admin\AppData\Local\Temp\1593.tmp
"C:\Users\Admin\AppData\Local\Temp\1593.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:1512
- C:\Users\Admin\AppData\Local\Temp\B193.tmp
  "C:\Users\Admin\AppData\Local\Temp\B193.tmp"
  2⤵
  PID:2624
- - C:\Users\Admin\AppData\Local\Temp\C16B.tmp
    "C:\Users\Admin\AppData\Local\Temp\C16B.tmp"
    3⤵
    PID:2900
  - - C:\Users\Admin\AppData\Local\Temp\C1AA.tmp
      "C:\Users\Admin\AppData\Local\Temp\C1AA.tmp"
      4⤵
      PID:2984

C:\Users\Admin\AppData\Local\Temp\1555.tmp
"C:\Users\Admin\AppData\Local\Temp\1555.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:3036
- C:\Users\Admin\AppData\Local\Temp\60F4.tmp
  "C:\Users\Admin\AppData\Local\Temp\60F4.tmp"
  2⤵
  PID:1568
- - C:\Users\Admin\AppData\Local\Temp\6133.tmp
    "C:\Users\Admin\AppData\Local\Temp\6133.tmp"
    3⤵
    PID:3028
- - C:\Users\Admin\AppData\Local\Temp\7272.tmp
    "C:\Users\Admin\AppData\Local\Temp\7272.tmp"
    3⤵
    PID:2984
  - - C:\Users\Admin\AppData\Local\Temp\72B0.tmp
      "C:\Users\Admin\AppData\Local\Temp\72B0.tmp"
      4⤵
      PID:2868

C:\Users\Admin\AppData\Local\Temp\1516.tmp
"C:\Users\Admin\AppData\Local\Temp\1516.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2612

C:\Users\Admin\AppData\Local\Temp\144C.tmp
"C:\Users\Admin\AppData\Local\Temp\144C.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2408

C:\Users\Admin\AppData\Local\Temp\1390.tmp
"C:\Users\Admin\AppData\Local\Temp\1390.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2752

C:\Users\Admin\AppData\Local\Temp\510D.tmp
"C:\Users\Admin\AppData\Local\Temp\510D.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:1552
- C:\Users\Admin\AppData\Local\Temp\514B.tmp
  "C:\Users\Admin\AppData\Local\Temp\514B.tmp"
  2⤵
  PID:356
- - C:\Users\Admin\AppData\Local\Temp\517A.tmp
    "C:\Users\Admin\AppData\Local\Temp\517A.tmp"
    3⤵
    PID:1584
- C:\Users\Admin\AppData\Local\Temp\D079.tmp
  "C:\Users\Admin\AppData\Local\Temp\D079.tmp"
  2⤵
  PID:2640

C:\Users\Admin\AppData\Local\Temp\50CE.tmp
"C:\Users\Admin\AppData\Local\Temp\50CE.tmp"
1⤵
PID:848
- C:\Users\Admin\AppData\Local\Temp\8305.tmp
  "C:\Users\Admin\AppData\Local\Temp\8305.tmp"
  2⤵
  PID:1896
- - C:\Users\Admin\AppData\Local\Temp\8343.tmp
    "C:\Users\Admin\AppData\Local\Temp\8343.tmp"
    3⤵
    PID:1352

C:\Users\Admin\AppData\Local\Temp\51B8.tmp
"C:\Users\Admin\AppData\Local\Temp\51B8.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2896

C:\Users\Admin\AppData\Local\Temp\536D.tmp
"C:\Users\Admin\AppData\Local\Temp\536D.tmp"
1⤵
PID:1616
- C:\Users\Admin\AppData\Local\Temp\539C.tmp
  "C:\Users\Admin\AppData\Local\Temp\539C.tmp"
  2⤵
  PID:1976
- - C:\Users\Admin\AppData\Local\Temp\53EA.tmp
    "C:\Users\Admin\AppData\Local\Temp\53EA.tmp"
    3⤵
    PID:2172
  - - C:\Users\Admin\AppData\Local\Temp\5428.tmp
      "C:\Users\Admin\AppData\Local\Temp\5428.tmp"
      4⤵
      PID:2012
    - - C:\Users\Admin\AppData\Local\Temp\958B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\958B.tmp"
        5⤵
        
        PID:2812
  - - C:\Users\Admin\AppData\Local\Temp\7639.tmp
      "C:\Users\Admin\AppData\Local\Temp\7639.tmp"
      4⤵
      PID:1004
    - - C:\Users\Admin\AppData\Local\Temp\7677.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7677.tmp"
        5⤵
        
        PID:2492
- C:\Users\Admin\AppData\Local\Temp\8546.tmp
  "C:\Users\Admin\AppData\Local\Temp\8546.tmp"
  2⤵
  PID:1976
- - C:\Users\Admin\AppData\Local\Temp\8585.tmp
    "C:\Users\Admin\AppData\Local\Temp\8585.tmp"
    3⤵
    PID:2020

C:\Users\Admin\AppData\Local\Temp\533E.tmp
"C:\Users\Admin\AppData\Local\Temp\533E.tmp"
1⤵
PID:1632
- C:\Users\Admin\AppData\Local\Temp\94A1.tmp
  "C:\Users\Admin\AppData\Local\Temp\94A1.tmp"
  2⤵
  PID:352
- - C:\Users\Admin\AppData\Local\Temp\F7B7.tmp
    "C:\Users\Admin\AppData\Local\Temp\F7B7.tmp"
    3⤵
    PID:2236

C:\Users\Admin\AppData\Local\Temp\5300.tmp
"C:\Users\Admin\AppData\Local\Temp\5300.tmp"
1⤵
PID:1548
- C:\Users\Admin\AppData\Local\Temp\8508.tmp
  "C:\Users\Admin\AppData\Local\Temp\8508.tmp"
  2⤵
  PID:1616
- - C:\Users\Admin\AppData\Local\Temp\619.tmp
    "C:\Users\Admin\AppData\Local\Temp\619.tmp"
    3⤵
    PID:2608
  - - C:\Users\Admin\AppData\Local\Temp\648.tmp
      "C:\Users\Admin\AppData\Local\Temp\648.tmp"
      4⤵
      PID:2032

C:\Users\Admin\AppData\Local\Temp\5457.tmp
"C:\Users\Admin\AppData\Local\Temp\5457.tmp"
1⤵
PID:2200

C:\Users\Admin\AppData\Local\Temp\55BE.tmp
"C:\Users\Admin\AppData\Local\Temp\55BE.tmp"
1⤵
PID:672
- C:\Users\Admin\AppData\Local\Temp\55ED.tmp
  "C:\Users\Admin\AppData\Local\Temp\55ED.tmp"
  2⤵
  PID:868
- - C:\Users\Admin\AppData\Local\Temp\562B.tmp
    "C:\Users\Admin\AppData\Local\Temp\562B.tmp"
    3⤵
    PID:2536
  - - C:\Users\Admin\AppData\Local\Temp\566A.tmp
      "C:\Users\Admin\AppData\Local\Temp\566A.tmp"
      4⤵
      PID:1172

C:\Users\Admin\AppData\Local\Temp\5580.tmp
"C:\Users\Admin\AppData\Local\Temp\5580.tmp"
1⤵
PID:284

C:\Users\Admin\AppData\Local\Temp\5715.tmp
"C:\Users\Admin\AppData\Local\Temp\5715.tmp"
1⤵
PID:2884
- C:\Users\Admin\AppData\Local\Temp\5754.tmp
  "C:\Users\Admin\AppData\Local\Temp\5754.tmp"
  2⤵
  PID:2380
- - C:\Users\Admin\AppData\Local\Temp\57A2.tmp
    "C:\Users\Admin\AppData\Local\Temp\57A2.tmp"
    3⤵
    PID:2728
  - - C:\Users\Admin\AppData\Local\Temp\FC88.tmp
      "C:\Users\Admin\AppData\Local\Temp\FC88.tmp"
      4⤵
      PID:1684
- - C:\Users\Admin\AppData\Local\Temp\895B.tmp
    "C:\Users\Admin\AppData\Local\Temp\895B.tmp"
    3⤵
    PID:408
  - - C:\Users\Admin\AppData\Local\Temp\899A.tmp
      "C:\Users\Admin\AppData\Local\Temp\899A.tmp"
      4⤵
      PID:2488
    - - C:\Users\Admin\AppData\Local\Temp\A979.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A979.tmp"
        5⤵
        
        PID:2132

C:\Users\Admin\AppData\Local\Temp\56A8.tmp
"C:\Users\Admin\AppData\Local\Temp\56A8.tmp"
1⤵
PID:1404
- C:\Users\Admin\AppData\Local\Temp\97FB.tmp
  "C:\Users\Admin\AppData\Local\Temp\97FB.tmp"
  2⤵
  PID:800
- - C:\Users\Admin\AppData\Local\Temp\A7C.tmp
    "C:\Users\Admin\AppData\Local\Temp\A7C.tmp"
    3⤵
    PID:1148
  - - C:\Users\Admin\AppData\Local\Temp\ABA.tmp
      "C:\Users\Admin\AppData\Local\Temp\ABA.tmp"
      4⤵
      PID:1036

C:\Users\Admin\AppData\Local\Temp\587C.tmp
"C:\Users\Admin\AppData\Local\Temp\587C.tmp"
1⤵
PID:1708
- C:\Users\Admin\AppData\Local\Temp\58BA.tmp
  "C:\Users\Admin\AppData\Local\Temp\58BA.tmp"
  2⤵
  PID:320
- - C:\Users\Admin\AppData\Local\Temp\5928.tmp
    "C:\Users\Admin\AppData\Local\Temp\5928.tmp"
    3⤵
    PID:1724
  - - C:\Users\Admin\AppData\Local\Temp\5976.tmp
      "C:\Users\Admin\AppData\Local\Temp\5976.tmp"
      4⤵
      PID:804
    - - C:\Users\Admin\AppData\Local\Temp\59C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59C4.tmp"
        5⤵
        
        PID:2780
      - C:\Users\Admin\AppData\Local\Temp\5A02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A02.tmp"
        6⤵
        
        PID:1624
        
        C:\Users\Admin\AppData\Local\Temp\5A40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A40.tmp"
        7⤵
        
        PID:876
        
        C:\Users\Admin\AppData\Local\Temp\5A7F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A7F.tmp"
        8⤵
        
        PID:2128
        
        C:\Users\Admin\AppData\Local\Temp\5ABD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5ABD.tmp"
        9⤵
        
        PID:2968
        
        C:\Users\Admin\AppData\Local\Temp\5B0B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B0B.tmp"
        10⤵
        
        PID:1972
        
        C:\Users\Admin\AppData\Local\Temp\5B69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B69.tmp"
        11⤵
        
        PID:3048
        
        C:\Users\Admin\AppData\Local\Temp\5BB7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5BB7.tmp"
        12⤵
        
        PID:884
        
        C:\Users\Admin\AppData\Local\Temp\5C05.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C05.tmp"
        13⤵
        
        PID:1800
        
        C:\Users\Admin\AppData\Local\Temp\5C53.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C53.tmp"
        14⤵
        
        PID:1484
        
        C:\Users\Admin\AppData\Local\Temp\8D90.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D90.tmp"
        15⤵
        
        PID:1432
        
        C:\Users\Admin\AppData\Local\Temp\9C8D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C8D.tmp"
        15⤵
        
        PID:1432
        
        C:\Users\Admin\AppData\Local\Temp\9CCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9CCC.tmp"
        16⤵
        
        PID:1008
        
        C:\Users\Admin\AppData\Local\Temp\ADAD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ADAD.tmp"
        16⤵
        
        PID:2708
        
        C:\Users\Admin\AppData\Local\Temp\ADEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ADEB.tmp"
        17⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\AE39.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE39.tmp"
        18⤵
        
        PID:2076
        
        C:\Users\Admin\AppData\Local\Temp\AE87.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE87.tmp"
        19⤵
        
        PID:1244
        
        C:\Users\Admin\AppData\Local\Temp\AED5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AED5.tmp"
        20⤵
        
        PID:1536
        
        C:\Users\Admin\AppData\Local\Temp\BEAD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BEAD.tmp"
        21⤵
        
        PID:2764
        
        C:\Users\Admin\AppData\Local\Temp\BEDC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BEDC.tmp"
        22⤵
        
        PID:2684
        
        C:\Users\Admin\AppData\Local\Temp\BF2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF2A.tmp"
        23⤵
        
        PID:2484
        
        C:\Users\Admin\AppData\Local\Temp\CF12.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF12.tmp"
        24⤵
        
        PID:2688
        
        C:\Users\Admin\AppData\Local\Temp\CF50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF50.tmp"
        25⤵
        
        PID:2388
        
        C:\Users\Admin\AppData\Local\Temp\CFAE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFAE.tmp"
        26⤵
        
        PID:3004
        
        C:\Users\Admin\AppData\Local\Temp\CFEC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFEC.tmp"
        27⤵
        
        PID:2112
        
        C:\Users\Admin\AppData\Local\Temp\D03A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D03A.tmp"
        28⤵
        
        PID:1552
        
        C:\Users\Admin\AppData\Local\Temp\E1D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1D7.tmp"
        27⤵
        
        PID:2860
        
        C:\Users\Admin\AppData\Local\Temp\E215.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E215.tmp"
        28⤵
        
        PID:1744
        
        C:\Users\Admin\AppData\Local\Temp\CEE3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CEE3.tmp"
        23⤵
        
        PID:2484
        
        C:\Users\Admin\AppData\Local\Temp\E11C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E11C.tmp"
        24⤵
        
        PID:2836
        
        C:\Users\Admin\AppData\Local\Temp\E15A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E15A.tmp"
        25⤵
        
        PID:2604
        
        C:\Users\Admin\AppData\Local\Temp\E198.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E198.tmp"
        26⤵
        
        PID:3004
        
        C:\Users\Admin\AppData\Local\Temp\CEB4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CEB4.tmp"
        22⤵
        
        PID:2684
        
        C:\Users\Admin\AppData\Local\Temp\BE7F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE7F.tmp"
        20⤵
        
        PID:1536
        
        C:\Users\Admin\AppData\Local\Temp\BDD3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BDD3.tmp"
        17⤵
        
        PID:2596
        
        C:\Users\Admin\AppData\Local\Temp\7D6A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D6A.tmp"
        13⤵
        
        PID:1452
        
        C:\Users\Admin\AppData\Local\Temp\7DA8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DA8.tmp"
        14⤵
        
        PID:1672
        
        C:\Users\Admin\AppData\Local\Temp\EE16.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE16.tmp"
        15⤵
        
        PID:2992
        
        C:\Users\Admin\AppData\Local\Temp\8BDB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8BDB.tmp"
        7⤵
        
        PID:776
        
        C:\Users\Admin\AppData\Local\Temp\9B36.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9B36.tmp"
        8⤵
        
        PID:2404
  - - C:\Users\Admin\AppData\Local\Temp\BA1B.tmp
      "C:\Users\Admin\AppData\Local\Temp\BA1B.tmp"
      4⤵
      PID:2508

C:\Users\Admin\AppData\Local\Temp\57D0.tmp
"C:\Users\Admin\AppData\Local\Temp\57D0.tmp"
1⤵
PID:1240

C:\Users\Admin\AppData\Local\Temp\5C91.tmp
"C:\Users\Admin\AppData\Local\Temp\5C91.tmp"
1⤵
PID:872
- C:\Users\Admin\AppData\Local\Temp\5CD0.tmp
  "C:\Users\Admin\AppData\Local\Temp\5CD0.tmp"
  2⤵
  PID:1644
- - C:\Users\Admin\AppData\Local\Temp\DE2F.tmp
    "C:\Users\Admin\AppData\Local\Temp\DE2F.tmp"
    3⤵
    PID:1484
  - - C:\Users\Admin\AppData\Local\Temp\DE6D.tmp
      "C:\Users\Admin\AppData\Local\Temp\DE6D.tmp"
      4⤵
      PID:1524
- C:\Users\Admin\AppData\Local\Temp\AD7E.tmp
  "C:\Users\Admin\AppData\Local\Temp\AD7E.tmp"
  2⤵
  PID:1432

C:\Users\Admin\AppData\Local\Temp\60B6.tmp
"C:\Users\Admin\AppData\Local\Temp\60B6.tmp"
1⤵
PID:3036

C:\Users\Admin\AppData\Local\Temp\6087.tmp
"C:\Users\Admin\AppData\Local\Temp\6087.tmp"
1⤵
PID:2620

C:\Users\Admin\AppData\Local\Temp\6058.tmp
"C:\Users\Admin\AppData\Local\Temp\6058.tmp"
1⤵
PID:2352
- C:\Users\Admin\AppData\Local\Temp\71B7.tmp
  "C:\Users\Admin\AppData\Local\Temp\71B7.tmp"
  2⤵
  PID:2292
- - C:\Users\Admin\AppData\Local\Temp\71F5.tmp
    "C:\Users\Admin\AppData\Local\Temp\71F5.tmp"
    3⤵
    PID:2860

C:\Users\Admin\AppData\Local\Temp\62C8.tmp
"C:\Users\Admin\AppData\Local\Temp\62C8.tmp"
1⤵
PID:1424
- C:\Users\Admin\AppData\Local\Temp\6307.tmp
  "C:\Users\Admin\AppData\Local\Temp\6307.tmp"
  2⤵
  PID:2852
- - C:\Users\Admin\AppData\Local\Temp\7484.tmp
    "C:\Users\Admin\AppData\Local\Temp\7484.tmp"
    3⤵
    PID:1060
  - - C:\Users\Admin\AppData\Local\Temp\74C3.tmp
      "C:\Users\Admin\AppData\Local\Temp\74C3.tmp"
      4⤵
      PID:2776
    - - C:\Users\Admin\AppData\Local\Temp\7501.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7501.tmp"
        5⤵
        
        PID:1368

C:\Users\Admin\AppData\Local\Temp\6384.tmp
"C:\Users\Admin\AppData\Local\Temp\6384.tmp"
1⤵
PID:2776
- C:\Users\Admin\AppData\Local\Temp\63C2.tmp
  "C:\Users\Admin\AppData\Local\Temp\63C2.tmp"
  2⤵
  PID:1692
- - C:\Users\Admin\AppData\Local\Temp\E560.tmp
    "C:\Users\Admin\AppData\Local\Temp\E560.tmp"
    3⤵
    PID:2028
  - - C:\Users\Admin\AppData\Local\Temp\E59E.tmp
      "C:\Users\Admin\AppData\Local\Temp\E59E.tmp"
      4⤵
      PID:2568
    - - C:\Users\Admin\AppData\Local\Temp\E5EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5EC.tmp"
        5⤵
        
        PID:2804
      - C:\Users\Admin\AppData\Local\Temp\E62A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E62A.tmp"
        6⤵
        
        PID:2068
        
        C:\Users\Admin\AppData\Local\Temp\E688.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E688.tmp"
        7⤵
        
        PID:2172
        
        C:\Users\Admin\AppData\Local\Temp\E6E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E6E6.tmp"
        8⤵
        
        PID:1844
        
        C:\Users\Admin\AppData\Local\Temp\E734.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E734.tmp"
        9⤵
        
        PID:2868
        
        C:\Users\Admin\AppData\Local\Temp\E782.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E782.tmp"
        10⤵
        
        PID:2732

C:\Users\Admin\AppData\Local\Temp\6401.tmp
"C:\Users\Admin\AppData\Local\Temp\6401.tmp"
1⤵
PID:2028
- C:\Users\Admin\AppData\Local\Temp\643F.tmp
  "C:\Users\Admin\AppData\Local\Temp\643F.tmp"
  2⤵
  PID:1908

C:\Users\Admin\AppData\Local\Temp\6345.tmp
"C:\Users\Admin\AppData\Local\Temp\6345.tmp"
1⤵
PID:1060

C:\Users\Admin\AppData\Local\Temp\624C.tmp
"C:\Users\Admin\AppData\Local\Temp\624C.tmp"
1⤵
PID:2848
- C:\Users\Admin\AppData\Local\Temp\92DD.tmp
  "C:\Users\Admin\AppData\Local\Temp\92DD.tmp"
  2⤵
  PID:344
- - C:\Users\Admin\AppData\Local\Temp\A257.tmp
    "C:\Users\Admin\AppData\Local\Temp\A257.tmp"
    3⤵
    PID:1572

C:\Users\Admin\AppData\Local\Temp\621D.tmp
"C:\Users\Admin\AppData\Local\Temp\621D.tmp"
1⤵
PID:1020

C:\Users\Admin\AppData\Local\Temp\64CB.tmp
"C:\Users\Admin\AppData\Local\Temp\64CB.tmp"
1⤵
PID:2236
- C:\Users\Admin\AppData\Local\Temp\650A.tmp
  "C:\Users\Admin\AppData\Local\Temp\650A.tmp"
  2⤵
  PID:2008
- C:\Users\Admin\AppData\Local\Temp\F7F6.tmp
  "C:\Users\Admin\AppData\Local\Temp\F7F6.tmp"
  2⤵
  PID:1704
- - C:\Users\Admin\AppData\Local\Temp\F834.tmp
    "C:\Users\Admin\AppData\Local\Temp\F834.tmp"
    3⤵
    PID:2068
  - - C:\Users\Admin\AppData\Local\Temp\F882.tmp
      "C:\Users\Admin\AppData\Local\Temp\F882.tmp"
      4⤵
      PID:2172
    - - C:\Users\Admin\AppData\Local\Temp\F8E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8E0.tmp"
        5⤵
        
        PID:2240
      - C:\Users\Admin\AppData\Local\Temp\F92E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F92E.tmp"
        6⤵
        
        PID:2868
        
        C:\Users\Admin\AppData\Local\Temp\F97C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F97C.tmp"
        7⤵
        
        PID:2184
  - - C:\Users\Admin\AppData\Local\Temp\770.tmp
      "C:\Users\Admin\AppData\Local\Temp\770.tmp"
      4⤵
      PID:2064

C:\Users\Admin\AppData\Local\Temp\65B5.tmp
"C:\Users\Admin\AppData\Local\Temp\65B5.tmp"
1⤵
PID:2060
- C:\Users\Admin\AppData\Local\Temp\65F4.tmp
  "C:\Users\Admin\AppData\Local\Temp\65F4.tmp"
  2⤵
  PID:2004
- - C:\Users\Admin\AppData\Local\Temp\6632.tmp
    "C:\Users\Admin\AppData\Local\Temp\6632.tmp"
    3⤵
    PID:484
  - - C:\Users\Admin\AppData\Local\Temp\6671.tmp
      "C:\Users\Admin\AppData\Local\Temp\6671.tmp"
      4⤵
      PID:2052
    - - C:\Users\Admin\AppData\Local\Temp\66AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\66AF.tmp"
        5⤵
        
        PID:300
      - C:\Users\Admin\AppData\Local\Temp\77FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77FD.tmp"
        6⤵
        
        PID:636
        
        C:\Users\Admin\AppData\Local\Temp\783C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\783C.tmp"
        7⤵
        
        PID:1592
        
        C:\Users\Admin\AppData\Local\Temp\787A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\787A.tmp"
        8⤵
        
        PID:2940
        
        C:\Users\Admin\AppData\Local\Temp\78C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78C8.tmp"
        9⤵
        
        PID:1128
        
        C:\Users\Admin\AppData\Local\Temp\7907.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7907.tmp"
        10⤵
        
        PID:2044
        
        C:\Users\Admin\AppData\Local\Temp\7945.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7945.tmp"
        11⤵
        
        PID:2104
        
        C:\Users\Admin\AppData\Local\Temp\B7CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7CB.tmp"
        11⤵
        
        PID:1788
        
        C:\Users\Admin\AppData\Local\Temp\B76D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B76D.tmp"
        9⤵
        
        PID:584
        
        C:\Users\Admin\AppData\Local\Temp\8871.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8871.tmp"
        8⤵
        
        PID:800
        
        C:\Users\Admin\AppData\Local\Temp\982A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\982A.tmp"
        9⤵
        
        PID:1680
        
        C:\Users\Admin\AppData\Local\Temp\8843.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8843.tmp"
        7⤵
        
        PID:1592
  - - C:\Users\Admin\AppData\Local\Temp\7790.tmp
      "C:\Users\Admin\AppData\Local\Temp\7790.tmp"
      4⤵
      PID:584

C:\Users\Admin\AppData\Local\Temp\648D.tmp
"C:\Users\Admin\AppData\Local\Temp\648D.tmp"
1⤵
PID:2016
- C:\Users\Admin\AppData\Local\Temp\75FB.tmp
  "C:\Users\Admin\AppData\Local\Temp\75FB.tmp"
  2⤵
  PID:2172

C:\Users\Admin\AppData\Local\Temp\672C.tmp
"C:\Users\Admin\AppData\Local\Temp\672C.tmp"
1⤵
PID:928
- C:\Users\Admin\AppData\Local\Temp\676A.tmp
  "C:\Users\Admin\AppData\Local\Temp\676A.tmp"
  2⤵
  PID:1408

C:\Users\Admin\AppData\Local\Temp\67D7.tmp
"C:\Users\Admin\AppData\Local\Temp\67D7.tmp"
1⤵
PID:2712
- C:\Users\Admin\AppData\Local\Temp\6816.tmp
  "C:\Users\Admin\AppData\Local\Temp\6816.tmp"
  2⤵
  PID:1788
- - C:\Users\Admin\AppData\Local\Temp\B7F9.tmp
    "C:\Users\Admin\AppData\Local\Temp\B7F9.tmp"
    3⤵
    PID:1404
  - - C:\Users\Admin\AppData\Local\Temp\C88D.tmp
      "C:\Users\Admin\AppData\Local\Temp\C88D.tmp"
      4⤵
      PID:2400

C:\Users\Admin\AppData\Local\Temp\66ED.tmp
"C:\Users\Admin\AppData\Local\Temp\66ED.tmp"
1⤵
PID:2616

C:\Users\Admin\AppData\Local\Temp\690F.tmp
"C:\Users\Admin\AppData\Local\Temp\690F.tmp"
1⤵
PID:2516
- C:\Users\Admin\AppData\Local\Temp\694E.tmp
  "C:\Users\Admin\AppData\Local\Temp\694E.tmp"
  2⤵
  PID:1508
- - C:\Users\Admin\AppData\Local\Temp\698C.tmp
    "C:\Users\Admin\AppData\Local\Temp\698C.tmp"
    3⤵
    PID:2080
- C:\Users\Admin\AppData\Local\Temp\9924.tmp
  "C:\Users\Admin\AppData\Local\Temp\9924.tmp"
  2⤵
  PID:2132
- - C:\Users\Admin\AppData\Local\Temp\9962.tmp
    "C:\Users\Admin\AppData\Local\Temp\9962.tmp"
    3⤵
    PID:2432
  - - C:\Users\Admin\AppData\Local\Temp\A9E6.tmp
      "C:\Users\Admin\AppData\Local\Temp\A9E6.tmp"
      4⤵
      PID:2508
    - - C:\Users\Admin\AppData\Local\Temp\AA43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA43.tmp"
        5⤵
        
        PID:888
      - C:\Users\Admin\AppData\Local\Temp\AA82.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA82.tmp"
        6⤵
        
        PID:1288
        
        C:\Users\Admin\AppData\Local\Temp\AAC0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AAC0.tmp"
        7⤵
        
        PID:1088
        
        C:\Users\Admin\AppData\Local\Temp\CA41.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA41.tmp"
        7⤵
        
        PID:2120
        
        C:\Users\Admin\AppData\Local\Temp\CA80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA80.tmp"
        8⤵
        
        PID:1940
        
        C:\Users\Admin\AppData\Local\Temp\CABE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CABE.tmp"
        9⤵
        
        PID:1972
    - - C:\Users\Admin\AppData\Local\Temp\BA5A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA5A.tmp"
        5⤵
        
        PID:376
      - C:\Users\Admin\AppData\Local\Temp\CA03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA03.tmp"
        6⤵
        
        PID:1288
- - C:\Users\Admin\AppData\Local\Temp\A9A7.tmp
    "C:\Users\Admin\AppData\Local\Temp\A9A7.tmp"
    3⤵
    PID:2432

C:\Users\Admin\AppData\Local\Temp\6C79.tmp
"C:\Users\Admin\AppData\Local\Temp\6C79.tmp"
1⤵
PID:1964

C:\Users\Admin\AppData\Local\Temp\6C4A.tmp
"C:\Users\Admin\AppData\Local\Temp\6C4A.tmp"
1⤵
PID:1608

C:\Users\Admin\AppData\Local\Temp\6C0C.tmp
"C:\Users\Admin\AppData\Local\Temp\6C0C.tmp"
1⤵
PID:2164

C:\Users\Admin\AppData\Local\Temp\6E0F.tmp
"C:\Users\Admin\AppData\Local\Temp\6E0F.tmp"
1⤵
PID:1212
- C:\Users\Admin\AppData\Local\Temp\6E4D.tmp
  "C:\Users\Admin\AppData\Local\Temp\6E4D.tmp"
  2⤵
  PID:2744

C:\Users\Admin\AppData\Local\Temp\6E8B.tmp
"C:\Users\Admin\AppData\Local\Temp\6E8B.tmp"
1⤵
PID:704
- C:\Users\Admin\AppData\Local\Temp\6ECA.tmp
  "C:\Users\Admin\AppData\Local\Temp\6ECA.tmp"
  2⤵
  PID:1496
- - C:\Users\Admin\AppData\Local\Temp\6F37.tmp
    "C:\Users\Admin\AppData\Local\Temp\6F37.tmp"
    3⤵
    PID:2484
  - - C:\Users\Admin\AppData\Local\Temp\6F85.tmp
      "C:\Users\Admin\AppData\Local\Temp\6F85.tmp"
      4⤵
      PID:2836
    - - C:\Users\Admin\AppData\Local\Temp\7002.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7002.tmp"
        5⤵
        
        PID:2680
      - C:\Users\Admin\AppData\Local\Temp\7040.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7040.tmp"
        6⤵
        
        PID:2800
        
        C:\Users\Admin\AppData\Local\Temp\709E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\709E.tmp"
        7⤵
        
        PID:2572
        
        C:\Users\Admin\AppData\Local\Temp\70EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\70EC.tmp"
        8⤵
        
        PID:2672
        
        C:\Users\Admin\AppData\Local\Temp\7149.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7149.tmp"
        9⤵
        
        PID:2436
        
        C:\Users\Admin\AppData\Local\Temp\7188.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7188.tmp"
        10⤵
        
        PID:2352
        
        C:\Users\Admin\AppData\Local\Temp\A007.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A007.tmp"
        11⤵
        
        PID:3008
        
        C:\Users\Admin\AppData\Local\Temp\A045.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A045.tmp"
        12⤵
        
        PID:2624
        
        C:\Users\Admin\AppData\Local\Temp\91B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\91B5.tmp"
        13⤵
        
        PID:2904
        
        C:\Users\Admin\AppData\Local\Temp\B1D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B1D2.tmp"
        13⤵
        
        PID:2900
        
        C:\Users\Admin\AppData\Local\Temp\C13D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C13D.tmp"
        12⤵
        
        PID:2624
  - - C:\Users\Admin\AppData\Local\Temp\9E81.tmp
      "C:\Users\Admin\AppData\Local\Temp\9E81.tmp"
      4⤵
      PID:2836
    - - C:\Users\Admin\AppData\Local\Temp\9EBF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9EBF.tmp"
        5⤵
        
        PID:2576
      - C:\Users\Admin\AppData\Local\Temp\B03C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B03C.tmp"
        6⤵
        
        PID:1444
        
        C:\Users\Admin\AppData\Local\Temp\B07B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B07B.tmp"
        7⤵
        
        PID:2112
        
        C:\Users\Admin\AppData\Local\Temp\C053.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C053.tmp"
        8⤵
        
        PID:2580
        
        C:\Users\Admin\AppData\Local\Temp\C081.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C081.tmp"
        9⤵
        
        PID:2640
        
        C:\Users\Admin\AppData\Local\Temp\C0CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0CF.tmp"
        10⤵
        
        PID:2268
        
        C:\Users\Admin\AppData\Local\Temp\D0B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D0B7.tmp"
        10⤵
        
        PID:2268
        
        C:\Users\Admin\AppData\Local\Temp\D0E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D0E6.tmp"
        11⤵
        
        PID:3008
        
        C:\Users\Admin\AppData\Local\Temp\D143.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D143.tmp"
        12⤵
        
        PID:2624
        
        C:\Users\Admin\AppData\Local\Temp\D182.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D182.tmp"
        13⤵
        
        PID:2900
        
        C:\Users\Admin\AppData\Local\Temp\D1C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1C0.tmp"
        14⤵
        
        PID:2984
        
        C:\Users\Admin\AppData\Local\Temp\D21E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D21E.tmp"
        15⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\D27B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D27B.tmp"
        16⤵
        
        PID:2324
        
        C:\Users\Admin\AppData\Local\Temp\D2BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2BA.tmp"
        17⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\D308.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D308.tmp"
        18⤵
        
        PID:1584
        
        C:\Users\Admin\AppData\Local\Temp\D346.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D346.tmp"
        19⤵
        
        PID:1032
        
        C:\Users\Admin\AppData\Local\Temp\D394.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D394.tmp"
        20⤵
        
        PID:2844
        
        C:\Users\Admin\AppData\Local\Temp\D3E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D3E2.tmp"
        21⤵
        
        PID:2568
        
        C:\Users\Admin\AppData\Local\Temp\D440.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D440.tmp"
        22⤵
        
        PID:2804
        
        C:\Users\Admin\AppData\Local\Temp\D47E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D47E.tmp"
        23⤵
        
        PID:2196
        
        C:\Users\Admin\AppData\Local\Temp\D4DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D4DC.tmp"
        24⤵
        
        PID:2216
        
        C:\Users\Admin\AppData\Local\Temp\D52A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D52A.tmp"
        25⤵
        
        PID:1368
        
        C:\Users\Admin\AppData\Local\Temp\D5B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D5B6.tmp"
        26⤵
        
        PID:1632
        
        C:\Users\Admin\AppData\Local\Temp\D5F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D5F5.tmp"
        27⤵
        
        PID:2184
        
        C:\Users\Admin\AppData\Local\Temp\F9AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9AA.tmp"
        28⤵
        
        PID:2176
        
        C:\Users\Admin\AppData\Local\Temp\F5B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5B4.tmp"
        12⤵
        
        PID:2624
        
        C:\Users\Admin\AppData\Local\Temp\F5E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5E3.tmp"
        13⤵
        
        PID:2900
        
        C:\Users\Admin\AppData\Local\Temp\F612.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F612.tmp"
        14⤵
        
        PID:304
        
        C:\Users\Admin\AppData\Local\Temp\510.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\510.tmp"
        13⤵
        
        PID:1612
        
        C:\Users\Admin\AppData\Local\Temp\C024.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C024.tmp"
        7⤵
        
        PID:2112

C:\Users\Admin\AppData\Local\Temp\6DA1.tmp
"C:\Users\Admin\AppData\Local\Temp\6DA1.tmp"
1⤵
PID:3024
- C:\Users\Admin\AppData\Local\Temp\BD56.tmp
  "C:\Users\Admin\AppData\Local\Temp\BD56.tmp"
  2⤵
  PID:1432
- - C:\Users\Admin\AppData\Local\Temp\BD95.tmp
    "C:\Users\Admin\AppData\Local\Temp\BD95.tmp"
    3⤵
    PID:2708
  - - C:\Users\Admin\AppData\Local\Temp\CD6D.tmp
      "C:\Users\Admin\AppData\Local\Temp\CD6D.tmp"
      4⤵
      PID:2464

C:\Users\Admin\AppData\Local\Temp\7233.tmp
"C:\Users\Admin\AppData\Local\Temp\7233.tmp"
1⤵
PID:1568

C:\Users\Admin\AppData\Local\Temp\739A.tmp
"C:\Users\Admin\AppData\Local\Temp\739A.tmp"
1⤵
PID:1196
- C:\Users\Admin\AppData\Local\Temp\73D9.tmp
  "C:\Users\Admin\AppData\Local\Temp\73D9.tmp"
  2⤵
  PID:2524
- C:\Users\Admin\AppData\Local\Temp\4A2.tmp
  "C:\Users\Admin\AppData\Local\Temp\4A2.tmp"
  2⤵
  PID:2108

C:\Users\Admin\AppData\Local\Temp\7407.tmp
"C:\Users\Admin\AppData\Local\Temp\7407.tmp"
1⤵
PID:2668
- C:\Users\Admin\AppData\Local\Temp\7446.tmp
  "C:\Users\Admin\AppData\Local\Temp\7446.tmp"
  2⤵
  PID:2852
- - C:\Users\Admin\AppData\Local\Temp\848B.tmp
    "C:\Users\Admin\AppData\Local\Temp\848B.tmp"
    3⤵
    PID:1252
  - - C:\Users\Admin\AppData\Local\Temp\84C9.tmp
      "C:\Users\Admin\AppData\Local\Temp\84C9.tmp"
      4⤵
      PID:1548

C:\Users\Admin\AppData\Local\Temp\753F.tmp
"C:\Users\Admin\AppData\Local\Temp\753F.tmp"
1⤵
PID:2032
- C:\Users\Admin\AppData\Local\Temp\686.tmp
  "C:\Users\Admin\AppData\Local\Temp\686.tmp"
  2⤵
  PID:352

C:\Users\Admin\AppData\Local\Temp\77CF.tmp
"C:\Users\Admin\AppData\Local\Temp\77CF.tmp"
1⤵
PID:300

C:\Users\Admin\AppData\Local\Temp\7761.tmp
"C:\Users\Admin\AppData\Local\Temp\7761.tmp"
1⤵
PID:484
- C:\Users\Admin\AppData\Local\Temp\8787.tmp
  "C:\Users\Admin\AppData\Local\Temp\8787.tmp"
  2⤵
  PID:584
- - C:\Users\Admin\AppData\Local\Temp\87B6.tmp
    "C:\Users\Admin\AppData\Local\Temp\87B6.tmp"
    3⤵
    PID:300
  - - C:\Users\Admin\AppData\Local\Temp\8804.tmp
      "C:\Users\Admin\AppData\Local\Temp\8804.tmp"
      4⤵
      PID:636
    - - C:\Users\Admin\AppData\Local\Temp\97CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\97CD.tmp"
        5⤵
        
        PID:1404
  - - C:\Users\Admin\AppData\Local\Temp\979E.tmp
      "C:\Users\Admin\AppData\Local\Temp\979E.tmp"
      4⤵
      PID:636

C:\Users\Admin\AppData\Local\Temp\7733.tmp
"C:\Users\Admin\AppData\Local\Temp\7733.tmp"
1⤵
PID:2676

C:\Users\Admin\AppData\Local\Temp\7983.tmp
"C:\Users\Admin\AppData\Local\Temp\7983.tmp"
1⤵
PID:408
- C:\Users\Admin\AppData\Local\Temp\79C2.tmp
  "C:\Users\Admin\AppData\Local\Temp\79C2.tmp"
  2⤵
  PID:2400
- - C:\Users\Admin\AppData\Local\Temp\C8BB.tmp
    "C:\Users\Admin\AppData\Local\Temp\C8BB.tmp"
    3⤵
    PID:2308

C:\Users\Admin\AppData\Local\Temp\7BE4.tmp
"C:\Users\Admin\AppData\Local\Temp\7BE4.tmp"
1⤵
PID:944

C:\Users\Admin\AppData\Local\Temp\7BA5.tmp
"C:\Users\Admin\AppData\Local\Temp\7BA5.tmp"
1⤵
PID:1580
- C:\Users\Admin\AppData\Local\Temp\C9D4.tmp
  "C:\Users\Admin\AppData\Local\Temp\C9D4.tmp"
  2⤵
  PID:376
- - C:\Users\Admin\AppData\Local\Temp\DBDE.tmp
    "C:\Users\Admin\AppData\Local\Temp\DBDE.tmp"
    3⤵
    PID:2276
  - - C:\Users\Admin\AppData\Local\Temp\DC1C.tmp
      "C:\Users\Admin\AppData\Local\Temp\DC1C.tmp"
      4⤵
      PID:288

C:\Users\Admin\AppData\Local\Temp\7E15.tmp
"C:\Users\Admin\AppData\Local\Temp\7E15.tmp"
1⤵
PID:2088

C:\Users\Admin\AppData\Local\Temp\82A7.tmp
"C:\Users\Admin\AppData\Local\Temp\82A7.tmp"
1⤵
PID:2100

C:\Users\Admin\AppData\Local\Temp\8382.tmp
"C:\Users\Admin\AppData\Local\Temp\8382.tmp"
1⤵
PID:1584
- C:\Users\Admin\AppData\Local\Temp\83C0.tmp
  "C:\Users\Admin\AppData\Local\Temp\83C0.tmp"
  2⤵
  PID:2340
- C:\Users\Admin\AppData\Local\Temp\934A.tmp
  "C:\Users\Admin\AppData\Local\Temp\934A.tmp"
  2⤵
  PID:2428
- - C:\Users\Admin\AppData\Local\Temp\9389.tmp
    "C:\Users\Admin\AppData\Local\Temp\9389.tmp"
    3⤵
    PID:2036

C:\Users\Admin\AppData\Local\Temp\845C.tmp
"C:\Users\Admin\AppData\Local\Temp\845C.tmp"
1⤵
PID:2852
- C:\Users\Admin\AppData\Local\Temp\F6BE.tmp
  "C:\Users\Admin\AppData\Local\Temp\F6BE.tmp"
  2⤵
  PID:3012
- - C:\Users\Admin\AppData\Local\Temp\F6EC.tmp
    "C:\Users\Admin\AppData\Local\Temp\F6EC.tmp"
    3⤵
    PID:1584
  - - C:\Users\Admin\AppData\Local\Temp\F74A.tmp
      "C:\Users\Admin\AppData\Local\Temp\F74A.tmp"
      4⤵
      PID:1692
    - - C:\Users\Admin\AppData\Local\Temp\F788.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F788.tmp"
        5⤵
        
        PID:352
      - C:\Users\Admin\AppData\Local\Temp\6B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B5.tmp"
        6⤵
        
        PID:2236

C:\Users\Admin\AppData\Local\Temp\842D.tmp
"C:\Users\Admin\AppData\Local\Temp\842D.tmp"
1⤵
PID:1232
- C:\Users\Admin\AppData\Local\Temp\9405.tmp
  "C:\Users\Admin\AppData\Local\Temp\9405.tmp"
  2⤵
  PID:2456
- - C:\Users\Admin\AppData\Local\Temp\9444.tmp
    "C:\Users\Admin\AppData\Local\Temp\9444.tmp"
    3⤵
    PID:1848

C:\Users\Admin\AppData\Local\Temp\8601.tmp
"C:\Users\Admin\AppData\Local\Temp\8601.tmp"
1⤵
PID:2200
- C:\Users\Admin\AppData\Local\Temp\8630.tmp
  "C:\Users\Admin\AppData\Local\Temp\8630.tmp"
  2⤵
  PID:1004
- - C:\Users\Admin\AppData\Local\Temp\866F.tmp
    "C:\Users\Admin\AppData\Local\Temp\866F.tmp"
    3⤵
    PID:2532
  - - C:\Users\Admin\AppData\Local\Temp\D662.tmp
      "C:\Users\Admin\AppData\Local\Temp\D662.tmp"
      4⤵
      PID:2176
    - - C:\Users\Admin\AppData\Local\Temp\D691.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D691.tmp"
        5⤵
        
        PID:628
      - C:\Users\Admin\AppData\Local\Temp\D6DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6DF.tmp"
        6⤵
        
        PID:2052
        
        C:\Users\Admin\AppData\Local\Temp\D72D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D72D.tmp"
        7⤵
        
        PID:764
        
        C:\Users\Admin\AppData\Local\Temp\D77B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D77B.tmp"
        8⤵
        
        PID:1840
        
        C:\Users\Admin\AppData\Local\Temp\D7E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7E8.tmp"
        9⤵
        
        PID:1712
        
        C:\Users\Admin\AppData\Local\Temp\D826.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D826.tmp"
        10⤵
        
        PID:684
        
        C:\Users\Admin\AppData\Local\Temp\D884.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D884.tmp"
        11⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\D8C2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D8C2.tmp"
        12⤵
        
        PID:2940
        
        C:\Users\Admin\AppData\Local\Temp\D901.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D901.tmp"
        13⤵
        
        PID:1148
        
        C:\Users\Admin\AppData\Local\Temp\D93F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D93F.tmp"
        14⤵
        
        PID:2044
        
        C:\Users\Admin\AppData\Local\Temp\D97D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D97D.tmp"
        15⤵
        
        PID:2380
        
        C:\Users\Admin\AppData\Local\Temp\D9CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D9CB.tmp"
        16⤵
        
        PID:1404
        
        C:\Users\Admin\AppData\Local\Temp\DA19.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA19.tmp"
        17⤵
        
        PID:1604
        
        C:\Users\Admin\AppData\Local\Temp\DA58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA58.tmp"
        18⤵
        
        PID:320
        
        C:\Users\Admin\AppData\Local\Temp\DAA6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DAA6.tmp"
        19⤵
        
        PID:3032
        
        C:\Users\Admin\AppData\Local\Temp\EA7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA7E.tmp"
        15⤵
        
        PID:2936
        
        C:\Users\Admin\AppData\Local\Temp\EA11.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA11.tmp"
        13⤵
        
        PID:2884
        
        C:\Users\Admin\AppData\Local\Temp\EA40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA40.tmp"
        14⤵
        
        PID:2044
        
        C:\Users\Admin\AppData\Local\Temp\E9E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9E2.tmp"
        12⤵
        
        PID:2940
        
        C:\Users\Admin\AppData\Local\Temp\954.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\954.tmp"
        10⤵
        
        PID:984
        
        C:\Users\Admin\AppData\Local\Temp\992.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\992.tmp"
        11⤵
        
        PID:1592
        
        C:\Users\Admin\AppData\Local\Temp\9D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D0.tmp"
        12⤵
        
        PID:2260
    - - C:\Users\Admin\AppData\Local\Temp\F9D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9D9.tmp"
        5⤵
        
        PID:596

C:\Users\Admin\AppData\Local\Temp\823A.tmp
"C:\Users\Admin\AppData\Local\Temp\823A.tmp"
1⤵
PID:2892

C:\Users\Admin\AppData\Local\Temp\89D8.tmp
"C:\Users\Admin\AppData\Local\Temp\89D8.tmp"
1⤵
PID:2132

C:\Users\Admin\AppData\Local\Temp\8C0A.tmp
"C:\Users\Admin\AppData\Local\Temp\8C0A.tmp"
1⤵
PID:2404
- C:\Users\Admin\AppData\Local\Temp\9B65.tmp
  "C:\Users\Admin\AppData\Local\Temp\9B65.tmp"
  2⤵
  PID:1440

C:\Users\Admin\AppData\Local\Temp\8DBF.tmp
"C:\Users\Admin\AppData\Local\Temp\8DBF.tmp"
1⤵
PID:1008
- C:\Users\Admin\AppData\Local\Temp\8DFD.tmp
  "C:\Users\Admin\AppData\Local\Temp\8DFD.tmp"
  2⤵
  PID:2980
- - C:\Users\Admin\AppData\Local\Temp\9D29.tmp
    "C:\Users\Admin\AppData\Local\Temp\9D29.tmp"
    3⤵
    PID:1524
  - - C:\Users\Admin\AppData\Local\Temp\DEAC.tmp
      "C:\Users\Admin\AppData\Local\Temp\DEAC.tmp"
      4⤵
      PID:2056
- C:\Users\Admin\AppData\Local\Temp\9CFB.tmp
  "C:\Users\Admin\AppData\Local\Temp\9CFB.tmp"
  2⤵
  PID:2980

C:\Users\Admin\AppData\Local\Temp\8E7A.tmp
"C:\Users\Admin\AppData\Local\Temp\8E7A.tmp"
1⤵
PID:1244

C:\Users\Admin\AppData\Local\Temp\901F.tmp
"C:\Users\Admin\AppData\Local\Temp\901F.tmp"
1⤵
PID:2652

C:\Users\Admin\AppData\Local\Temp\95CA.tmp
"C:\Users\Admin\AppData\Local\Temp\95CA.tmp"
1⤵
PID:2180
- C:\Users\Admin\AppData\Local\Temp\9608.tmp
  "C:\Users\Admin\AppData\Local\Temp\9608.tmp"
  2⤵
  PID:1840
- - C:\Users\Admin\AppData\Local\Temp\A5E0.tmp
    "C:\Users\Admin\AppData\Local\Temp\A5E0.tmp"
    3⤵
    PID:1712
  - - C:\Users\Admin\AppData\Local\Temp\B693.tmp
      "C:\Users\Admin\AppData\Local\Temp\B693.tmp"
      4⤵
      PID:684
    - - C:\Users\Admin\AppData\Local\Temp\B6D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B6D1.tmp"
        5⤵
        
        PID:2676
      - C:\Users\Admin\AppData\Local\Temp\B72F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B72F.tmp"
        6⤵
        
        PID:2940
        
        C:\Users\Admin\AppData\Local\Temp\C7A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C7A3.tmp"
        7⤵
        
        PID:1148

C:\Users\Admin\AppData\Local\Temp\9A0E.tmp
"C:\Users\Admin\AppData\Local\Temp\9A0E.tmp"
1⤵
PID:2276
- C:\Users\Admin\AppData\Local\Temp\9A4C.tmp
  "C:\Users\Admin\AppData\Local\Temp\9A4C.tmp"
  2⤵
  PID:1088
- - C:\Users\Admin\AppData\Local\Temp\AAFF.tmp
    "C:\Users\Admin\AppData\Local\Temp\AAFF.tmp"
    3⤵
    PID:332
- C:\Users\Admin\AppData\Local\Temp\BAC7.tmp
  "C:\Users\Admin\AppData\Local\Temp\BAC7.tmp"
  2⤵
  PID:1952
- - C:\Users\Admin\AppData\Local\Temp\BAF6.tmp
    "C:\Users\Admin\AppData\Local\Temp\BAF6.tmp"
    3⤵
    PID:332
  - - C:\Users\Admin\AppData\Local\Temp\BB53.tmp
      "C:\Users\Admin\AppData\Local\Temp\BB53.tmp"
      4⤵
      PID:1624
  - - C:\Users\Admin\AppData\Local\Temp\DC99.tmp
      "C:\Users\Admin\AppData\Local\Temp\DC99.tmp"
      4⤵
      PID:1972
    - - C:\Users\Admin\AppData\Local\Temp\DCE7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DCE7.tmp"
        5⤵
        
        PID:776
      - C:\Users\Admin\AppData\Local\Temp\DD35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD35.tmp"
        6⤵
        
        PID:1984
        
        C:\Users\Admin\AppData\Local\Temp\DD93.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD93.tmp"
        7⤵
        
        PID:908

C:\Users\Admin\AppData\Local\Temp\9A8B.tmp
"C:\Users\Admin\AppData\Local\Temp\9A8B.tmp"
1⤵
PID:2780

C:\Users\Admin\AppData\Local\Temp\9E04.tmp
"C:\Users\Admin\AppData\Local\Temp\9E04.tmp"
1⤵
PID:2696
- C:\Users\Admin\AppData\Local\Temp\9E42.tmp
  "C:\Users\Admin\AppData\Local\Temp\9E42.tmp"
  2⤵
  PID:2484
- - C:\Users\Admin\AppData\Local\Temp\AFBF.tmp
    "C:\Users\Admin\AppData\Local\Temp\AFBF.tmp"
    3⤵
    PID:2836
  - - C:\Users\Admin\AppData\Local\Temp\AFFE.tmp
      "C:\Users\Admin\AppData\Local\Temp\AFFE.tmp"
      4⤵
      PID:2576
  - - C:\Users\Admin\AppData\Local\Temp\BFA7.tmp
      "C:\Users\Admin\AppData\Local\Temp\BFA7.tmp"
      4⤵
      PID:2576
    - - C:\Users\Admin\AppData\Local\Temp\BFE5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BFE5.tmp"
        5⤵
        
        PID:1444
- C:\Users\Admin\AppData\Local\Temp\AF81.tmp
  "C:\Users\Admin\AppData\Local\Temp\AF81.tmp"
  2⤵
  PID:2484
- - C:\Users\Admin\AppData\Local\Temp\BF69.tmp
    "C:\Users\Admin\AppData\Local\Temp\BF69.tmp"
    3⤵
    PID:2836

C:\Users\Admin\AppData\Local\Temp\9DD5.tmp
"C:\Users\Admin\AppData\Local\Temp\9DD5.tmp"
1⤵
PID:2764
- C:\Users\Admin\AppData\Local\Temp\AF43.tmp
  "C:\Users\Admin\AppData\Local\Temp\AF43.tmp"
  2⤵
  PID:2696

C:\Users\Admin\AppData\Local\Temp\A0A3.tmp
"C:\Users\Admin\AppData\Local\Temp\A0A3.tmp"
1⤵
PID:2984
- C:\Users\Admin\AppData\Local\Temp\A100.tmp
  "C:\Users\Admin\AppData\Local\Temp\A100.tmp"
  2⤵
  PID:2996
- - C:\Users\Admin\AppData\Local\Temp\A17D.tmp
    "C:\Users\Admin\AppData\Local\Temp\A17D.tmp"
    3⤵
    PID:1732

C:\Users\Admin\AppData\Local\Temp\9473.tmp
"C:\Users\Admin\AppData\Local\Temp\9473.tmp"
1⤵
PID:1632
- C:\Users\Admin\AppData\Local\Temp\A41C.tmp
  "C:\Users\Admin\AppData\Local\Temp\A41C.tmp"
  2⤵
  PID:2184

C:\Users\Admin\AppData\Local\Temp\930C.tmp
"C:\Users\Admin\AppData\Local\Temp\930C.tmp"
1⤵
PID:1584

C:\Users\Admin\AppData\Local\Temp\9270.tmp
"C:\Users\Admin\AppData\Local\Temp\9270.tmp"
1⤵
PID:848
- C:\Users\Admin\AppData\Local\Temp\A1EA.tmp
  "C:\Users\Admin\AppData\Local\Temp\A1EA.tmp"
  2⤵
  PID:2108
- - C:\Users\Admin\AppData\Local\Temp\4E1.tmp
    "C:\Users\Admin\AppData\Local\Temp\4E1.tmp"
    3⤵
    PID:2624

C:\Users\Admin\AppData\Local\Temp\9241.tmp
"C:\Users\Admin\AppData\Local\Temp\9241.tmp"
1⤵
PID:1264

C:\Users\Admin\AppData\Local\Temp\9212.tmp
"C:\Users\Admin\AppData\Local\Temp\9212.tmp"
1⤵
PID:2996

C:\Users\Admin\AppData\Local\Temp\8FA2.tmp
"C:\Users\Admin\AppData\Local\Temp\8FA2.tmp"
1⤵
PID:2792

C:\Users\Admin\AppData\Local\Temp\8D23.tmp
"C:\Users\Admin\AppData\Local\Temp\8D23.tmp"
1⤵
PID:3044

C:\Users\Admin\AppData\Local\Temp\A1BB.tmp
"C:\Users\Admin\AppData\Local\Temp\A1BB.tmp"
1⤵
PID:848
- C:\Users\Admin\AppData\Local\Temp\B2EB.tmp
  "C:\Users\Admin\AppData\Local\Temp\B2EB.tmp"
  2⤵
  PID:1656
- - C:\Users\Admin\AppData\Local\Temp\C2D2.tmp
    "C:\Users\Admin\AppData\Local\Temp\C2D2.tmp"
    3⤵
    PID:1032
  - - C:\Users\Admin\AppData\Local\Temp\C311.tmp
      "C:\Users\Admin\AppData\Local\Temp\C311.tmp"
      4⤵
      PID:2844

C:\Users\Admin\AppData\Local\Temp\A45A.tmp
"C:\Users\Admin\AppData\Local\Temp\A45A.tmp"
1⤵
PID:348

C:\Users\Admin\AppData\Local\Temp\AD4F.tmp
"C:\Users\Admin\AppData\Local\Temp\AD4F.tmp"
1⤵
PID:872

C:\Users\Admin\AppData\Local\Temp\B319.tmp
"C:\Users\Admin\AppData\Local\Temp\B319.tmp"
1⤵
PID:1032
- C:\Users\Admin\AppData\Local\Temp\B358.tmp
  "C:\Users\Admin\AppData\Local\Temp\B358.tmp"
  2⤵
  PID:3012

C:\Users\Admin\AppData\Local\Temp\B387.tmp
"C:\Users\Admin\AppData\Local\Temp\B387.tmp"
1⤵
PID:2568

C:\Users\Admin\AppData\Local\Temp\B2BC.tmp
"C:\Users\Admin\AppData\Local\Temp\B2BC.tmp"
1⤵
PID:848
- C:\Users\Admin\AppData\Local\Temp\C294.tmp
  "C:\Users\Admin\AppData\Local\Temp\C294.tmp"
  2⤵
  PID:1656

C:\Users\Admin\AppData\Local\Temp\BE02.tmp
"C:\Users\Admin\AppData\Local\Temp\BE02.tmp"
1⤵
PID:2076
- C:\Users\Admin\AppData\Local\Temp\BE40.tmp
  "C:\Users\Admin\AppData\Local\Temp\BE40.tmp"
  2⤵
  PID:1244

C:\Users\Admin\AppData\Local\Temp\C10E.tmp
"C:\Users\Admin\AppData\Local\Temp\C10E.tmp"
1⤵
PID:3008

C:\Users\Admin\AppData\Local\Temp\C34F.tmp
"C:\Users\Admin\AppData\Local\Temp\C34F.tmp"
1⤵
PID:2568
- C:\Users\Admin\AppData\Local\Temp\C38D.tmp
  "C:\Users\Admin\AppData\Local\Temp\C38D.tmp"
  2⤵
  PID:2036

C:\Windows\system32\wbem\WMIADAP.EXE
wmiadap.exe /F /T /R
1⤵
PID:1852

C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe -Embedding
1⤵
PID:816

C:\Users\Admin\AppData\Local\Temp\DEEA.tmp
"C:\Users\Admin\AppData\Local\Temp\DEEA.tmp"
1⤵
PID:1432
- C:\Users\Admin\AppData\Local\Temp\DF28.tmp
  "C:\Users\Admin\AppData\Local\Temp\DF28.tmp"
  2⤵
  PID:704
- - C:\Users\Admin\AppData\Local\Temp\DF67.tmp
    "C:\Users\Admin\AppData\Local\Temp\DF67.tmp"
    3⤵
    PID:2464
  - - C:\Users\Admin\AppData\Local\Temp\DFA5.tmp
      "C:\Users\Admin\AppData\Local\Temp\DFA5.tmp"
      4⤵
      PID:2076
    - - C:\Users\Admin\AppData\Local\Temp\F1DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1DE.tmp"
        5⤵
        
        PID:2752
      - C:\Users\Admin\AppData\Local\Temp\F21C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F21C.tmp"
        6⤵
        
        PID:2376
        
        C:\Users\Admin\AppData\Local\Temp\F26A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F26A.tmp"
        7⤵
        
        PID:980
        
        C:\Users\Admin\AppData\Local\Temp\F299.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F299.tmp"
        8⤵
        
        PID:2620
        
        C:\Users\Admin\AppData\Local\Temp\F2D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2D7.tmp"
        9⤵
        
        PID:2484
        
        C:\Users\Admin\AppData\Local\Temp\F335.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F335.tmp"
        10⤵
        
        PID:3036
        
        C:\Users\Admin\AppData\Local\Temp\F383.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F383.tmp"
        11⤵
        
        PID:2604
        
        C:\Users\Admin\AppData\Local\Temp\F3E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3E0.tmp"
        12⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\F42E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F42E.tmp"
        13⤵
        
        PID:2112
        
        C:\Users\Admin\AppData\Local\Temp\F4BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4BB.tmp"
        14⤵
        
        PID:1744
        
        C:\Users\Admin\AppData\Local\Temp\F509.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F509.tmp"
        15⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\426.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\426.tmp"
        15⤵
        
        PID:1356
        
        C:\Users\Admin\AppData\Local\Temp\34B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\34B.tmp"
        11⤵
        
        PID:2352
        
        C:\Users\Admin\AppData\Local\Temp\38A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\38A.tmp"
        12⤵
        
        PID:2988
  - - C:\Users\Admin\AppData\Local\Temp\F19F.tmp
      "C:\Users\Admin\AppData\Local\Temp\F19F.tmp"
      4⤵
      PID:2076
    - - C:\Users\Admin\AppData\Local\Temp\1F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F4.tmp"
        5⤵
        
        PID:1536

C:\Users\Admin\AppData\Local\Temp\FCB6.tmp
"C:\Users\Admin\AppData\Local\Temp\FCB6.tmp"
1⤵
PID:408
- C:\Users\Admin\AppData\Local\Temp\BA4.tmp
  "C:\Users\Admin\AppData\Local\Temp\BA4.tmp"
  2⤵
  PID:340
- - C:\Users\Admin\AppData\Local\Temp\BE3.tmp
    "C:\Users\Admin\AppData\Local\Temp\BE3.tmp"
    3⤵
    PID:2872

C:\Users\Admin\AppData\Local\Temp\82B.tmp
"C:\Users\Admin\AppData\Local\Temp\82B.tmp"
1⤵
PID:1664
- C:\Users\Admin\AppData\Local\Temp\85A.tmp
  "C:\Users\Admin\AppData\Local\Temp\85A.tmp"
  2⤵
  PID:788

C:\Users\Admin\AppData\Local\Temp\AE9.tmp
"C:\Users\Admin\AppData\Local\Temp\AE9.tmp"
1⤵
PID:2284

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\1352.tmp

Filesize
99KB

MD5
73a789907fae24b590994cddabd7a31a

SHA1
f2641ddb282f50dab94fef4b00079bb449e45d2c

SHA256
550bf9785321cac6bbb75c0d2d5926265c3dee5e9309e2dcdd244e87c2ef4f8d

SHA512
bcd7fc5f85d998bdc3bb481d0c5e34d3234517360b37424facda16481555f3a5a5f0043efe3c53095b86889ebd3cf659a5ed2a8285857b0442cdfcc217c1e111

Download Submit
C:\Users\Admin\AppData\Local\Temp\1352.tmp

Filesize
488KB

MD5
a35ab515a1265da2a47f9657cfb4f886

SHA1
7c643e2bdb243e84cc7c093f2828dbde31bbec57

SHA256
18c454198ece5f17d39f4805df0347af69ce55b148981fc7d2bf7905ba2b36bb

SHA512
3eac55d8f1aef73f648bf0a597341c1f521a6c89ac70f875abf43aba3dbf8add061cafaeda9ae1aaac6724dd55ae20a5afab8350f6e316b4fa15725db9b466c9

Download Submit
C:\Users\Admin\AppData\Local\Temp\1390.tmp

Filesize
92KB

MD5
9508f0a03b873df2e238b9ed667ec563

SHA1
c65f85f219b0ce6a6f8779d37ddf67b57f6ca061

SHA256
ce014192893b902d3a2959cb4ab7cfc333569ca89e8c05acf662f041db39d6dc

SHA512
fda1afa5f3e667cb9bcd78d40aad10ade25831ce7165e97031c90259e2384bc1853df671e7f1013073eca871673559e95f662a638d9e5e2fbbe9f1fd482309a5

Download Submit
C:\Users\Admin\AppData\Local\Temp\1390.tmp

Filesize
488KB

MD5
3df49d90d3bc5c571332b2fa12167f1a

SHA1
71202015b341fe849e5db86856f01c37fe6aa515

SHA256
31f7386f7963bf70a3266f1fcf6b90ceaefb9723cbc690a69129d4b15491d75b

SHA512
732f4d60e56f069e46e0828e5960e95baeb48a54ff6442bca07d717de3e98fe51d465ab153a4b8a529612683a6558ba52549dc7e8a7d1c4e0f0d9c0e819d2aec

Download Submit
C:\Users\Admin\AppData\Local\Temp\13CF.tmp

Filesize
488KB

MD5
fb2ff5cdf8e730cba99831f6af02f77a

SHA1
9cad7d637bc0c7a5592202bf72e59f63ef74f001

SHA256
548c359e604be20c42e853a98907988956abee7d0687e90029000665d7756dda

SHA512
74e912de04dacb599163bd36750663e1b4c2e25b7d23ef645e8bce4d90f57e0d09c4a6b9bb060d5438302bc722445bc830b386533c6a65159e700fb6fb9bc606

Download Submit
C:\Users\Admin\AppData\Local\Temp\140D.tmp

Filesize
488KB

MD5
03470672518382e8d9ccd3d2d6bc3efe

SHA1
8888a033fe53f38897e2a71c32d986c6d8a25dd0

SHA256
5b1185398630421472967ebc88cf0ffd6956360c6ec7854d7c5fb0cb4f1292b3

SHA512
19478dbba02f6bb9ee87b8057b1808a4932bdc1f46a4c74775d1f51f7e1ac5390877bbbf0d37d14455baf750cd1afea71ddb32ce3d7a75bdf560ac1dd097ba84

Download Submit
C:\Users\Admin\AppData\Local\Temp\148A.tmp

Filesize
488KB

MD5
71ff9cf6d288d5f322cb8e2bada982f9

SHA1
768d70c7e7af3202868278859e9bb9601466624c

SHA256
7988cd351f0d46c7e6cbe27adc51b017acfe8dbc63d372ff58fd6748b9e0b5f9

SHA512
3704c2fdd549e7542876da6d479b0de7eeb6912303e31e7b08ed4a9c23f053c3ca96aee4ae0a0fcc3b4e5aa9e557fd4955a9889ba6dd18f3fd27d44dea563cd3

Download Submit
C:\Users\Admin\AppData\Local\Temp\14C8.tmp

Filesize
488KB

MD5
d3641ead3e234f84f32300aefa935ffd

SHA1
57183b499b054224216fdb6c920edb402b25e104

SHA256
39b4cc71309fff6dc65d267933d5b2248f327e19639b8bd6b4914cb8fab74ca6

SHA512
be74d2435517a85f4883ee9b77206ee08dd58054285060d6b9fcfe194c6cb32da0e3c147372f9b987a40d10d4ee317cf2a23c5f9e477b9237cff7ddafea9c1cf

Download Submit
C:\Users\Admin\AppData\Local\Temp\1516.tmp

Filesize
488KB

MD5
63c619b69d73a1e3bce763ef4db20cdd

SHA1
879873de39822d376c1545bb54d0e2eaa3ff30be

SHA256
1296f7c3617c3a5c3638703852f131fa59d35725fa8bfb9cd51e188e4fc34c36

SHA512
70c5072381f860ef96f93ced1ea4feb397be168900c47ebc4b0b252eff6a981846a81d870e29e303761e3df568402d785d2d4fc47a7b0fe5897f31677b25bbc7

Download Submit
C:\Users\Admin\AppData\Local\Temp\1555.tmp

Filesize
488KB

MD5
1c6bedfdaa5f48315219e855978bc43b

SHA1
9cc2a489056d767cea5f566358be02e5c5c4456a

SHA256
f3c9f42779d627e8dccc88dbe0a15f3f445705d41a62aaf40dfe1ee00525836d

SHA512
1edc5f470832058ade724c2653b750d7998c8ab8c8319616933dc398da28070f6979a21d55dd3ff690cf4a2581836ccdd4c8a468c03719c341a65d73cf7eba0b

Download Submit
C:\Users\Admin\AppData\Local\Temp\1593.tmp

Filesize
488KB

MD5
b5df3919cd0d2d49a47054f2bbeb82aa

SHA1
20d9bd9f6fedbf776d52cf55a0aec4d852b46354

SHA256
4ec2ba60f561cb1e18c2a311128e3f51c952c92608b451db665750510a252396

SHA512
7965e498a064c387bf02d95d39ec1e30fae469aad2b4734c41453e971a61c8759cda9baa2780f83b66ad556be41546d94c5d0ec018cb616db9bc646cd2121bd6

Download Submit
C:\Users\Admin\AppData\Local\Temp\15E1.tmp

Filesize
488KB

MD5
125a58904e521ef30354633349157aa9

SHA1
04b9230a260200a7ab72b9a23f976fec43f1608c

SHA256
dd756912e0f171a62e81a95dbe3e7b4d53f3dc046df79380427fdabbc1ddd780

SHA512
141a8896a7ed67838287c568f75da032b752808b7244ab5ff97e96b922468fdab269ee4704f9d252691438bd906a8ac80ce7e703c58fc4d4922be6b08da8f732

Download Submit
C:\Users\Admin\AppData\Local\Temp\1620.tmp

Filesize
488KB

MD5
31c100a219077aadb1331c5935e73240

SHA1
98148afd21751ff3dc9fe46dd72a0f3f6c40ce09

SHA256
f057598f8213d6b2a02e1cb4ba158ac1c0cda65fb2055e7158c7d2ed51d2a722

SHA512
7d29285c99263077bd83ae33198c4f987efaf96438c387c11e50423effd4e609ac9712f6aa52dbdc87237f93c1d8f156c3e87626eeae2c92edfc4aa157f9a6f5

Download Submit
C:\Users\Admin\AppData\Local\Temp\165E.tmp

Filesize
488KB

MD5
28297a0ffb7fd82f9afbee1b08d686e0

SHA1
eca628539c55dc147472a0e9b3ff235285c322f7

SHA256
a6301b6a98ed14f39971d9e9c590c2e35c2985338913ca6060dca9a8894b3e62

SHA512
333e1a93e7e61dac174c83f56d8a73ff6712512a43449e579024fea362ee4425424b8db5252638239e87893dc31131e78d8afd5301b02ecd18c091bdccf83b19

Download Submit
C:\Users\Admin\AppData\Local\Temp\169C.tmp

Filesize
488KB

MD5
b49491932e6628ffded682361068b006

SHA1
04ae6e7b44c989c9bf9efdeff833dd2bf09ac9a4

SHA256
cdabb94f1857dcbbc20c53c4d5c96861111d75b7d8c2a9db535cd048eb9fac99

SHA512
4640d376881244752d732d2e0ab22f86a65c19af59361fee18f44366812f85d131fa5d3035cf654aab4a06d835b65a8a011fde6a14c03ca2f77280f41cb77d37

Download Submit
C:\Users\Admin\AppData\Local\Temp\16DB.tmp

Filesize
488KB

MD5
e4310ac4eab6b4739e364eaa9dbd662c

SHA1
6da7cf8f4f471e6c8c98d4e88cf9a7796a47a574

SHA256
43aef54d91ffbf4da49c5c21063b5b4a16065d6a6b4df599e153e2ef925489da

SHA512
6a7665407430f651c0fd8e396b3918bd27aa67adddb375ebf4d82645dd8b193b52f859f0e829f276c1e5e83075a16019f7d14cceb8506db03f42e5c5f7253e1f

Download Submit
C:\Users\Admin\AppData\Local\Temp\1758.tmp

Filesize
488KB

MD5
1a0fc48c67dad1b056e13ab5ee7b654f

SHA1
916a3eca5ada86bdec8184b837f0319562f9da5b

SHA256
d9510ef064cd8988d47e3498b5ae00ee4c7c6a88e060b28a852e3ea2b6aec62c

SHA512
0aeda058bc04f54b015cfa4ea8ac5c80000b31fc653206680c90447dd51e22df4ff44d3e5ec393674eaa5689c06c81b57a8bb75e39f7b281dc46c8c10fd7ccfd

Download Submit
C:\Users\Admin\AppData\Local\Temp\1796.tmp

Filesize
488KB

MD5
5ccf96a13bba2fdd54b8bc85a0f35367

SHA1
058904597983d5a9302cec3c9fbd8c725bbd1a75

SHA256
348f8332c34c365b3392d192d32a2cfd1d6c4e52cddf0a4fd038420333ac514b

SHA512
77f1318ecb2d3ba3e51db5468b0394b2c85b8aea43be1b280ea16642eca47402b4ea68a8b2b527e906921530bf5b345aa4a27862b66927d71aec3ebc3314502b

Download Submit
C:\Users\Admin\AppData\Local\Temp\17D4.tmp

Filesize
488KB

MD5
8453945cc059550937045c38645e99e3

SHA1
4f56ac8da41b7bdc76e0fe731e248ff759c9573b

SHA256
108fc3512b28d898562343fd4b1001e4f1337df807640757951030ce7d531df7

SHA512
a0a3ba00c71e55911854a4cb2243f6cdb3cc8127df6ffe8237277e33db0a8bbdb9ce007861edcd376a9fc04184cb3379a539365fae07c2a571ca5f0486600c84

Download Submit
\Users\Admin\AppData\Local\Temp\1304.tmp

Filesize
488KB

MD5
395db89e3ec783fa4fd37eb1c8109801

SHA1
29815020eefe3d2455a08e357c6cf1936a75b812

SHA256
29b66e3685c14480eff976c637a115b109c67e8490fd0f65abc77a2e84dc18cb

SHA512
e3587ee3fe62dcf6df05dc24769f53fec8268dfc4179b5da556370424097e3253a1fd4e9a46bfcad613fe3a9b13e7976a73a4e9a16a4db47b704c061dd12de5c

Download Submit
\Users\Admin\AppData\Local\Temp\144C.tmp

Filesize
488KB

MD5
fe87227b67b729801066126b01256cfb

SHA1
e43355f5953e912fbe653f4eef97ce6ca8697a77

SHA256
9ab3f9d98c32c2a99e2bd0c0c6401db85277cfc204a606cf27be611d82124598

SHA512
da1b9f654ff49a04ecba0ba9e1dcaab0b06c45b937e98795e7a1917aeea68634f1cc2057c8dd55ec6fe68dfa94b509ca6bd4a6ada423a3e7082f93187403ab34

Download Submit
\Users\Admin\AppData\Local\Temp\1719.tmp

Filesize
488KB

MD5
1ddf2a1ec77ddea8a639119de8d4bc4a

SHA1
a7563b053d5ebdc74a2712a3d754cef93238722a

SHA256
9e462791d596759003908283d9690127df638c4e91d2484fcc83ae0a8cdfaf56

SHA512
55a8003151bacdfa8ada1938fe610659fa7aea6b7cfb165232d41adf98956e5a3dc9219dff4d3265a03e382d38ffc0eca095af5af37adcb95eb794523c8a8549

Download Submit
\Users\Admin\AppData\Local\Temp\1813.tmp

Filesize
488KB

MD5
97e8271e1defebc591bafe22164a4826

SHA1
16eae7cbb896bb119034cee9649e021d71371e8a

SHA256
2b4a97c7d33ca99f8282d352d1a728914d97b25fc1d673e2f477290285458411

SHA512
0f28f00f63266cb089c92e2fdb1c088fbbe8157c5fc010c4e9cf5a9b7889e1bff2301cf5a516290b8580d1888c85a59a12832a083e702b96f995e28a84bd014e

Download Submit
\Users\Admin\AppData\Local\Temp\1851.tmp

Filesize
488KB

MD5
46cc3b869e87166f2c52eec5e0760709

SHA1
e612a93065ec21e8b936e006a992d9e5d348a563

SHA256
f9ff437231c9de095443aca5bfe984803f2cb7468dc3c85cb070be7b4f855687

SHA512
c55587532f7b3195bf98a51724993a502d29dd9612262be756264c01c1b0bb9a571cb4780a2d5b72463e24dd292ea98ee545f2a195795c825b9fe5dc99b178f3

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads