543f8ae7451b881532973d2b141089f934fb31cc940194bff838e4bb740a9f16

Analysis

max time kernel
183s
max time network
190s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
07/01/2024, 12:14

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2024-01-06_a05add19a968318b6e0adc33dd9ff63d_mafia.exe
Size

488KB
MD5

a05add19a968318b6e0adc33dd9ff63d
SHA1

92fe65247d0cfe3bca38b49006db82042dec391d
SHA256

543f8ae7451b881532973d2b141089f934fb31cc940194bff838e4bb740a9f16
SHA512

fe56c1b309baff41f5a51126ae296c246075d4b571db5fec798186d3b9fd014e274ee5a9ab769817bf0100ef885e62c7ab030b89e25c40411f8ea4d159e4d8d0
SSDEEP

12288:/U5rCOTeiDsut9CjXsLonXnW6mCvjcGug79NZ:/UQOJDsuXy8MXVmsjFN

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
1576	E9C4.tmp
4100	Conhost.exe
1768	3B4F.tmp
1840	EC54.tmp
2208	38BE.tmp
1464	ED7D.tmp
2948	EE29.tmp
1540	EE96.tmp
4436	24D.tmp
3304	1642.tmp
4564	274A.tmp
4408	F06B.tmp
960	F0C8.tmp
3172	4ED.tmp
2648	F1A3.tmp
4936	F31A.tmp
3808	F378.tmp
3016	F3F5.tmp
820	F482.tmp
4540	80A.tmp
2668	F58B.tmp
4620	F5F9.tmp
4148	F676.tmp
3588	A6B.tmp
1456	F77F.tmp
4836	32E2.tmp
1936	F879.tmp
464	F8F6.tmp
5064	3498.tmp
3008	FA00.tmp
4768	E34.tmp
4468	EA1.tmp
4924	F0E.tmp
1832	F9B.tmp
4272	FC32.tmp
1704	FD8A.tmp
3128	FDF7.tmp
4908	2381.tmp
4512	240D.tmp
1224	248A.tmp
5008	3AD2.tmp
3420	2594.tmp
1976	2601.tmp
1700	134.tmp
4664	1C0.tmp
4436	3C29.tmp
3304	1642.tmp
3164	376.tmp
5000	402.tmp
3432	178A.tmp
3172	4ED.tmp
4032	56A.tmp
4816	5C7.tmp
572	635.tmp
4056	410B.tmp
3692	79C.tmp
4540	80A.tmp
4484	896.tmp
3716	913.tmp
4960	981.tmp
3528	9FE.tmp
3588	A6B.tmp
2304	AD8.tmp
3140	B55.tmp

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1140 wrote to memory of 1576	1140	2024-01-06_a05add19a968318b6e0adc33dd9ff63d_mafia.exe	97
PID 1140 wrote to memory of 1576	1140	2024-01-06_a05add19a968318b6e0adc33dd9ff63d_mafia.exe	97
PID 1140 wrote to memory of 1576	1140	2024-01-06_a05add19a968318b6e0adc33dd9ff63d_mafia.exe	97
PID 1576 wrote to memory of 4100	1576	E9C4.tmp	186
PID 1576 wrote to memory of 4100	1576	E9C4.tmp	186
PID 1576 wrote to memory of 4100	1576	E9C4.tmp	186
PID 4100 wrote to memory of 1768	4100	Conhost.exe	259
PID 4100 wrote to memory of 1768	4100	Conhost.exe	259
PID 4100 wrote to memory of 1768	4100	Conhost.exe	259
PID 1768 wrote to memory of 1840	1768	3B4F.tmp	31
PID 1768 wrote to memory of 1840	1768	3B4F.tmp	31
PID 1768 wrote to memory of 1840	1768	3B4F.tmp	31
PID 1840 wrote to memory of 2208	1840	EC54.tmp	254
PID 1840 wrote to memory of 2208	1840	EC54.tmp	254
PID 1840 wrote to memory of 2208	1840	EC54.tmp	254
PID 2208 wrote to memory of 1464	2208	38BE.tmp	32
PID 2208 wrote to memory of 1464	2208	38BE.tmp	32
PID 2208 wrote to memory of 1464	2208	38BE.tmp	32
PID 1464 wrote to memory of 2948	1464	ED7D.tmp	83
PID 1464 wrote to memory of 2948	1464	ED7D.tmp	83
PID 1464 wrote to memory of 2948	1464	ED7D.tmp	83
PID 2948 wrote to memory of 1540	2948	EE29.tmp	81
PID 2948 wrote to memory of 1540	2948	EE29.tmp	81
PID 2948 wrote to memory of 1540	2948	EE29.tmp	81
PID 1540 wrote to memory of 4436	1540	EE96.tmp	64
PID 1540 wrote to memory of 4436	1540	EE96.tmp	64
PID 1540 wrote to memory of 4436	1540	EE96.tmp	64
PID 4436 wrote to memory of 3304	4436	24D.tmp	137
PID 4436 wrote to memory of 3304	4436	24D.tmp	137
PID 4436 wrote to memory of 3304	4436	24D.tmp	137
PID 3304 wrote to memory of 4564	3304	1642.tmp	202
PID 3304 wrote to memory of 4564	3304	1642.tmp	202
PID 3304 wrote to memory of 4564	3304	1642.tmp	202
PID 4564 wrote to memory of 4408	4564	274A.tmp	35
PID 4564 wrote to memory of 4408	4564	274A.tmp	35
PID 4564 wrote to memory of 4408	4564	274A.tmp	35
PID 4408 wrote to memory of 960	4408	F06B.tmp	36
PID 4408 wrote to memory of 960	4408	F06B.tmp	36
PID 4408 wrote to memory of 960	4408	F06B.tmp	36
PID 960 wrote to memory of 3172	960	F0C8.tmp	74
PID 960 wrote to memory of 3172	960	F0C8.tmp	74
PID 960 wrote to memory of 3172	960	F0C8.tmp	74
PID 3172 wrote to memory of 2648	3172	4ED.tmp	75
PID 3172 wrote to memory of 2648	3172	4ED.tmp	75
PID 3172 wrote to memory of 2648	3172	4ED.tmp	75
PID 2648 wrote to memory of 4936	2648	F1A3.tmp	73
PID 2648 wrote to memory of 4936	2648	F1A3.tmp	73
PID 2648 wrote to memory of 4936	2648	F1A3.tmp	73
PID 4936 wrote to memory of 3808	4936	F31A.tmp	70
PID 4936 wrote to memory of 3808	4936	F31A.tmp	70
PID 4936 wrote to memory of 3808	4936	F31A.tmp	70
PID 3808 wrote to memory of 3016	3808	F378.tmp	68
PID 3808 wrote to memory of 3016	3808	F378.tmp	68
PID 3808 wrote to memory of 3016	3808	F378.tmp	68
PID 3016 wrote to memory of 820	3016	F3F5.tmp	66
PID 3016 wrote to memory of 820	3016	F3F5.tmp	66
PID 3016 wrote to memory of 820	3016	F3F5.tmp	66
PID 820 wrote to memory of 4540	820	F482.tmp	84
PID 820 wrote to memory of 4540	820	F482.tmp	84
PID 820 wrote to memory of 4540	820	F482.tmp	84
PID 4540 wrote to memory of 2668	4540	80A.tmp	63
PID 4540 wrote to memory of 2668	4540	80A.tmp	63
PID 4540 wrote to memory of 2668	4540	80A.tmp	63
PID 2668 wrote to memory of 4620	2668	F58B.tmp	61

C:\Users\Admin\AppData\Local\Temp\2024-01-06_a05add19a968318b6e0adc33dd9ff63d_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-06_a05add19a968318b6e0adc33dd9ff63d_mafia.exe"
1⤵
- Suspicious use of WriteProcessMemory
PID:1140
- C:\Users\Admin\AppData\Local\Temp\E9C4.tmp
  "C:\Users\Admin\AppData\Local\Temp\E9C4.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:1576

C:\Users\Admin\AppData\Local\Temp\EC54.tmp
"C:\Users\Admin\AppData\Local\Temp\EC54.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1840
- C:\Users\Admin\AppData\Local\Temp\ECD1.tmp
  "C:\Users\Admin\AppData\Local\Temp\ECD1.tmp"
  2⤵
  PID:2208

C:\Users\Admin\AppData\Local\Temp\ED7D.tmp
"C:\Users\Admin\AppData\Local\Temp\ED7D.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1464
- C:\Users\Admin\AppData\Local\Temp\EE29.tmp
  "C:\Users\Admin\AppData\Local\Temp\EE29.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:2948

C:\Users\Admin\AppData\Local\Temp\EF23.tmp
"C:\Users\Admin\AppData\Local\Temp\EF23.tmp"
1⤵
PID:4436

C:\Users\Admin\AppData\Local\Temp\F06B.tmp
"C:\Users\Admin\AppData\Local\Temp\F06B.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4408
- C:\Users\Admin\AppData\Local\Temp\F0C8.tmp
  "C:\Users\Admin\AppData\Local\Temp\F0C8.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:960
- - C:\Users\Admin\AppData\Local\Temp\F136.tmp
    "C:\Users\Admin\AppData\Local\Temp\F136.tmp"
    3⤵
    PID:3172

C:\Users\Admin\AppData\Local\Temp\EFFD.tmp
"C:\Users\Admin\AppData\Local\Temp\EFFD.tmp"
1⤵
PID:4564

C:\Users\Admin\AppData\Local\Temp\F77F.tmp
"C:\Users\Admin\AppData\Local\Temp\F77F.tmp"
1⤵
- Executes dropped EXE
PID:1456
- C:\Users\Admin\AppData\Local\Temp\F7ED.tmp
  "C:\Users\Admin\AppData\Local\Temp\F7ED.tmp"
  2⤵
  PID:4836
- - C:\Users\Admin\AppData\Local\Temp\F879.tmp
    "C:\Users\Admin\AppData\Local\Temp\F879.tmp"
    3⤵
    - Executes dropped EXE
    PID:1936

C:\Users\Admin\AppData\Local\Temp\F8F6.tmp
"C:\Users\Admin\AppData\Local\Temp\F8F6.tmp"
1⤵
- Executes dropped EXE
PID:464
- C:\Users\Admin\AppData\Local\Temp\F983.tmp
  "C:\Users\Admin\AppData\Local\Temp\F983.tmp"
  2⤵
  PID:5064
- - C:\Users\Admin\AppData\Local\Temp\FA00.tmp
    "C:\Users\Admin\AppData\Local\Temp\FA00.tmp"
    3⤵
    - Executes dropped EXE
    PID:3008

C:\Users\Admin\AppData\Local\Temp\FA6D.tmp
"C:\Users\Admin\AppData\Local\Temp\FA6D.tmp"
1⤵
PID:4768
- C:\Users\Admin\AppData\Local\Temp\FADB.tmp
  "C:\Users\Admin\AppData\Local\Temp\FADB.tmp"
  2⤵
  PID:4468

C:\Users\Admin\AppData\Local\Temp\FB48.tmp
"C:\Users\Admin\AppData\Local\Temp\FB48.tmp"
1⤵
PID:4924
- C:\Users\Admin\AppData\Local\Temp\FBC5.tmp
  "C:\Users\Admin\AppData\Local\Temp\FBC5.tmp"
  2⤵
  PID:1832
- - C:\Users\Admin\AppData\Local\Temp\FC32.tmp
    "C:\Users\Admin\AppData\Local\Temp\FC32.tmp"
    3⤵
    - Executes dropped EXE
    PID:4272
  - - C:\Users\Admin\AppData\Local\Temp\FD8A.tmp
      "C:\Users\Admin\AppData\Local\Temp\FD8A.tmp"
      4⤵
      Executes dropped EXE
      PID:1704
    - - C:\Users\Admin\AppData\Local\Temp\FDF7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDF7.tmp"
        5⤵
        Executes dropped EXE
        
        PID:3128
      - C:\Users\Admin\AppData\Local\Temp\FE55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE55.tmp"
        6⤵
        
        PID:4908
        
        C:\Users\Admin\AppData\Local\Temp\FEC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEC3.tmp"
        7⤵
        
        PID:4512
        
        C:\Users\Admin\AppData\Local\Temp\FF4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF4F.tmp"
        8⤵
        
        PID:1224
        
        C:\Users\Admin\AppData\Local\Temp\FFBD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFBD.tmp"
        9⤵
        
        PID:5008
        
        C:\Users\Admin\AppData\Local\Temp\3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A.tmp"
        10⤵
        
        PID:3420
        
        C:\Users\Admin\AppData\Local\Temp\B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7.tmp"
        11⤵
        
        PID:1976
        
        C:\Users\Admin\AppData\Local\Temp\134.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\134.tmp"
        12⤵
        Executes dropped EXE
        
        PID:1700
        
        C:\Users\Admin\AppData\Local\Temp\1C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C0.tmp"
        13⤵
        Executes dropped EXE
        
        PID:4664
        
        C:\Users\Admin\AppData\Local\Temp\24D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24D.tmp"
        14⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4436
        
        C:\Users\Admin\AppData\Local\Temp\2E9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E9.tmp"
        15⤵
        
        PID:3304
        
        C:\Users\Admin\AppData\Local\Temp\376.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\376.tmp"
        16⤵
        Executes dropped EXE
        
        PID:3164
        
        C:\Users\Admin\AppData\Local\Temp\402.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\402.tmp"
        17⤵
        Executes dropped EXE
        
        PID:5000
        
        C:\Users\Admin\AppData\Local\Temp\47F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47F.tmp"
        18⤵
        
        PID:3432
        
        C:\Users\Admin\AppData\Local\Temp\4ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4ED.tmp"
        19⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3172
        
        C:\Users\Admin\AppData\Local\Temp\F1A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1A3.tmp"
        20⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2648
        
        C:\Users\Admin\AppData\Local\Temp\56A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56A.tmp"
        20⤵
        Executes dropped EXE
        
        PID:4032
        
        C:\Users\Admin\AppData\Local\Temp\5C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C7.tmp"
        21⤵
        Executes dropped EXE
        
        PID:4816
        
        C:\Users\Admin\AppData\Local\Temp\635.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\635.tmp"
        22⤵
        Executes dropped EXE
        
        PID:572
        
        C:\Users\Admin\AppData\Local\Temp\6B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B2.tmp"
        23⤵
        
        PID:4056
        
        C:\Users\Admin\AppData\Local\Temp\79C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79C.tmp"
        24⤵
        Executes dropped EXE
        
        PID:3692
        
        C:\Users\Admin\AppData\Local\Temp\80A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\80A.tmp"
        25⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4540
        
        C:\Users\Admin\AppData\Local\Temp\896.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\896.tmp"
        26⤵
        Executes dropped EXE
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\913.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\913.tmp"
        27⤵
        Executes dropped EXE
        
        PID:3716
        
        C:\Users\Admin\AppData\Local\Temp\981.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\981.tmp"
        28⤵
        Executes dropped EXE
        
        PID:4960
        
        C:\Users\Admin\AppData\Local\Temp\9FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FE.tmp"
        29⤵
        Executes dropped EXE
        
        PID:3528
        
        C:\Users\Admin\AppData\Local\Temp\A6B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A6B.tmp"
        30⤵
        Executes dropped EXE
        
        PID:3588
        
        C:\Users\Admin\AppData\Local\Temp\AD8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD8.tmp"
        31⤵
        Executes dropped EXE
        
        PID:2304
        
        C:\Users\Admin\AppData\Local\Temp\B55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B55.tmp"
        32⤵
        Executes dropped EXE
        
        PID:3140
        
        C:\Users\Admin\AppData\Local\Temp\BB3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB3.tmp"
        33⤵
        
        PID:980
        
        C:\Users\Admin\AppData\Local\Temp\C40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C40.tmp"
        34⤵
        
        PID:5100
        
        C:\Users\Admin\AppData\Local\Temp\CFB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFB.tmp"
        35⤵
        
        PID:5064
        
        C:\Users\Admin\AppData\Local\Temp\D69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D69.tmp"
        36⤵
        
        PID:4472
        
        C:\Users\Admin\AppData\Local\Temp\E34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E34.tmp"
        37⤵
        Executes dropped EXE
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\EA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA1.tmp"
        38⤵
        Executes dropped EXE
        
        PID:4468
        
        C:\Users\Admin\AppData\Local\Temp\F0E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0E.tmp"
        39⤵
        Executes dropped EXE
        
        PID:4924
        
        C:\Users\Admin\AppData\Local\Temp\F9B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9B.tmp"
        40⤵
        Executes dropped EXE
        
        PID:1832
        
        C:\Users\Admin\AppData\Local\Temp\1008.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1008.tmp"
        41⤵
        
        PID:1716
        
        C:\Users\Admin\AppData\Local\Temp\1085.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1085.tmp"
        42⤵
        
        PID:2348
        
        C:\Users\Admin\AppData\Local\Temp\1102.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1102.tmp"
        43⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\117F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\117F.tmp"
        44⤵
        
        PID:4908
        
        C:\Users\Admin\AppData\Local\Temp\122B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\122B.tmp"
        45⤵
        
        PID:4512
        
        C:\Users\Admin\AppData\Local\Temp\12A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12A8.tmp"
        46⤵
        
        PID:1224
        
        C:\Users\Admin\AppData\Local\Temp\1325.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1325.tmp"
        47⤵
        
        PID:5008
        
        C:\Users\Admin\AppData\Local\Temp\13A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\13A2.tmp"
        48⤵
        
        PID:3420
        
        C:\Users\Admin\AppData\Local\Temp\141F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\141F.tmp"
        49⤵
        
        PID:1976
        
        C:\Users\Admin\AppData\Local\Temp\149C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\149C.tmp"
        50⤵
        
        PID:856
        
        C:\Users\Admin\AppData\Local\Temp\1519.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1519.tmp"
        51⤵
        
        PID:1512
        
        C:\Users\Admin\AppData\Local\Temp\1577.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1577.tmp"
        52⤵
        
        PID:568
        
        C:\Users\Admin\AppData\Local\Temp\15E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15E4.tmp"
        53⤵
        
        PID:4564
        
        C:\Users\Admin\AppData\Local\Temp\1642.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1642.tmp"
        54⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3304
        
        C:\Users\Admin\AppData\Local\Temp\16BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16BF.tmp"
        55⤵
        
        PID:824
        
        C:\Users\Admin\AppData\Local\Temp\171D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\171D.tmp"
        56⤵
        
        PID:2056
        
        C:\Users\Admin\AppData\Local\Temp\178A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\178A.tmp"
        57⤵
        Executes dropped EXE
        
        PID:3432
        
        C:\Users\Admin\AppData\Local\Temp\17F8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\17F8.tmp"
        58⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\1865.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1865.tmp"
        59⤵
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\18C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\18C3.tmp"
        60⤵
        
        PID:3120
        
        C:\Users\Admin\AppData\Local\Temp\194F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\194F.tmp"
        61⤵
        
        PID:1720
        
        C:\Users\Admin\AppData\Local\Temp\19BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\19BD.tmp"
        62⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\1A3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A3A.tmp"
        63⤵
        
        PID:2924
        
        C:\Users\Admin\AppData\Local\Temp\1AA7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AA7.tmp"
        64⤵
        
        PID:4476
        
        C:\Users\Admin\AppData\Local\Temp\1B15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B15.tmp"
        65⤵
        
        PID:5068
        
        C:\Users\Admin\AppData\Local\Temp\1B82.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B82.tmp"
        66⤵
        
        PID:1304
        
        C:\Users\Admin\AppData\Local\Temp\1BFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1BFF.tmp"
        67⤵
        
        PID:1844
        
        C:\Users\Admin\AppData\Local\Temp\1CCA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1CCA.tmp"
        68⤵
        
        PID:4792
        
        C:\Users\Admin\AppData\Local\Temp\1D47.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D47.tmp"
        69⤵
        
        PID:3688
        
        C:\Users\Admin\AppData\Local\Temp\1DC4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DC4.tmp"
        70⤵
        
        PID:3904
        
        C:\Users\Admin\AppData\Local\Temp\1E51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E51.tmp"
        71⤵
        
        PID:1312
        
        C:\Users\Admin\AppData\Local\Temp\1EDD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1EDD.tmp"
        72⤵
        
        PID:3264
        
        C:\Users\Admin\AppData\Local\Temp\1F5A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F5A.tmp"
        73⤵
        
        PID:2552
        
        C:\Users\Admin\AppData\Local\Temp\1FC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FC8.tmp"
        74⤵
        
        PID:5100
        
        C:\Users\Admin\AppData\Local\Temp\2035.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2035.tmp"
        75⤵
        
        PID:5064
        
        C:\Users\Admin\AppData\Local\Temp\20A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\20A2.tmp"
        76⤵
        
        PID:4472
        
        C:\Users\Admin\AppData\Local\Temp\211F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\211F.tmp"
        77⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\217D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\217D.tmp"
        78⤵
        
        PID:2628
        
        C:\Users\Admin\AppData\Local\Temp\21EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\21EB.tmp"
        79⤵
        
        PID:772
        
        C:\Users\Admin\AppData\Local\Temp\2258.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2258.tmp"
        80⤵
        
        PID:1940
        
        C:\Users\Admin\AppData\Local\Temp\22C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\22C5.tmp"
        81⤵
        
        PID:4644
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        42⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4100
        
        C:\Users\Admin\AppData\Local\Temp\EF90.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF90.tmp"
        15⤵
        
        PID:3304

C:\Users\Admin\AppData\Local\Temp\F702.tmp
"C:\Users\Admin\AppData\Local\Temp\F702.tmp"
1⤵
PID:3588

C:\Users\Admin\AppData\Local\Temp\F676.tmp
"C:\Users\Admin\AppData\Local\Temp\F676.tmp"
1⤵
- Executes dropped EXE
PID:4148

C:\Users\Admin\AppData\Local\Temp\F5F9.tmp
"C:\Users\Admin\AppData\Local\Temp\F5F9.tmp"
1⤵
- Executes dropped EXE
PID:4620

C:\Users\Admin\AppData\Local\Temp\F58B.tmp
"C:\Users\Admin\AppData\Local\Temp\F58B.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2668

C:\Users\Admin\AppData\Local\Temp\F4FF.tmp
"C:\Users\Admin\AppData\Local\Temp\F4FF.tmp"
1⤵
PID:4540

C:\Users\Admin\AppData\Local\Temp\F482.tmp
"C:\Users\Admin\AppData\Local\Temp\F482.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:820

C:\Users\Admin\AppData\Local\Temp\F3F5.tmp
"C:\Users\Admin\AppData\Local\Temp\F3F5.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3016

C:\Users\Admin\AppData\Local\Temp\F378.tmp
"C:\Users\Admin\AppData\Local\Temp\F378.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3808

C:\Users\Admin\AppData\Local\Temp\F31A.tmp
"C:\Users\Admin\AppData\Local\Temp\F31A.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4936

C:\Users\Admin\AppData\Local\Temp\EE96.tmp
"C:\Users\Admin\AppData\Local\Temp\EE96.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1540

C:\Users\Admin\AppData\Local\Temp\EBC7.tmp
"C:\Users\Admin\AppData\Local\Temp\EBC7.tmp"
1⤵
PID:1768

C:\Users\Admin\AppData\Local\Temp\EB3B.tmp
"C:\Users\Admin\AppData\Local\Temp\EB3B.tmp"
1⤵
PID:4100

C:\Windows\System32\WaaSMedicAgent.exe
C:\Windows\System32\WaaSMedicAgent.exe 03e760cb71de8e5c53273bdfb9f15dce fXhBIkihxE6ysEFxmVJm1Q.0.1.0.0.0
1⤵
PID:1716

C:\Users\Admin\AppData\Local\Temp\2323.tmp
"C:\Users\Admin\AppData\Local\Temp\2323.tmp"
1⤵
PID:3964
- C:\Users\Admin\AppData\Local\Temp\2381.tmp
  "C:\Users\Admin\AppData\Local\Temp\2381.tmp"
  2⤵
  - Executes dropped EXE
  PID:4908
- - C:\Users\Admin\AppData\Local\Temp\240D.tmp
    "C:\Users\Admin\AppData\Local\Temp\240D.tmp"
    3⤵
    - Executes dropped EXE
    PID:4512
  - - C:\Users\Admin\AppData\Local\Temp\248A.tmp
      "C:\Users\Admin\AppData\Local\Temp\248A.tmp"
      4⤵
      Executes dropped EXE
      PID:1224
    - - C:\Users\Admin\AppData\Local\Temp\2527.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2527.tmp"
        5⤵
        
        PID:5008
      - C:\Users\Admin\AppData\Local\Temp\2594.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2594.tmp"
        6⤵
        Executes dropped EXE
        
        PID:3420
        
        C:\Users\Admin\AppData\Local\Temp\2601.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2601.tmp"
        7⤵
        Executes dropped EXE
        
        PID:1976
        
        C:\Users\Admin\AppData\Local\Temp\266F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\266F.tmp"
        8⤵
        
        PID:856
        
        C:\Users\Admin\AppData\Local\Temp\26EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\26EC.tmp"
        9⤵
        
        PID:412
        
        C:\Users\Admin\AppData\Local\Temp\274A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\274A.tmp"
        10⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4564
        
        C:\Users\Admin\AppData\Local\Temp\27B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27B7.tmp"
        11⤵
        
        PID:824
        
        C:\Users\Admin\AppData\Local\Temp\2834.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2834.tmp"
        12⤵
        
        PID:2056
        
        C:\Users\Admin\AppData\Local\Temp\28C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28C1.tmp"
        13⤵
        
        PID:3044
        
        C:\Users\Admin\AppData\Local\Temp\291E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\291E.tmp"
        14⤵
        
        PID:4084
        
        C:\Users\Admin\AppData\Local\Temp\299B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\299B.tmp"
        15⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\2A09.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A09.tmp"
        16⤵
        
        PID:1280
        
        C:\Users\Admin\AppData\Local\Temp\2A86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A86.tmp"
        17⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\2B22.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B22.tmp"
        18⤵
        
        PID:5040
        
        C:\Users\Admin\AppData\Local\Temp\2B80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B80.tmp"
        19⤵
        
        PID:380
        
        C:\Users\Admin\AppData\Local\Temp\2BDD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2BDD.tmp"
        20⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\2C4B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C4B.tmp"
        21⤵
        
        PID:2684
        
        C:\Users\Admin\AppData\Local\Temp\2CC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2CC8.tmp"
        22⤵
        
        PID:2276
        
        C:\Users\Admin\AppData\Local\Temp\2D35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D35.tmp"
        23⤵
        
        PID:5068
        
        C:\Users\Admin\AppData\Local\Temp\2DC2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2DC2.tmp"
        24⤵
        
        PID:1304
        
        C:\Users\Admin\AppData\Local\Temp\2E4E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E4E.tmp"
        25⤵
        
        PID:3776
        
        C:\Users\Admin\AppData\Local\Temp\2EBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2EBC.tmp"
        26⤵
        
        PID:4980
        
        C:\Users\Admin\AppData\Local\Temp\2F29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F29.tmp"
        27⤵
        
        PID:1800
        
        C:\Users\Admin\AppData\Local\Temp\2F97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F97.tmp"
        28⤵
        
        PID:2424
        
        C:\Users\Admin\AppData\Local\Temp\3004.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3004.tmp"
        29⤵
        
        PID:4860
        
        C:\Users\Admin\AppData\Local\Temp\3091.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3091.tmp"
        30⤵
        
        PID:372
        
        C:\Users\Admin\AppData\Local\Temp\30FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30FE.tmp"
        31⤵
        
        PID:528
        
        C:\Users\Admin\AppData\Local\Temp\317B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\317B.tmp"
        32⤵
        
        PID:3688
        
        C:\Users\Admin\AppData\Local\Temp\3265.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3265.tmp"
        33⤵
        
        PID:1308
        
        C:\Users\Admin\AppData\Local\Temp\32E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\32E2.tmp"
        34⤵
        Executes dropped EXE
        
        PID:4836
        
        C:\Users\Admin\AppData\Local\Temp\337F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\337F.tmp"
        35⤵
        
        PID:4648
        
        C:\Users\Admin\AppData\Local\Temp\33FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\33FC.tmp"
        36⤵
        
        PID:4460
        
        C:\Users\Admin\AppData\Local\Temp\3498.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3498.tmp"
        37⤵
        Executes dropped EXE
        
        PID:5064
        
        C:\Users\Admin\AppData\Local\Temp\3505.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3505.tmp"
        38⤵
        
        PID:4472
        
        C:\Users\Admin\AppData\Local\Temp\3582.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3582.tmp"
        39⤵
        
        PID:3368
        
        C:\Users\Admin\AppData\Local\Temp\35FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\35FF.tmp"
        40⤵
        
        PID:4276
        
        C:\Users\Admin\AppData\Local\Temp\366D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\366D.tmp"
        41⤵
        
        PID:4244
        
        C:\Users\Admin\AppData\Local\Temp\36EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36EA.tmp"
        42⤵
        
        PID:548
        
        C:\Users\Admin\AppData\Local\Temp\3776.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3776.tmp"
        43⤵
        
        PID:3884
        
        C:\Users\Admin\AppData\Local\Temp\37E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37E4.tmp"
        44⤵
        
        PID:1572
        
        C:\Users\Admin\AppData\Local\Temp\3851.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3851.tmp"
        45⤵
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\38BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\38BE.tmp"
        46⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2208
        
        C:\Users\Admin\AppData\Local\Temp\392C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\392C.tmp"
        47⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\3999.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3999.tmp"
        48⤵
        
        PID:3932
        
        C:\Users\Admin\AppData\Local\Temp\3A45.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A45.tmp"
        49⤵
        
        PID:388
        
        C:\Users\Admin\AppData\Local\Temp\3AD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3AD2.tmp"
        50⤵
        Executes dropped EXE
        
        PID:5008
        
        C:\Users\Admin\AppData\Local\Temp\3B4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B4F.tmp"
        51⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1768
        
        C:\Users\Admin\AppData\Local\Temp\3C29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C29.tmp"
        52⤵
        Executes dropped EXE
        
        PID:4436
        
        C:\Users\Admin\AppData\Local\Temp\3CC6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CC6.tmp"
        53⤵
        
        PID:3832
        
        C:\Users\Admin\AppData\Local\Temp\3D52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D52.tmp"
        54⤵
        
        PID:4268
        
        C:\Users\Admin\AppData\Local\Temp\3E3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E3D.tmp"
        55⤵
        
        PID:2248
        
        C:\Users\Admin\AppData\Local\Temp\3F94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F94.tmp"
        56⤵
        
        PID:2056
        
        C:\Users\Admin\AppData\Local\Temp\3FF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3FF2.tmp"
        57⤵
        
        PID:3808
        
        C:\Users\Admin\AppData\Local\Temp\4050.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4050.tmp"
        58⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\410B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\410B.tmp"
        59⤵
        Executes dropped EXE
        
        PID:4056
        
        C:\Users\Admin\AppData\Local\Temp\4169.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4169.tmp"
        60⤵
        
        PID:2300
        
        C:\Users\Admin\AppData\Local\Temp\41C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\41C7.tmp"
        61⤵
        
        PID:2332
        
        C:\Users\Admin\AppData\Local\Temp\42A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42A2.tmp"
        62⤵
        
        PID:4348
        
        C:\Users\Admin\AppData\Local\Temp\43CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\43CA.tmp"
        63⤵
        
        PID:2256
        
        C:\Users\Admin\AppData\Local\Temp\4447.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4447.tmp"
        64⤵
        
        PID:2168
        
        C:\Users\Admin\AppData\Local\Temp\44E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\44E4.tmp"
        65⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\45CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\45CE.tmp"
        66⤵
        
        PID:3976
        
        C:\Users\Admin\AppData\Local\Temp\467A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\467A.tmp"
        67⤵
        
        PID:336
        
        C:\Users\Admin\AppData\Local\Temp\4755.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4755.tmp"
        68⤵
        
        PID:3240
        
        C:\Users\Admin\AppData\Local\Temp\4958.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4958.tmp"
        69⤵
        
        PID:3176
        
        C:\Users\Admin\AppData\Local\Temp\4AA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4AA0.tmp"
        70⤵
        
        PID:4792
        
        C:\Users\Admin\AppData\Local\Temp\4B7B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B7B.tmp"
        71⤵
        
        PID:4364
        
        C:\Users\Admin\AppData\Local\Temp\4EB7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4EB7.tmp"
        72⤵
        
        PID:3140
        
        C:\Users\Admin\AppData\Local\Temp\51E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\51E4.tmp"
        73⤵
        
        PID:3688
        
        C:\Users\Admin\AppData\Local\Temp\55EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55EB.tmp"
        74⤵
        
        PID:3256
        
        C:\Users\Admin\AppData\Local\Temp\56D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56D5.tmp"
        75⤵
        
        PID:4352
        
        C:\Users\Admin\AppData\Local\Temp\58AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\58AA.tmp"
        76⤵
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\5D2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D2E.tmp"
        77⤵
        
        PID:3036
        
        C:\Users\Admin\AppData\Local\Temp\6368.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6368.tmp"
        78⤵
        
        PID:1164
        
        C:\Users\Admin\AppData\Local\Temp\6889.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6889.tmp"
        79⤵
        
        PID:784
        
        C:\Users\Admin\AppData\Local\Temp\6F9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F9D.tmp"
        80⤵
        
        PID:3872
        
        C:\Users\Admin\AppData\Local\Temp\825A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\825A.tmp"
        81⤵
        
        PID:1224
        
        C:\Users\Admin\AppData\Local\Temp\8F99.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F99.tmp"
        82⤵
        
        PID:3420
        
        C:\Users\Admin\AppData\Local\Temp\93B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\93B0.tmp"
        83⤵
        
        PID:4564
        
        C:\Users\Admin\AppData\Local\Temp\9CA8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9CA8.tmp"
        84⤵
        
        PID:1644
        
        C:\Users\Admin\AppData\Local\Temp\A534.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A534.tmp"
        85⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\AD23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD23.tmp"
        86⤵
        
        PID:1508
        
        C:\Users\Admin\AppData\Local\Temp\B755.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B755.tmp"
        87⤵
        
        PID:3904
        
        C:\Users\Admin\AppData\Local\Temp\C88B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C88B.tmp"
        88⤵
        
        PID:4116
        
        C:\Users\Admin\AppData\Local\Temp\CEF3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CEF3.tmp"
        89⤵
        
        PID:5100
        
        C:\Users\Admin\AppData\Local\Temp\CF80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF80.tmp"
        90⤵
        
        PID:1044
        
        C:\Users\Admin\AppData\Local\Temp\D193.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D193.tmp"
        91⤵
        
        PID:1120
        
        C:\Users\Admin\AppData\Local\Temp\D230.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D230.tmp"
        92⤵
        
        PID:2224
        
        C:\Users\Admin\AppData\Local\Temp\D29D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D29D.tmp"
        93⤵
        
        PID:4688
        
        C:\Users\Admin\AppData\Local\Temp\D368.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D368.tmp"
        94⤵
        
        PID:3392
        
        C:\Users\Admin\AppData\Local\Temp\D462.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D462.tmp"
        95⤵
        
        PID:1892
        
        C:\Users\Admin\AppData\Local\Temp\D56C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D56C.tmp"
        96⤵
        
        PID:3884
        
        C:\Users\Admin\AppData\Local\Temp\D618.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D618.tmp"
        97⤵
        
        PID:3816
        
        C:\Users\Admin\AppData\Local\Temp\D6D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6D3.tmp"
        98⤵
        
        PID:4000
        
        C:\Users\Admin\AppData\Local\Temp\D740.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D740.tmp"
        99⤵
        
        PID:1572
        
        C:\Users\Admin\AppData\Local\Temp\D7DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7DD.tmp"
        100⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\D84A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D84A.tmp"
        101⤵
        
        PID:3636
        
        C:\Users\Admin\AppData\Local\Temp\D8A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D8A8.tmp"
        102⤵
        
        PID:3732
        
        C:\Users\Admin\AppData\Local\Temp\D906.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D906.tmp"
        103⤵
        
        PID:4664
        
        C:\Users\Admin\AppData\Local\Temp\D992.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D992.tmp"
        104⤵
        
        PID:2244
        
        C:\Users\Admin\AppData\Local\Temp\DA0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA0F.tmp"
        105⤵
        
        PID:3952
        
        C:\Users\Admin\AppData\Local\Temp\DA9C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA9C.tmp"
        106⤵
        
        PID:1536
        
        C:\Users\Admin\AppData\Local\Temp\DB19.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB19.tmp"
        107⤵
        
        PID:1768
        
        C:\Users\Admin\AppData\Local\Temp\DBA5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DBA5.tmp"
        108⤵
        
        PID:3832
        
        C:\Users\Admin\AppData\Local\Temp\DC13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC13.tmp"
        109⤵
        
        PID:2972
        
        C:\Users\Admin\AppData\Local\Temp\DC80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC80.tmp"
        110⤵
        
        PID:3080
        
        C:\Users\Admin\AppData\Local\Temp\DCEE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DCEE.tmp"
        111⤵
        
        PID:4816
        
        C:\Users\Admin\AppData\Local\Temp\DD4B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD4B.tmp"
        112⤵
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\DDD8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DDD8.tmp"
        113⤵
        
        PID:5068
        
        C:\Users\Admin\AppData\Local\Temp\DE45.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE45.tmp"
        114⤵
        
        PID:2712
        
        C:\Users\Admin\AppData\Local\Temp\DEC2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DEC2.tmp"
        115⤵
        
        PID:2424
        
        C:\Users\Admin\AppData\Local\Temp\DF30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF30.tmp"
        116⤵
        
        PID:4700
        
        C:\Users\Admin\AppData\Local\Temp\DF9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF9D.tmp"
        117⤵
        
        PID:2140
        
        C:\Users\Admin\AppData\Local\Temp\E01A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E01A.tmp"
        118⤵
        
        PID:3220
        
        C:\Users\Admin\AppData\Local\Temp\E0A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0A7.tmp"
        119⤵
        
        PID:4848
        
        C:\Users\Admin\AppData\Local\Temp\E133.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E133.tmp"
        120⤵
        
        PID:2472
        
        C:\Users\Admin\AppData\Local\Temp\E1B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1B0.tmp"
        121⤵
        
        PID:3116
        
        C:\Users\Admin\AppData\Local\Temp\E29B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E29B.tmp"
        122⤵
        
        PID:1124
        
        C:\Users\Admin\AppData\Local\Temp\E308.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E308.tmp"
        123⤵
        
        PID:2720
        
        C:\Users\Admin\AppData\Local\Temp\E375.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E375.tmp"
        124⤵
        
        PID:2256
        
        C:\Users\Admin\AppData\Local\Temp\E3F2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E3F2.tmp"
        125⤵
        
        PID:3688
        
        C:\Users\Admin\AppData\Local\Temp\E460.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E460.tmp"
        126⤵
        
        PID:4844
        
        C:\Users\Admin\AppData\Local\Temp\E4CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E4CD.tmp"
        127⤵
        
        PID:2940
        
        C:\Users\Admin\AppData\Local\Temp\E54A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E54A.tmp"
        128⤵
        
        PID:3696
        
        C:\Users\Admin\AppData\Local\Temp\E5D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5D7.tmp"
        129⤵
        
        PID:4552
        
        C:\Users\Admin\AppData\Local\Temp\E654.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E654.tmp"
        130⤵
        
        PID:756
        
        C:\Users\Admin\AppData\Local\Temp\E6D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E6D1.tmp"
        131⤵
        
        PID:1120
        
        C:\Users\Admin\AppData\Local\Temp\E73E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E73E.tmp"
        132⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\E7BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7BB.tmp"
        133⤵
        
        PID:4688
        
        C:\Users\Admin\AppData\Local\Temp\E857.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E857.tmp"
        134⤵
        
        PID:3392
        
        C:\Users\Admin\AppData\Local\Temp\E8D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E8D4.tmp"
        135⤵
        
        PID:3472
        
        C:\Users\Admin\AppData\Local\Temp\E961.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E961.tmp"
        136⤵
        
        PID:4460
        
        C:\Users\Admin\AppData\Local\Temp\E9EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9EE.tmp"
        137⤵
        
        PID:1672
        
        C:\Users\Admin\AppData\Local\Temp\EA7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA7A.tmp"
        138⤵
        
        PID:4000
        
        C:\Users\Admin\AppData\Local\Temp\EAF7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EAF7.tmp"
        139⤵
        
        PID:1572
        
        C:\Users\Admin\AppData\Local\Temp\EB94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB94.tmp"
        140⤵
        
        PID:1792
        
        C:\Users\Admin\AppData\Local\Temp\EC11.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC11.tmp"
        141⤵
        
        PID:3636
        
        C:\Users\Admin\AppData\Local\Temp\EC9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC9D.tmp"
        142⤵
        
        PID:3732
        
        C:\Users\Admin\AppData\Local\Temp\ED1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED1A.tmp"
        143⤵
        
        PID:4664
        
        C:\Users\Admin\AppData\Local\Temp\EDA7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDA7.tmp"
        144⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\EE33.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE33.tmp"
        145⤵
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\EEC0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EEC0.tmp"
        146⤵
        
        PID:1480
        
        C:\Users\Admin\AppData\Local\Temp\EF4D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF4D.tmp"
        147⤵
        
        PID:3420
        
        C:\Users\Admin\AppData\Local\Temp\EFBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFBA.tmp"
        148⤵
        
        PID:4624
        
        C:\Users\Admin\AppData\Local\Temp\F056.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F056.tmp"
        149⤵
        
        PID:4032
        
        C:\Users\Admin\AppData\Local\Temp\F0D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0D3.tmp"
        150⤵
        
        PID:2648
        
        C:\Users\Admin\AppData\Local\Temp\F170.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F170.tmp"
        151⤵
        
        PID:3352
        
        C:\Users\Admin\AppData\Local\Temp\F1FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1FC.tmp"
        152⤵
        
        PID:2532
        
        C:\Users\Admin\AppData\Local\Temp\F26A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F26A.tmp"
        153⤵
        
        PID:4052
        
        C:\Users\Admin\AppData\Local\Temp\F2D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2D7.tmp"
        154⤵
        
        PID:3976
        
        C:\Users\Admin\AppData\Local\Temp\F344.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F344.tmp"
        155⤵
        
        PID:4860
        
        C:\Users\Admin\AppData\Local\Temp\F3B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3B2.tmp"
        156⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\F41F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F41F.tmp"
        157⤵
        
        PID:832
        
        C:\Users\Admin\AppData\Local\Temp\F4AC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4AC.tmp"
        158⤵
        
        PID:1304
        
        C:\Users\Admin\AppData\Local\Temp\F519.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F519.tmp"
        159⤵
        
        PID:1292
        
        C:\Users\Admin\AppData\Local\Temp\F596.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F596.tmp"
        160⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\F623.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F623.tmp"
        161⤵
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\F6AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F6AF.tmp"
        162⤵
        
        PID:1964
        
        C:\Users\Admin\AppData\Local\Temp\F72C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F72C.tmp"
        163⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\F7B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F7B9.tmp"
        164⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\F846.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F846.tmp"
        165⤵
        
        PID:2404
        
        C:\Users\Admin\AppData\Local\Temp\F8D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8D2.tmp"
        166⤵
        
        PID:4640
        
        C:\Users\Admin\AppData\Local\Temp\F95F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F95F.tmp"
        167⤵
        
        PID:3688
        
        C:\Users\Admin\AppData\Local\Temp\F9EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9EB.tmp"
        168⤵
        
        PID:4844
        
        C:\Users\Admin\AppData\Local\Temp\FA59.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA59.tmp"
        169⤵
        
        PID:2940
        
        C:\Users\Admin\AppData\Local\Temp\FAC6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FAC6.tmp"
        170⤵
        
        PID:3696
        
        C:\Users\Admin\AppData\Local\Temp\FB34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB34.tmp"
        171⤵
        
        PID:1164
        
        C:\Users\Admin\AppData\Local\Temp\FBC0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FBC0.tmp"
        172⤵
        
        PID:4468
        
        C:\Users\Admin\AppData\Local\Temp\FC2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC2E.tmp"
        173⤵
        
        PID:4060
        
        C:\Users\Admin\AppData\Local\Temp\FCBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FCBA.tmp"
        174⤵
        
        PID:900
        
        C:\Users\Admin\AppData\Local\Temp\FD37.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD37.tmp"
        175⤵
        
        PID:2328
        
        C:\Users\Admin\AppData\Local\Temp\FDE3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDE3.tmp"
        176⤵
        
        PID:784
        
        C:\Users\Admin\AppData\Local\Temp\FE70.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE70.tmp"
        177⤵
        
        PID:2296
        
        C:\Users\Admin\AppData\Local\Temp\FEED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEED.tmp"
        178⤵
        
        PID:1784
        
        C:\Users\Admin\AppData\Local\Temp\FF5A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF5A.tmp"
        179⤵
        
        PID:4924
        
        C:\Users\Admin\AppData\Local\Temp\FFE7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFE7.tmp"
        180⤵
        
        PID:2852
        
        C:\Users\Admin\AppData\Local\Temp\D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1.tmp"
        181⤵
        
        PID:1224
        
        C:\Users\Admin\AppData\Local\Temp\15E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15E.tmp"
        182⤵
        
        PID:3232
        
        C:\Users\Admin\AppData\Local\Temp\1EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1EA.tmp"
        183⤵
        
        PID:4100
        
        C:\Users\Admin\AppData\Local\Temp\267.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\267.tmp"
        184⤵
        
        PID:884
        
        C:\Users\Admin\AppData\Local\Temp\2D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D5.tmp"
        185⤵
        
        PID:3932
        
        C:\Users\Admin\AppData\Local\Temp\352.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\352.tmp"
        186⤵
        
        PID:1832
        
        C:\Users\Admin\AppData\Local\Temp\3DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3DE.tmp"
        187⤵
        
        PID:3952
        
        C:\Users\Admin\AppData\Local\Temp\46B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46B.tmp"
        188⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\4E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E8.tmp"
        189⤵
        
        PID:4696
        
        C:\Users\Admin\AppData\Local\Temp\565.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\565.tmp"
        190⤵
        
        PID:400
        
        C:\Users\Admin\AppData\Local\Temp\5D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D2.tmp"
        191⤵
        
        PID:4564
        
        C:\Users\Admin\AppData\Local\Temp\640.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\640.tmp"
        192⤵
        
        PID:2276
        
        C:\Users\Admin\AppData\Local\Temp\6CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CC.tmp"
        193⤵
        
        PID:3452
        
        C:\Users\Admin\AppData\Local\Temp\749.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\749.tmp"
        194⤵
        
        PID:4636
        
        C:\Users\Admin\AppData\Local\Temp\7C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C6.tmp"
        195⤵
        
        PID:5068
        
        C:\Users\Admin\AppData\Local\Temp\853.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\853.tmp"
        196⤵
        
        PID:336
        
        C:\Users\Admin\AppData\Local\Temp\8E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E0.tmp"
        197⤵
        
        PID:1728
        
        C:\Users\Admin\AppData\Local\Temp\94D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\94D.tmp"
        198⤵
        
        PID:3408
        
        C:\Users\Admin\AppData\Local\Temp\9CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9CA.tmp"
        199⤵
        
        PID:4700
        
        C:\Users\Admin\AppData\Local\Temp\A47.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A47.tmp"
        200⤵
        
        PID:2140
        
        C:\Users\Admin\AppData\Local\Temp\B41.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B41.tmp"
        201⤵
        
        PID:724
        
        C:\Users\Admin\AppData\Local\Temp\BBE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBE.tmp"
        202⤵
        
        PID:4660
        
        C:\Users\Admin\AppData\Local\Temp\C2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C2B.tmp"
        203⤵
        
        PID:3548
        
        C:\Users\Admin\AppData\Local\Temp\DA2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA2.tmp"
        204⤵
        
        PID:1964
        
        C:\Users\Admin\AppData\Local\Temp\E3F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E3F.tmp"
        205⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\EBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EBC.tmp"
        206⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\F39.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F39.tmp"
        207⤵
        
        PID:4852
        
        C:\Users\Admin\AppData\Local\Temp\FF4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF4.tmp"
        208⤵
        
        PID:3904
        
        C:\Users\Admin\AppData\Local\Temp\1071.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1071.tmp"
        209⤵
        
        PID:3256
        
        C:\Users\Admin\AppData\Local\Temp\10FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\10FE.tmp"
        210⤵
        
        PID:4944
        
        C:\Users\Admin\AppData\Local\Temp\118A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\118A.tmp"
        211⤵
        
        PID:4584
        
        C:\Users\Admin\AppData\Local\Temp\12A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12A4.tmp"
        212⤵
        
        PID:3696
        
        C:\Users\Admin\AppData\Local\Temp\1340.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1340.tmp"
        213⤵
        
        PID:2224
        
        C:\Users\Admin\AppData\Local\Temp\13BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\13BD.tmp"
        214⤵
        
        PID:4468
        
        C:\Users\Admin\AppData\Local\Temp\143A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\143A.tmp"
        215⤵
        
        PID:4060
        
        C:\Users\Admin\AppData\Local\Temp\14C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\14C6.tmp"
        216⤵
        
        PID:1892
        
        C:\Users\Admin\AppData\Local\Temp\1534.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1534.tmp"
        217⤵
        
        PID:4512
        
        C:\Users\Admin\AppData\Local\Temp\15B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15B1.tmp"
        218⤵
        
        PID:3336
        
        C:\Users\Admin\AppData\Local\Temp\160F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\160F.tmp"
        219⤵
        
        PID:2548
        
        C:\Users\Admin\AppData\Local\Temp\166C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\166C.tmp"
        220⤵
        
        PID:1224
        
        C:\Users\Admin\AppData\Local\Temp\16DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16DA.tmp"
        221⤵
        
        PID:3636
        
        C:\Users\Admin\AppData\Local\Temp\1757.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1757.tmp"
        222⤵
        
        PID:2244
        
        C:\Users\Admin\AppData\Local\Temp\1803.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1803.tmp"
        223⤵
        
        PID:1768
        
        C:\Users\Admin\AppData\Local\Temp\1870.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1870.tmp"
        224⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\18CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\18CE.tmp"
        225⤵
        
        PID:400
        
        C:\Users\Admin\AppData\Local\Temp\193B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\193B.tmp"
        226⤵
        
        PID:2648
        
        C:\Users\Admin\AppData\Local\Temp\19A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\19A8.tmp"
        227⤵
        
        PID:2712
        
        C:\Users\Admin\AppData\Local\Temp\1A06.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A06.tmp"
        228⤵
        
        PID:3776
        
        C:\Users\Admin\AppData\Local\Temp\1A64.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A64.tmp"
        229⤵
        
        PID:3924
        
        C:\Users\Admin\AppData\Local\Temp\1AD1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AD1.tmp"
        230⤵
        
        PID:4244
        
        C:\Users\Admin\AppData\Local\Temp\1B2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B2F.tmp"
        231⤵
        
        PID:1980
        
        C:\Users\Admin\AppData\Local\Temp\1B9C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B9C.tmp"
        232⤵
        
        PID:3024
        
        C:\Users\Admin\AppData\Local\Temp\1BFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1BFA.tmp"
        233⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\1C58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C58.tmp"
        234⤵
        
        PID:4352
        
        C:\Users\Admin\AppData\Local\Temp\1CB6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1CB6.tmp"
        235⤵
        
        PID:2256
        
        C:\Users\Admin\AppData\Local\Temp\1D23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D23.tmp"
        236⤵
        
        PID:3904
        
        C:\Users\Admin\AppData\Local\Temp\1D81.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D81.tmp"
        237⤵
        
        PID:2192
        
        C:\Users\Admin\AppData\Local\Temp\1DDF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DDF.tmp"
        238⤵
        
        PID:3916
        
        C:\Users\Admin\AppData\Local\Temp\1E3C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E3C.tmp"
        239⤵
        
        PID:1120
        
        C:\Users\Admin\AppData\Local\Temp\1EAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1EAA.tmp"
        240⤵
        
        PID:3180
        
        C:\Users\Admin\AppData\Local\Temp\1F07.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F07.tmp"
        241⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\1F75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F75.tmp"
        242⤵
        
        PID:4276
        
        C:\Users\Admin\AppData\Local\Temp\1FE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FE2.tmp"
        243⤵
        
        PID:4896
        
        C:\Users\Admin\AppData\Local\Temp\206F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\206F.tmp"
        244⤵
        
        PID:3176
        
        C:\Users\Admin\AppData\Local\Temp\20FB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\20FB.tmp"
        245⤵
        
        PID:2304
        
        C:\Users\Admin\AppData\Local\Temp\2188.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2188.tmp"
        246⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\21E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\21E6.tmp"
        247⤵
        
        PID:4576
        
        C:\Users\Admin\AppData\Local\Temp\2272.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2272.tmp"
        248⤵
        
        PID:3472
        
        C:\Users\Admin\AppData\Local\Temp\230F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\230F.tmp"
        249⤵
        
        PID:2296
        
        C:\Users\Admin\AppData\Local\Temp\238C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\238C.tmp"
        250⤵
        
        PID:1784
        
        C:\Users\Admin\AppData\Local\Temp\23E9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23E9.tmp"
        251⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\2447.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2447.tmp"
        252⤵
        
        PID:1224
        
        C:\Users\Admin\AppData\Local\Temp\24B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24B5.tmp"
        253⤵
        
        PID:2476
        
        C:\Users\Admin\AppData\Local\Temp\2541.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2541.tmp"
        254⤵
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\25AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\25AF.tmp"
        255⤵
        
        PID:1536
        
        C:\Users\Admin\AppData\Local\Temp\263B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\263B.tmp"
        256⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\26B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\26B8.tmp"
        257⤵
        
        PID:1512
        
        C:\Users\Admin\AppData\Local\Temp\2754.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2754.tmp"
        258⤵
        
        PID:3824
        
        C:\Users\Admin\AppData\Local\Temp\27F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27F1.tmp"
        259⤵
        
        PID:4300
        
        C:\Users\Admin\AppData\Local\Temp\287D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\287D.tmp"
        260⤵
        
        PID:2276
        
        C:\Users\Admin\AppData\Local\Temp\28FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28FA.tmp"
        261⤵
        
        PID:4588
        
        C:\Users\Admin\AppData\Local\Temp\2EC7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2EC7.tmp"
        262⤵
        
        PID:2972
        
        C:\Users\Admin\AppData\Local\Temp\2F34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F34.tmp"
        263⤵
        
        PID:2712
        
        C:\Users\Admin\AppData\Local\Temp\2FD0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2FD0.tmp"
        264⤵
        
        PID:412
        
        C:\Users\Admin\AppData\Local\Temp\305D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\305D.tmp"
        265⤵
        
        PID:3776
        
        C:\Users\Admin\AppData\Local\Temp\30EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30EA.tmp"
        266⤵
        
        PID:2956
        
        C:\Users\Admin\AppData\Local\Temp\3176.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3176.tmp"
        267⤵
        
        PID:4636
        
        C:\Users\Admin\AppData\Local\Temp\3203.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3203.tmp"
        268⤵
        
        PID:4828
        
        C:\Users\Admin\AppData\Local\Temp\336A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\336A.tmp"
        269⤵
        
        PID:2140
        
        C:\Users\Admin\AppData\Local\Temp\33C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\33C8.tmp"
        270⤵
        
        PID:4660
        
        C:\Users\Admin\AppData\Local\Temp\3435.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3435.tmp"
        271⤵
        
        PID:3548
        
        C:\Users\Admin\AppData\Local\Temp\34C2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\34C2.tmp"
        272⤵
        
        PID:3184
        
        C:\Users\Admin\AppData\Local\Temp\3520.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3520.tmp"
        273⤵
        
        PID:4852
        
        C:\Users\Admin\AppData\Local\Temp\35AC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\35AC.tmp"
        274⤵
        
        PID:4640
        
        C:\Users\Admin\AppData\Local\Temp\3639.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3639.tmp"
        275⤵
        
        PID:2592
        
        C:\Users\Admin\AppData\Local\Temp\36B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36B6.tmp"
        276⤵
        
        PID:2492
        
        C:\Users\Admin\AppData\Local\Temp\3743.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3743.tmp"
        277⤵
        
        PID:960
        
        C:\Users\Admin\AppData\Local\Temp\37B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37B0.tmp"
        278⤵
        
        PID:1524
        
        C:\Users\Admin\AppData\Local\Temp\382D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\382D.tmp"
        279⤵
        
        PID:1632
        
        C:\Users\Admin\AppData\Local\Temp\389A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\389A.tmp"
        280⤵
        
        PID:1032
        
        C:\Users\Admin\AppData\Local\Temp\3927.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3927.tmp"
        281⤵
        
        PID:756
        
        C:\Users\Admin\AppData\Local\Temp\39A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\39A4.tmp"
        282⤵
        
        PID:652
        
        C:\Users\Admin\AppData\Local\Temp\3A31.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A31.tmp"
        283⤵
        
        PID:4468
        
        C:\Users\Admin\AppData\Local\Temp\3ABD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3ABD.tmp"
        284⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\3B4A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B4A.tmp"
        285⤵
        
        PID:4020
        
        C:\Users\Admin\AppData\Local\Temp\3BB7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3BB7.tmp"
        286⤵
        
        PID:1392
        
        C:\Users\Admin\AppData\Local\Temp\3C53.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C53.tmp"
        287⤵
        
        PID:4896
        
        C:\Users\Admin\AppData\Local\Temp\3CD0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CD0.tmp"
        288⤵
        
        PID:372
        
        C:\Users\Admin\AppData\Local\Temp\3D3E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D3E.tmp"
        289⤵
        
        PID:2304
        
        C:\Users\Admin\AppData\Local\Temp\3DBB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3DBB.tmp"
        290⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\3E38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E38.tmp"
        291⤵
        
        PID:4504
        
        C:\Users\Admin\AppData\Local\Temp\402C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\402C.tmp"
        292⤵
        
        PID:1672
        
        C:\Users\Admin\AppData\Local\Temp\40B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\40B8.tmp"
        293⤵
        
        PID:4656
        
        C:\Users\Admin\AppData\Local\Temp\4135.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4135.tmp"
        294⤵
        
        PID:2952
        
        C:\Users\Admin\AppData\Local\Temp\41E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\41E1.tmp"
        295⤵
        
        PID:2180
        
        C:\Users\Admin\AppData\Local\Temp\4CAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4CAF.tmp"
        296⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\4E26.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E26.tmp"
        297⤵
        
        PID:4712
        
        C:\Users\Admin\AppData\Local\Temp\5133.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5133.tmp"
        298⤵
        
        PID:2056
        
        C:\Users\Admin\AppData\Local\Temp\5615.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5615.tmp"
        299⤵
        
        PID:2276
        
        C:\Users\Admin\AppData\Local\Temp\59DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59DE.tmp"
        300⤵
        
        PID:2208
        
        C:\Users\Admin\AppData\Local\Temp\5FBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FBA.tmp"
        301⤵
        
        PID:4860
        
        C:\Users\Admin\AppData\Local\Temp\6095.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6095.tmp"
        302⤵
        
        PID:60
        
        C:\Users\Admin\AppData\Local\Temp\60F2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\60F2.tmp"
        303⤵
        
        PID:4644
        
        C:\Users\Admin\AppData\Local\Temp\6160.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6160.tmp"
        304⤵
        
        PID:816
        
        C:\Users\Admin\AppData\Local\Temp\61BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\61BE.tmp"
        305⤵
        
        PID:3452
        
        C:\Users\Admin\AppData\Local\Temp\623B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\623B.tmp"
        306⤵
        
        PID:1980
        
        C:\Users\Admin\AppData\Local\Temp\6BB0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BB0.tmp"
        307⤵
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\6C5C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C5C.tmp"
        308⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\72C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72C5.tmp"
        309⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\7352.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7352.tmp"
        310⤵
        
        PID:4352
        
        C:\Users\Admin\AppData\Local\Temp\73CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73CF.tmp"
        311⤵
        
        PID:4028
        
        C:\Users\Admin\AppData\Local\Temp\743C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\743C.tmp"
        312⤵
        
        PID:2256
        
        C:\Users\Admin\AppData\Local\Temp\74C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\74C9.tmp"
        313⤵
        
        PID:1032
        
        C:\Users\Admin\AppData\Local\Temp\9040.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9040.tmp"
        314⤵
        
        PID:4924
        
        C:\Users\Admin\AppData\Local\Temp\96B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\96B8.tmp"
        315⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\9745.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9745.tmp"
        316⤵
        
        PID:4020
        
        C:\Users\Admin\AppData\Local\Temp\97B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\97B2.tmp"
        317⤵
        
        PID:1392
        
        C:\Users\Admin\AppData\Local\Temp\982F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\982F.tmp"
        318⤵
        
        PID:1244
        
        C:\Users\Admin\AppData\Local\Temp\98DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\98DB.tmp"
        319⤵
        
        PID:5112
        
        C:\Users\Admin\AppData\Local\Temp\9968.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9968.tmp"
        320⤵
        
        PID:4428
        
        C:\Users\Admin\AppData\Local\Temp\99F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\99F4.tmp"
        321⤵
        
        PID:4388
        
        C:\Users\Admin\AppData\Local\Temp\9A71.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9A71.tmp"
        322⤵
        
        PID:4504
        
        C:\Users\Admin\AppData\Local\Temp\9B0D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9B0D.tmp"
        323⤵
        
        PID:1672
        
        C:\Users\Admin\AppData\Local\Temp\9B9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9B9A.tmp"
        324⤵
        
        PID:3816
        
        C:\Users\Admin\AppData\Local\Temp\9C17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C17.tmp"
        325⤵
        
        PID:1792
        
        C:\Users\Admin\AppData\Local\Temp\9CB3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9CB3.tmp"
        326⤵
        
        PID:900
        
        C:\Users\Admin\AppData\Local\Temp\9D50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D50.tmp"
        327⤵
        
        PID:5076
        
        C:\Users\Admin\AppData\Local\Temp\9F34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9F34.tmp"
        328⤵
        
        PID:1512
        
        C:\Users\Admin\AppData\Local\Temp\9FA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FA1.tmp"
        329⤵
        
        PID:3588
        
        C:\Users\Admin\AppData\Local\Temp\A03E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A03E.tmp"
        330⤵
        
        PID:3352
        
        C:\Users\Admin\AppData\Local\Temp\A0CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A0CA.tmp"
        331⤵
        
        PID:2648
        
        C:\Users\Admin\AppData\Local\Temp\A147.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A147.tmp"
        332⤵
        
        PID:2452
        
        C:\Users\Admin\AppData\Local\Temp\AABD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AABD.tmp"
        333⤵
        
        PID:3512
        
        C:\Users\Admin\AppData\Local\Temp\AB4A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB4A.tmp"
        334⤵
        
        PID:832
        
        C:\Users\Admin\AppData\Local\Temp\AC53.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC53.tmp"
        335⤵
        
        PID:2472
        
        C:\Users\Admin\AppData\Local\Temp\ACE0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ACE0.tmp"
        336⤵
        
        PID:4856
        
        C:\Users\Admin\AppData\Local\Temp\AD6D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD6D.tmp"
        337⤵
        
        PID:1652
        
        C:\Users\Admin\AppData\Local\Temp\ADEA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ADEA.tmp"
        338⤵
        
        PID:2476
        
        C:\Users\Admin\AppData\Local\Temp\AE86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE86.tmp"
        339⤵
        
        PID:4664
        
        C:\Users\Admin\AppData\Local\Temp\AF12.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF12.tmp"
        340⤵
        
        PID:3416
        
        C:\Users\Admin\AppData\Local\Temp\AF8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF8F.tmp"
        341⤵
        
        PID:724
        
        C:\Users\Admin\AppData\Local\Temp\AFFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AFFD.tmp"
        342⤵
        
        PID:1980
        
        C:\Users\Admin\AppData\Local\Temp\B06A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B06A.tmp"
        343⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\B116.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B116.tmp"
        344⤵
        
        PID:4640
        
        C:\Users\Admin\AppData\Local\Temp\B183.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B183.tmp"
        345⤵
        
        PID:2656
        
        C:\Users\Admin\AppData\Local\Temp\B210.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B210.tmp"
        346⤵
        
        PID:4552
        
        C:\Users\Admin\AppData\Local\Temp\B27D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B27D.tmp"
        347⤵
        
        PID:4044
        
        C:\Users\Admin\AppData\Local\Temp\B30A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B30A.tmp"
        348⤵
        
        PID:2220
        
        C:\Users\Admin\AppData\Local\Temp\B387.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B387.tmp"
        349⤵
        
        PID:1032
        
        C:\Users\Admin\AppData\Local\Temp\B404.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B404.tmp"
        350⤵
        
        PID:2224
        
        C:\Users\Admin\AppData\Local\Temp\B491.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B491.tmp"
        351⤵
        
        PID:4460
        
        C:\Users\Admin\AppData\Local\Temp\B52D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B52D.tmp"
        352⤵
        
        PID:4272
        
        C:\Users\Admin\AppData\Local\Temp\B59A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B59A.tmp"
        353⤵
        
        PID:3036
        
        C:\Users\Admin\AppData\Local\Temp\B646.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B646.tmp"
        354⤵
        
        PID:4792
        
        C:\Users\Admin\AppData\Local\Temp\B6D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B6D3.tmp"
        355⤵
        
        PID:4896
        
        C:\Users\Admin\AppData\Local\Temp\B75F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B75F.tmp"
        356⤵
        
        PID:3740
        
        C:\Users\Admin\AppData\Local\Temp\B7FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7FC.tmp"
        357⤵
        
        PID:3872
        
        C:\Users\Admin\AppData\Local\Temp\B888.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B888.tmp"
        358⤵
        
        PID:4764
        
        C:\Users\Admin\AppData\Local\Temp\B8F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8F6.tmp"
        359⤵
        
        PID:1700
        
        C:\Users\Admin\AppData\Local\Temp\B982.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B982.tmp"
        360⤵
        
        PID:1784
        
        C:\Users\Admin\AppData\Local\Temp\B9FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B9FF.tmp"
        361⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\BA6D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA6D.tmp"
        362⤵
        
        PID:940
        
        C:\Users\Admin\AppData\Local\Temp\BAEA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BAEA.tmp"
        363⤵
        
        PID:2244
        
        C:\Users\Admin\AppData\Local\Temp\BB76.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB76.tmp"
        364⤵
        
        PID:5008
        
        C:\Users\Admin\AppData\Local\Temp\BC03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC03.tmp"
        365⤵
        
        PID:4532
        
        C:\Users\Admin\AppData\Local\Temp\BC80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC80.tmp"
        366⤵
        
        PID:4220
        
        C:\Users\Admin\AppData\Local\Temp\BCFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BCFD.tmp"
        367⤵
        
        PID:4516
        
        C:\Users\Admin\AppData\Local\Temp\BD8A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD8A.tmp"
        368⤵
        
        PID:2168
        
        C:\Users\Admin\AppData\Local\Temp\BE16.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE16.tmp"
        369⤵
        
        PID:1952
        
        C:\Users\Admin\AppData\Local\Temp\BEA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BEA3.tmp"
        370⤵
        
        PID:3100
        
        C:\Users\Admin\AppData\Local\Temp\BF2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF2F.tmp"
        371⤵
        
        PID:1788
        
        C:\Users\Admin\AppData\Local\Temp\BFBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BFBC.tmp"
        372⤵
        
        PID:2276
        
        C:\Users\Admin\AppData\Local\Temp\C049.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C049.tmp"
        373⤵
        
        PID:4436
        
        C:\Users\Admin\AppData\Local\Temp\C0C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0C6.tmp"
        374⤵
        
        PID:3776
        
        C:\Users\Admin\AppData\Local\Temp\C152.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C152.tmp"
        375⤵
        
        PID:4644
        
        C:\Users\Admin\AppData\Local\Temp\C1CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C1CF.tmp"
        376⤵
        
        PID:1224
        
        C:\Users\Admin\AppData\Local\Temp\C24C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C24C.tmp"
        377⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\C2BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C2BA.tmp"
        378⤵
        
        PID:4244
        
        C:\Users\Admin\AppData\Local\Temp\C327.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C327.tmp"
        379⤵
        
        PID:2120
        
        C:\Users\Admin\AppData\Local\Temp\C3A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C3A4.tmp"
        380⤵
        
        PID:2348
        
        C:\Users\Admin\AppData\Local\Temp\C411.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C411.tmp"
        381⤵
        
        PID:2456
        
        C:\Users\Admin\AppData\Local\Temp\C47F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C47F.tmp"
        382⤵
        
        PID:2324
        
        C:\Users\Admin\AppData\Local\Temp\C51B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C51B.tmp"
        383⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\C5B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C5B7.tmp"
        384⤵
        
        PID:2300
        
        C:\Users\Admin\AppData\Local\Temp\C634.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C634.tmp"
        385⤵
        
        PID:3672
        
        C:\Users\Admin\AppData\Local\Temp\C6D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6D1.tmp"
        386⤵
        
        PID:1552
        
        C:\Users\Admin\AppData\Local\Temp\C73E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C73E.tmp"
        387⤵
        
        PID:1132
        
        C:\Users\Admin\AppData\Local\Temp\C7BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C7BB.tmp"
        388⤵
        
        PID:2676
        
        C:\Users\Admin\AppData\Local\Temp\C828.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C828.tmp"
        389⤵
        
        PID:4276
        
        C:\Users\Admin\AppData\Local\Temp\C8B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8B5.tmp"
        390⤵
        
        PID:784
        
        C:\Users\Admin\AppData\Local\Temp\C942.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C942.tmp"
        391⤵
        
        PID:3472
        
        C:\Users\Admin\AppData\Local\Temp\C9AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9AF.tmp"
        392⤵
        
        PID:2164
        
        C:\Users\Admin\AppData\Local\Temp\CA0D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA0D.tmp"
        393⤵
        
        PID:3928
        
        C:\Users\Admin\AppData\Local\Temp\CA7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA7A.tmp"
        394⤵
        
        PID:4452
        
        C:\Users\Admin\AppData\Local\Temp\CAE7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAE7.tmp"
        395⤵
        
        PID:1208
        
        C:\Users\Admin\AppData\Local\Temp\CB55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB55.tmp"
        396⤵
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\CBD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBD2.tmp"
        397⤵
        
        PID:2244
        
        C:\Users\Admin\AppData\Local\Temp\CC5E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC5E.tmp"
        398⤵
        
        PID:3504
        
        C:\Users\Admin\AppData\Local\Temp\CCEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCEB.tmp"
        399⤵
        
        PID:312
        
        C:\Users\Admin\AppData\Local\Temp\CD58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD58.tmp"
        400⤵
        
        PID:4220
        
        C:\Users\Admin\AppData\Local\Temp\CDD5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDD5.tmp"
        401⤵
        
        PID:2424
        
        C:\Users\Admin\AppData\Local\Temp\CE43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE43.tmp"
        402⤵
        
        PID:2168
        
        C:\Users\Admin\AppData\Local\Temp\CECF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CECF.tmp"
        403⤵
        
        PID:4820
        
        C:\Users\Admin\AppData\Local\Temp\CF2D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF2D.tmp"
        404⤵
        
        PID:2972
        
        C:\Users\Admin\AppData\Local\Temp\CFAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFAA.tmp"
        405⤵
        
        PID:3408
        
        C:\Users\Admin\AppData\Local\Temp\D037.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D037.tmp"
        406⤵
        
        PID:4148
        
        C:\Users\Admin\AppData\Local\Temp\D0D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D0D3.tmp"
        407⤵
        
        PID:2532
        
        C:\Users\Admin\AppData\Local\Temp\D1FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1FC.tmp"
        408⤵
        
        PID:1768
        
        C:\Users\Admin\AppData\Local\Temp\D269.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D269.tmp"
        409⤵
        
        PID:3736
        
        C:\Users\Admin\AppData\Local\Temp\D2E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2E6.tmp"
        410⤵
        
        PID:1304
        
        C:\Users\Admin\AppData\Local\Temp\D363.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D363.tmp"
        411⤵
        
        PID:3416
        
        C:\Users\Admin\AppData\Local\Temp\D3E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D3E0.tmp"
        412⤵
        
        PID:724
        
        C:\Users\Admin\AppData\Local\Temp\D44E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D44E.tmp"
        413⤵
        
        PID:412
        
        C:\Users\Admin\AppData\Local\Temp\D4BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D4BB.tmp"
        414⤵
        
        PID:5092
        
        C:\Users\Admin\AppData\Local\Temp\D538.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D538.tmp"
        415⤵
        
        PID:980
        
        C:\Users\Admin\AppData\Local\Temp\D5B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D5B5.tmp"
        416⤵
        
        PID:2656
        
        C:\Users\Admin\AppData\Local\Temp\D651.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D651.tmp"
        417⤵
        
        PID:4640
        
        C:\Users\Admin\AppData\Local\Temp\D6DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6DE.tmp"
        418⤵
        
        PID:4788
        
        C:\Users\Admin\AppData\Local\Temp\D74B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D74B.tmp"
        419⤵
        
        PID:4924
        
        C:\Users\Admin\AppData\Local\Temp\D7C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7C8.tmp"
        420⤵
        
        PID:4460
        
        C:\Users\Admin\AppData\Local\Temp\D845.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D845.tmp"
        421⤵
        
        PID:2256
        
        C:\Users\Admin\AppData\Local\Temp\D8C2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D8C2.tmp"
        422⤵
        
        PID:3488
        
        C:\Users\Admin\AppData\Local\Temp\D94F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D94F.tmp"
        423⤵
        
        PID:4068
        
        C:\Users\Admin\AppData\Local\Temp\D9CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D9CC.tmp"
        424⤵
        
        PID:4576
        
        C:\Users\Admin\AppData\Local\Temp\DA68.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA68.tmp"
        425⤵
        
        PID:4428
        
        C:\Users\Admin\AppData\Local\Temp\DAE5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DAE5.tmp"
        426⤵
        
        PID:2024
        
        C:\Users\Admin\AppData\Local\Temp\DB91.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB91.tmp"
        427⤵
        
        PID:3932
        
        C:\Users\Admin\AppData\Local\Temp\DC5C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC5C.tmp"
        428⤵
        
        PID:4476
        
        C:\Users\Admin\AppData\Local\Temp\DCF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DCF8.tmp"
        429⤵
        
        PID:4936
        
        C:\Users\Admin\AppData\Local\Temp\DD75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD75.tmp"
        430⤵
        
        PID:4452
        
        C:\Users\Admin\AppData\Local\Temp\DDF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DDF2.tmp"
        431⤵
        
        PID:3908
        
        C:\Users\Admin\AppData\Local\Temp\DE6F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE6F.tmp"
        432⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\DF0C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF0C.tmp"
        433⤵
        
        PID:2244
        
        C:\Users\Admin\AppData\Local\Temp\DF69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF69.tmp"
        434⤵
        
        PID:3232
        
        C:\Users\Admin\AppData\Local\Temp\E025.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E025.tmp"
        435⤵
        
        PID:3588
        
        C:\Users\Admin\AppData\Local\Temp\E0A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0A2.tmp"
        436⤵
        
        PID:1792
        
        C:\Users\Admin\AppData\Local\Temp\E11F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E11F.tmp"
        437⤵
        
        PID:3420
        
        C:\Users\Admin\AppData\Local\Temp\E1BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1BB.tmp"
        438⤵
        
        PID:2168
        
        C:\Users\Admin\AppData\Local\Temp\E277.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E277.tmp"
        439⤵
        
        PID:4820
        
        C:\Users\Admin\AppData\Local\Temp\E323.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E323.tmp"
        440⤵
        
        PID:2276
        
        C:\Users\Admin\AppData\Local\Temp\E390.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E390.tmp"
        441⤵
        
        PID:4960
        
        C:\Users\Admin\AppData\Local\Temp\E41D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E41D.tmp"
        442⤵
        
        PID:3508
        
        C:\Users\Admin\AppData\Local\Temp\E4C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E4C8.tmp"
        443⤵
        
        PID:2532
        
        C:\Users\Admin\AppData\Local\Temp\E536.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E536.tmp"
        444⤵
        
        PID:4880
        
        C:\Users\Admin\AppData\Local\Temp\E5D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5D2.tmp"
        445⤵
        
        PID:3736
        
        C:\Users\Admin\AppData\Local\Temp\E65F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E65F.tmp"
        446⤵
        
        PID:4636
        
        C:\Users\Admin\AppData\Local\Temp\E6CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E6CC.tmp"
        447⤵
        
        PID:3820
        
        C:\Users\Admin\AppData\Local\Temp\E759.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E759.tmp"
        448⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\E7D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7D6.tmp"
        449⤵
        
        PID:1268
        
        C:\Users\Admin\AppData\Local\Temp\E872.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E872.tmp"
        450⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\E8DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E8DF.tmp"
        451⤵
        
        PID:4664
        
        C:\Users\Admin\AppData\Local\Temp\E94D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E94D.tmp"
        452⤵
        
        PID:2656
        
        C:\Users\Admin\AppData\Local\Temp\E9BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9BA.tmp"
        453⤵
        
        PID:3876
        
        C:\Users\Admin\AppData\Local\Temp\EA56.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA56.tmp"
        454⤵
        
        PID:4564
        
        C:\Users\Admin\AppData\Local\Temp\EAF3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EAF3.tmp"
        455⤵
        
        PID:3392
        
        C:\Users\Admin\AppData\Local\Temp\EB8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB8F.tmp"
        456⤵
        
        PID:1032
        
        C:\Users\Admin\AppData\Local\Temp\EC2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC2B.tmp"
        457⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\ECA8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ECA8.tmp"
        458⤵
        
        PID:2256
        
        C:\Users\Admin\AppData\Local\Temp\ED25.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED25.tmp"
        459⤵
        
        PID:3488
        
        C:\Users\Admin\AppData\Local\Temp\EDC1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDC1.tmp"
        460⤵
        
        PID:3684
        
        C:\Users\Admin\AppData\Local\Temp\EE3E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE3E.tmp"
        461⤵
        
        PID:3472
        
        C:\Users\Admin\AppData\Local\Temp\EECB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EECB.tmp"
        462⤵
        
        PID:4428
        
        C:\Users\Admin\AppData\Local\Temp\EF58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF58.tmp"
        463⤵
        
        PID:2024
        
        C:\Users\Admin\AppData\Local\Temp\EFE4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFE4.tmp"
        464⤵
        
        PID:1784
        
        C:\Users\Admin\AppData\Local\Temp\F042.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F042.tmp"
        465⤵
        
        PID:3120
        
        C:\Users\Admin\AppData\Local\Temp\F0DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0DE.tmp"
        466⤵
        
        PID:3812
        
        C:\Users\Admin\AppData\Local\Temp\F19A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F19A.tmp"
        467⤵
        
        PID:4452
        
        C:\Users\Admin\AppData\Local\Temp\F226.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F226.tmp"
        468⤵
        
        PID:4052
        
        C:\Users\Admin\AppData\Local\Temp\F2B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2B3.tmp"
        469⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\F340.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F340.tmp"
        470⤵
        
        PID:2244
        
        C:\Users\Admin\AppData\Local\Temp\F3EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3EB.tmp"
        471⤵
        
        PID:3232
        
        C:\Users\Admin\AppData\Local\Temp\F478.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F478.tmp"
        472⤵
        
        PID:3588
        
        C:\Users\Admin\AppData\Local\Temp\F4E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4E5.tmp"
        473⤵
        
        PID:1792
        
        C:\Users\Admin\AppData\Local\Temp\F582.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F582.tmp"
        474⤵
        
        PID:4588
        
        C:\Users\Admin\AppData\Local\Temp\F5FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5FF.tmp"
        475⤵
        
        PID:5060
        
        C:\Users\Admin\AppData\Local\Temp\F68B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F68B.tmp"
        476⤵
        
        PID:2312
        
        C:\Users\Admin\AppData\Local\Temp\F6F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F6F9.tmp"
        477⤵
        
        PID:2548
        
        C:\Users\Admin\AppData\Local\Temp\F795.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F795.tmp"
        478⤵
        
        PID:4960
        
        C:\Users\Admin\AppData\Local\Temp\F812.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F812.tmp"
        479⤵
        
        PID:3508
        
        C:\Users\Admin\AppData\Local\Temp\F87F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F87F.tmp"
        480⤵
        
        PID:2476
        
        C:\Users\Admin\AppData\Local\Temp\F91C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F91C.tmp"
        481⤵
        
        PID:4840
        
        C:\Users\Admin\AppData\Local\Temp\F9A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9A8.tmp"
        482⤵
        
        PID:2860
        
        C:\Users\Admin\AppData\Local\Temp\FA25.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA25.tmp"
        483⤵
        
        PID:2120
        
        C:\Users\Admin\AppData\Local\Temp\FAB2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FAB2.tmp"
        484⤵
        
        PID:1464
        
        C:\Users\Admin\AppData\Local\Temp\FB3E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB3E.tmp"
        485⤵
        
        PID:3184
        
        C:\Users\Admin\AppData\Local\Temp\FBCB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FBCB.tmp"
        486⤵
        
        PID:412
        
        C:\Users\Admin\AppData\Local\Temp\FC48.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC48.tmp"
        487⤵
        
        PID:1268
        
        C:\Users\Admin\AppData\Local\Temp\FCB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FCB5.tmp"
        488⤵
        
        PID:2236
        
        C:\Users\Admin\AppData\Local\Temp\FD52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD52.tmp"
        489⤵
        
        PID:3256
        
        C:\Users\Admin\AppData\Local\Temp\FDCF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDCF.tmp"
        490⤵
        
        PID:2148
        
        C:\Users\Admin\AppData\Local\Temp\FE5B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE5B.tmp"
        491⤵
        
        PID:4688
        
        C:\Users\Admin\AppData\Local\Temp\FEE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEE8.tmp"
        492⤵
        
        PID:2348
        
        C:\Users\Admin\AppData\Local\Temp\4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F.tmp"
        493⤵
        
        PID:4612
        
        C:\Users\Admin\AppData\Local\Temp\2934.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2934.tmp"
        494⤵
        
        PID:784

C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\servicing\TrustedInstaller.exe
1⤵
PID:1312

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\E9C4.tmp

Filesize
488KB

MD5
d02af77ad83deb9595d9fb9d559158ce

SHA1
10e172d188618f6eb45b71afca6acae68e85d1c5

SHA256
ab884ff1074460cd695df4270ab0f8697c3cb77a22c7d948eabafba6e5a903f0

SHA512
b7cd2fc33bc2e95ea62aa36fe26c59803995d2eb1c0c3218b959ad70bfa02cb8f1c65b7f64a77b62398ffee40f700877ee6afa2950b6d86b7c35d5049440ca6b

Download Submit
C:\Users\Admin\AppData\Local\Temp\EB3B.tmp

Filesize
488KB

MD5
46e8fe8d1878cd2d3078ba5690fe8fd3

SHA1
d6901b3fbf944a433b689965c2dae13f456637c3

SHA256
8c105e188c448976b7b9f037fcb3fbaf9a2fca5bf6bb23d0e6496cf767b1dba6

SHA512
810bfa2c4abb5d783aaf116147ff2ede580c7f41a6983d68b647c4089708ef92b9d38d7feebe2620795c0af33f2667f77327dd97a2f6b13840eb386d7fcf8067

Download Submit
C:\Users\Admin\AppData\Local\Temp\EBC7.tmp

Filesize
488KB

MD5
f178650811d801ce5d18a4b2096a7b6f

SHA1
bbfa1822ee0d78b37bf14d9b03d97cfa0a149bf5

SHA256
0b078eeb3b1662cd8cb6142216a44c237d5847bc4ecccac15431be98287eb8ba

SHA512
9b2cd0669cf85326d12497418a6c2a8bfe9c5791e57f5b7216b3d4b3f5df9d87ca4637481d3850120e056900789219d5541ddb3a26deee3d1d87224569f436e8

Download Submit
C:\Users\Admin\AppData\Local\Temp\EC54.tmp

Filesize
386KB

MD5
af0a91c4800a3d29ed53490eb8ef5cad

SHA1
f0507c78a68e5cbfc3d94f5a0412598346b4e40f

SHA256
cf08d84198d6dda6c2f77b27272822b41b2b519dd3d9194a3265a73dfd9cc1f4

SHA512
e2a4643e3d5d04c040384dd3831ceba5e9b86a086c0e67aaa49b7776cd0855da8733daacd9bb1ac08dd2bd9ddb2f67cd908effdd1293124aec55eb2622dda59b

Download Submit
C:\Users\Admin\AppData\Local\Temp\EC54.tmp

Filesize
94KB

MD5
3982e2fcb3a139b5cba3d66e1d31dcb6

SHA1
1d4ad08fe74cde44f340b8421724c4dbf53d8ca3

SHA256
a7d90365368f97b343534a27a9a83300784ad9c8737f6f93a2ea5a750ba7d0bb

SHA512
d0c405e1d56b5665c95b3073fe68dd5a5079da86516d566b86c530fc4cd8afdb4b44485b8918e611562d620104dbc32a6ce63c0be25ec90cc4c208f8e8bead16

Download Submit
C:\Users\Admin\AppData\Local\Temp\ECD1.tmp

Filesize
96KB

MD5
1623c2b87c55ff42a377fadb5d644e63

SHA1
6f4fdab12efff39f8e8d201fba06ad99e41a4b8f

SHA256
5cedcbc64e58792234886ede737ae8ef44e9e0174ed2c6e8d7f099dda55ebea4

SHA512
a9b5f93b31bb4af84e1e36fb72e9a2496bb2f4dd8836ab5b98080cf622a3251b1fa8997af56b50712cd442ed8ec56bbcd1c055f31b7ba04f4bef05df4c0aeecd

Download Submit
C:\Users\Admin\AppData\Local\Temp\ED7D.tmp

Filesize
488KB

MD5
80e94e1d3ec8558bc49d22c2f743fd39

SHA1
c95ac14537cc3f177302ed73adc5d5170397b5ee

SHA256
3c8b85057444d77b569d8697cf33b8ff15eaca3693ca98b312d6c169b16a5f27

SHA512
5a171b69a60e9f062f88c32c13f406e651a0e4cf72e38e20943a6bb472aad6176ef66f55641df05460d7ba8ed9261e48ca57155a9cb4debe5e04636dfb827365

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads