bddec86c2661b98cefd9d42f6ee290a1c3628d5ba941b1e2b005c9f4531d64ce

Analysis

max time kernel
150s
max time network
118s
platform
windows7_x64
resource
win7-20231215-en
resource tags

arch:x64arch:x86image:win7-20231215-enlocale:en-usos:windows7-x64system
submitted
07/01/2024, 12:18

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2024-01-06_f82a50f972de10dce54959ea057a2fe6_mafia.exe
Size

520KB
MD5

f82a50f972de10dce54959ea057a2fe6
SHA1

d4802714e9fb78a740ac18de22adc6ddd3fa286f
SHA256

bddec86c2661b98cefd9d42f6ee290a1c3628d5ba941b1e2b005c9f4531d64ce
SHA512

2b36fe2d30a26e8a0a2f541211959d8c92b861ec029c0089cc5b3203c808803b57c428b291f353565376b594d1444d347c95fc7a02b9363527b21a50d2b97234
SSDEEP

12288:gj8fuxR21t5i8fCD9b4poJe+1mqJQ2UBEhNZ:gj8fuK1GY03eKQ2eGN

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
2856	2462.tmp
2180	24A0.tmp
2788	24DF.tmp
2996	251D.tmp
2776	255C.tmp
2844	259A.tmp
2900	25D8.tmp
2580	2617.tmp
2548	2655.tmp
1412	2694.tmp
1908	26D2.tmp
2896	2710.tmp
2920	274F.tmp
3064	278D.tmp
1912	27CC.tmp
1556	280A.tmp
1000	2848.tmp
328	2887.tmp
1476	28C5.tmp
2888	2904.tmp
1312	2942.tmp
1140	2980.tmp
1832	29BF.tmp
1616	29FD.tmp
592	7F3E.tmp
804	2A7A.tmp
1956	2AB8.tmp
1856	7FF9.tmp
1996	2B35.tmp
752	471E.tmp
576	2BB2.tmp
2172	2BF0.tmp
652	47D9.tmp
1132	2C6D.tmp
308	2CAC.tmp
2288	48A4.tmp
448	8298.tmp
2508	2D67.tmp
2176	4950.tmp
1684	2DE4.tmp
1688	2E22.tmp
1296	73E8.tmp
1208	83FF.tmp
2620	2EDD.tmp
856	2F1C.tmp
2012	2F5A.tmp
1976	2F98.tmp
2448	2FD7.tmp
844	669F.tmp
1080	86BD.tmp
2460	870B.tmp
2060	8759.tmp
1424	311E.tmp
3036	7677.tmp
1508	319B.tmp
1492	31DA.tmp
1572	3218.tmp
2636	68D1.tmp
2808	3295.tmp
2988	32D3.tmp
2780	698C.tmp
2744	3350.tmp
2844	259A.tmp
1668	4EFA.tmp

Loads dropped DLL 64 IoCs

pid	Process
1572	3218.tmp
2856	2462.tmp
2180	24A0.tmp
2788	24DF.tmp
2996	251D.tmp
2776	255C.tmp
2844	259A.tmp
2900	25D8.tmp
2580	2617.tmp
2548	2655.tmp
1412	2694.tmp
1908	26D2.tmp
2896	2710.tmp
2920	274F.tmp
3064	278D.tmp
1912	27CC.tmp
1556	280A.tmp
1000	2848.tmp
328	2887.tmp
1476	28C5.tmp
2888	2904.tmp
1312	2942.tmp
1140	2980.tmp
1832	29BF.tmp
1616	29FD.tmp
592	7F3E.tmp
804	2A7A.tmp
1956	2AB8.tmp
1856	7FF9.tmp
1996	2B35.tmp
752	471E.tmp
576	2BB2.tmp
2172	2BF0.tmp
652	47D9.tmp
1132	2C6D.tmp
308	2CAC.tmp
2288	48A4.tmp
448	8298.tmp
2508	2D67.tmp
2176	4950.tmp
1684	2DE4.tmp
1688	2E22.tmp
1296	73E8.tmp
1208	83FF.tmp
2620	2EDD.tmp
856	2F1C.tmp
2012	2F5A.tmp
1976	2F98.tmp
2448	2FD7.tmp
844	669F.tmp
1080	86BD.tmp
2460	870B.tmp
2060	8759.tmp
1424	311E.tmp
3036	7677.tmp
1508	319B.tmp
1492	31DA.tmp
1572	3218.tmp
2636	68D1.tmp
2808	3295.tmp
2988	32D3.tmp
2780	698C.tmp
2744	3350.tmp
2844	259A.tmp

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1572 wrote to memory of 2856	1572	3218.tmp	384
PID 1572 wrote to memory of 2856	1572	3218.tmp	384
PID 1572 wrote to memory of 2856	1572	3218.tmp	384
PID 1572 wrote to memory of 2856	1572	3218.tmp	384
PID 2856 wrote to memory of 2180	2856	2462.tmp	383
PID 2856 wrote to memory of 2180	2856	2462.tmp	383
PID 2856 wrote to memory of 2180	2856	2462.tmp	383
PID 2856 wrote to memory of 2180	2856	2462.tmp	383
PID 2180 wrote to memory of 2788	2180	24A0.tmp	382
PID 2180 wrote to memory of 2788	2180	24A0.tmp	382
PID 2180 wrote to memory of 2788	2180	24A0.tmp	382
PID 2180 wrote to memory of 2788	2180	24A0.tmp	382
PID 2788 wrote to memory of 2996	2788	24DF.tmp	381
PID 2788 wrote to memory of 2996	2788	24DF.tmp	381
PID 2788 wrote to memory of 2996	2788	24DF.tmp	381
PID 2788 wrote to memory of 2996	2788	24DF.tmp	381
PID 2996 wrote to memory of 2776	2996	251D.tmp	380
PID 2996 wrote to memory of 2776	2996	251D.tmp	380
PID 2996 wrote to memory of 2776	2996	251D.tmp	380
PID 2996 wrote to memory of 2776	2996	251D.tmp	380
PID 2776 wrote to memory of 2844	2776	255C.tmp	379
PID 2776 wrote to memory of 2844	2776	255C.tmp	379
PID 2776 wrote to memory of 2844	2776	255C.tmp	379
PID 2776 wrote to memory of 2844	2776	255C.tmp	379
PID 2844 wrote to memory of 2900	2844	259A.tmp	378
PID 2844 wrote to memory of 2900	2844	259A.tmp	378
PID 2844 wrote to memory of 2900	2844	259A.tmp	378
PID 2844 wrote to memory of 2900	2844	259A.tmp	378
PID 2900 wrote to memory of 2580	2900	25D8.tmp	377
PID 2900 wrote to memory of 2580	2900	25D8.tmp	377
PID 2900 wrote to memory of 2580	2900	25D8.tmp	377
PID 2900 wrote to memory of 2580	2900	25D8.tmp	377
PID 2580 wrote to memory of 2548	2580	2617.tmp	376
PID 2580 wrote to memory of 2548	2580	2617.tmp	376
PID 2580 wrote to memory of 2548	2580	2617.tmp	376
PID 2580 wrote to memory of 2548	2580	2617.tmp	376
PID 2548 wrote to memory of 1412	2548	2655.tmp	375
PID 2548 wrote to memory of 1412	2548	2655.tmp	375
PID 2548 wrote to memory of 1412	2548	2655.tmp	375
PID 2548 wrote to memory of 1412	2548	2655.tmp	375
PID 1412 wrote to memory of 1908	1412	2694.tmp	374
PID 1412 wrote to memory of 1908	1412	2694.tmp	374
PID 1412 wrote to memory of 1908	1412	2694.tmp	374
PID 1412 wrote to memory of 1908	1412	2694.tmp	374
PID 1908 wrote to memory of 2896	1908	26D2.tmp	373
PID 1908 wrote to memory of 2896	1908	26D2.tmp	373
PID 1908 wrote to memory of 2896	1908	26D2.tmp	373
PID 1908 wrote to memory of 2896	1908	26D2.tmp	373
PID 2896 wrote to memory of 2920	2896	2710.tmp	372
PID 2896 wrote to memory of 2920	2896	2710.tmp	372
PID 2896 wrote to memory of 2920	2896	2710.tmp	372
PID 2896 wrote to memory of 2920	2896	2710.tmp	372
PID 2920 wrote to memory of 3064	2920	274F.tmp	371
PID 2920 wrote to memory of 3064	2920	274F.tmp	371
PID 2920 wrote to memory of 3064	2920	274F.tmp	371
PID 2920 wrote to memory of 3064	2920	274F.tmp	371
PID 3064 wrote to memory of 1912	3064	278D.tmp	370
PID 3064 wrote to memory of 1912	3064	278D.tmp	370
PID 3064 wrote to memory of 1912	3064	278D.tmp	370
PID 3064 wrote to memory of 1912	3064	278D.tmp	370
PID 1912 wrote to memory of 1556	1912	27CC.tmp	369
PID 1912 wrote to memory of 1556	1912	27CC.tmp	369
PID 1912 wrote to memory of 1556	1912	27CC.tmp	369
PID 1912 wrote to memory of 1556	1912	27CC.tmp	369

C:\Users\Admin\AppData\Local\Temp\2024-01-06_f82a50f972de10dce54959ea057a2fe6_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-06_f82a50f972de10dce54959ea057a2fe6_mafia.exe"
1⤵
PID:1572
- C:\Users\Admin\AppData\Local\Temp\3256.tmp
  "C:\Users\Admin\AppData\Local\Temp\3256.tmp"
  2⤵
  PID:2636
- - C:\Users\Admin\AppData\Local\Temp\690F.tmp
    "C:\Users\Admin\AppData\Local\Temp\690F.tmp"
    3⤵
    PID:2808
  - - C:\Users\Admin\AppData\Local\Temp\32D3.tmp
      "C:\Users\Admin\AppData\Local\Temp\32D3.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2988

C:\Users\Admin\AppData\Local\Temp\2A3C.tmp
"C:\Users\Admin\AppData\Local\Temp\2A3C.tmp"
1⤵
PID:592

C:\Users\Admin\AppData\Local\Temp\2AF7.tmp
"C:\Users\Admin\AppData\Local\Temp\2AF7.tmp"
1⤵
PID:1856

C:\Users\Admin\AppData\Local\Temp\2B74.tmp
"C:\Users\Admin\AppData\Local\Temp\2B74.tmp"
1⤵
PID:752
- C:\Users\Admin\AppData\Local\Temp\475C.tmp
  "C:\Users\Admin\AppData\Local\Temp\475C.tmp"
  2⤵
  PID:1564
- - C:\Users\Admin\AppData\Local\Temp\62D8.tmp
    "C:\Users\Admin\AppData\Local\Temp\62D8.tmp"
    3⤵
    PID:2172
  - - C:\Users\Admin\AppData\Local\Temp\6316.tmp
      "C:\Users\Admin\AppData\Local\Temp\6316.tmp"
      4⤵
      PID:652
    - - C:\Users\Admin\AppData\Local\Temp\6355.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6355.tmp"
        5⤵
        
        PID:2360
  - - C:\Users\Admin\AppData\Local\Temp\71C6.tmp
      "C:\Users\Admin\AppData\Local\Temp\71C6.tmp"
      4⤵
      PID:2332
    - - C:\Users\Admin\AppData\Local\Temp\7205.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7205.tmp"
        5⤵
        
        PID:2312
      - C:\Users\Admin\AppData\Local\Temp\7243.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7243.tmp"
        6⤵
        
        PID:2992
        
        C:\Users\Admin\AppData\Local\Temp\561C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\561C.tmp"
        7⤵
        
        PID:1368
      - C:\Users\Admin\AppData\Local\Temp\55DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55DD.tmp"
        6⤵
        
        PID:2992
        
        C:\Users\Admin\AppData\Local\Temp\92DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\92DD.tmp"
        7⤵
        
        PID:2508

C:\Users\Admin\AppData\Local\Temp\2C2F.tmp
"C:\Users\Admin\AppData\Local\Temp\2C2F.tmp"
1⤵
PID:652
- C:\Users\Admin\AppData\Local\Temp\4818.tmp
  "C:\Users\Admin\AppData\Local\Temp\4818.tmp"
  2⤵
  PID:1132
- - C:\Users\Admin\AppData\Local\Temp\4856.tmp
    "C:\Users\Admin\AppData\Local\Temp\4856.tmp"
    3⤵
    PID:308
- - C:\Users\Admin\AppData\Local\Temp\2CAC.tmp
    "C:\Users\Admin\AppData\Local\Temp\2CAC.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:308

C:\Users\Admin\AppData\Local\Temp\2CEA.tmp
"C:\Users\Admin\AppData\Local\Temp\2CEA.tmp"
1⤵
PID:2288
- C:\Users\Admin\AppData\Local\Temp\48E2.tmp
  "C:\Users\Admin\AppData\Local\Temp\48E2.tmp"
  2⤵
  PID:1104
- - C:\Users\Admin\AppData\Local\Temp\644F.tmp
    "C:\Users\Admin\AppData\Local\Temp\644F.tmp"
    3⤵
    PID:616
  - - C:\Users\Admin\AppData\Local\Temp\648D.tmp
      "C:\Users\Admin\AppData\Local\Temp\648D.tmp"
      4⤵
      PID:2176
    - - C:\Users\Admin\AppData\Local\Temp\64CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\64CB.tmp"
        5⤵
        
        PID:1740
      - C:\Users\Admin\AppData\Local\Temp\49CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49CC.tmp"
        6⤵
        
        PID:1688
  - - C:\Users\Admin\AppData\Local\Temp\4950.tmp
      "C:\Users\Admin\AppData\Local\Temp\4950.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2176
    - - C:\Users\Admin\AppData\Local\Temp\2DE4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2DE4.tmp"
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1684

C:\Users\Admin\AppData\Local\Temp\2DA5.tmp
"C:\Users\Admin\AppData\Local\Temp\2DA5.tmp"
1⤵
PID:2176
- C:\Users\Admin\AppData\Local\Temp\498E.tmp
  "C:\Users\Admin\AppData\Local\Temp\498E.tmp"
  2⤵
  PID:1740
- - C:\Users\Admin\AppData\Local\Temp\73E8.tmp
    "C:\Users\Admin\AppData\Local\Temp\73E8.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1296
  - - C:\Users\Admin\AppData\Local\Temp\2E9F.tmp
      "C:\Users\Admin\AppData\Local\Temp\2E9F.tmp"
      4⤵
      PID:1208
    - - C:\Users\Admin\AppData\Local\Temp\843D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\843D.tmp"
        5⤵
        
        PID:1488

C:\Users\Admin\AppData\Local\Temp\2E60.tmp
"C:\Users\Admin\AppData\Local\Temp\2E60.tmp"
1⤵
PID:1296
- C:\Users\Admin\AppData\Local\Temp\7417.tmp
  "C:\Users\Admin\AppData\Local\Temp\7417.tmp"
  2⤵
  PID:2092
- - C:\Users\Admin\AppData\Local\Temp\7455.tmp
    "C:\Users\Admin\AppData\Local\Temp\7455.tmp"
    3⤵
    PID:2528
- - C:\Users\Admin\AppData\Local\Temp\3CC2.tmp
    "C:\Users\Admin\AppData\Local\Temp\3CC2.tmp"
    3⤵
    PID:756

C:\Users\Admin\AppData\Local\Temp\2F1C.tmp
"C:\Users\Admin\AppData\Local\Temp\2F1C.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:856
- C:\Users\Admin\AppData\Local\Temp\2F5A.tmp
  "C:\Users\Admin\AppData\Local\Temp\2F5A.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2012
- - C:\Users\Admin\AppData\Local\Temp\FCD6.tmp
    "C:\Users\Admin\AppData\Local\Temp\FCD6.tmp"
    3⤵
    PID:760

C:\Users\Admin\AppData\Local\Temp\2FD7.tmp
"C:\Users\Admin\AppData\Local\Temp\2FD7.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2448
- C:\Users\Admin\AppData\Local\Temp\3015.tmp
  "C:\Users\Admin\AppData\Local\Temp\3015.tmp"
  2⤵
  PID:844
- - C:\Users\Admin\AppData\Local\Temp\66DE.tmp
    "C:\Users\Admin\AppData\Local\Temp\66DE.tmp"
    3⤵
    PID:2436
  - - C:\Users\Admin\AppData\Local\Temp\671C.tmp
      "C:\Users\Admin\AppData\Local\Temp\671C.tmp"
      4⤵
      PID:888

C:\Users\Admin\AppData\Local\Temp\30E0.tmp
"C:\Users\Admin\AppData\Local\Temp\30E0.tmp"
1⤵
PID:2060
- C:\Users\Admin\AppData\Local\Temp\6816.tmp
  "C:\Users\Admin\AppData\Local\Temp\6816.tmp"
  2⤵
  PID:2980

C:\Users\Admin\AppData\Local\Temp\315D.tmp
"C:\Users\Admin\AppData\Local\Temp\315D.tmp"
1⤵
PID:3036
- C:\Users\Admin\AppData\Local\Temp\76B6.tmp
  "C:\Users\Admin\AppData\Local\Temp\76B6.tmp"
  2⤵
  PID:3032
- - C:\Users\Admin\AppData\Local\Temp\76F4.tmp
    "C:\Users\Admin\AppData\Local\Temp\76F4.tmp"
    3⤵
    PID:1492
  - - C:\Users\Admin\AppData\Local\Temp\3218.tmp
      "C:\Users\Admin\AppData\Local\Temp\3218.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of WriteProcessMemory
      PID:1572
    - - C:\Users\Admin\AppData\Local\Temp\2462.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2462.tmp"
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:2856
      - C:\Users\Admin\AppData\Local\Temp\8852.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8852.tmp"
        6⤵
        
        PID:2180
        
        C:\Users\Admin\AppData\Local\Temp\8891.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8891.tmp"
        7⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\BCCA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BCCA.tmp"
        8⤵
        
        PID:2988
- - C:\Users\Admin\AppData\Local\Temp\5A6F.tmp
    "C:\Users\Admin\AppData\Local\Temp\5A6F.tmp"
    3⤵
    PID:1520
- - C:\Users\Admin\AppData\Local\Temp\3F32.tmp
    "C:\Users\Admin\AppData\Local\Temp\3F32.tmp"
    3⤵
    PID:2980
  - - C:\Users\Admin\AppData\Local\Temp\97FB.tmp
      "C:\Users\Admin\AppData\Local\Temp\97FB.tmp"
      4⤵
      PID:3044
    - - C:\Users\Admin\AppData\Local\Temp\983A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\983A.tmp"
        5⤵
        
        PID:2820

C:\Users\Admin\AppData\Local\Temp\3312.tmp
"C:\Users\Admin\AppData\Local\Temp\3312.tmp"
1⤵
PID:2780

C:\Users\Admin\AppData\Local\Temp\33CD.tmp
"C:\Users\Admin\AppData\Local\Temp\33CD.tmp"
1⤵
PID:1668

C:\Users\Admin\AppData\Local\Temp\3478.tmp
"C:\Users\Admin\AppData\Local\Temp\3478.tmp"
1⤵
PID:1640
- C:\Users\Admin\AppData\Local\Temp\4FF4.tmp
  "C:\Users\Admin\AppData\Local\Temp\4FF4.tmp"
  2⤵
  PID:1908
- - C:\Users\Admin\AppData\Local\Temp\34F5.tmp
    "C:\Users\Admin\AppData\Local\Temp\34F5.tmp"
    3⤵
    PID:2944

C:\Users\Admin\AppData\Local\Temp\3572.tmp
"C:\Users\Admin\AppData\Local\Temp\3572.tmp"
1⤵
PID:2764
- C:\Users\Admin\AppData\Local\Temp\5E75.tmp
  "C:\Users\Admin\AppData\Local\Temp\5E75.tmp"
  2⤵
  PID:764
- - C:\Users\Admin\AppData\Local\Temp\5EB3.tmp
    "C:\Users\Admin\AppData\Local\Temp\5EB3.tmp"
    3⤵
    PID:2740
  - - C:\Users\Admin\AppData\Local\Temp\6D53.tmp
      "C:\Users\Admin\AppData\Local\Temp\6D53.tmp"
      4⤵
      PID:1676
    - - C:\Users\Admin\AppData\Local\Temp\6D92.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D92.tmp"
        5⤵
        
        PID:1228
      - C:\Users\Admin\AppData\Local\Temp\6DD0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DD0.tmp"
        6⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\6DFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DFF.tmp"
        7⤵
        
        PID:1608
        
        C:\Users\Admin\AppData\Local\Temp\6E3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E3D.tmp"
        8⤵
        
        PID:1236
        
        C:\Users\Admin\AppData\Local\Temp\6E7C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E7C.tmp"
        9⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\9F8A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9F8A.tmp"
        10⤵
        
        PID:2152
        
        C:\Users\Admin\AppData\Local\Temp\5245.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5245.tmp"
        7⤵
        
        PID:2224
      - C:\Users\Admin\AppData\Local\Temp\7D79.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D79.tmp"
        6⤵
        
        PID:2876

C:\Users\Admin\AppData\Local\Temp\35FE.tmp
"C:\Users\Admin\AppData\Local\Temp\35FE.tmp"
1⤵
PID:1556
- C:\Users\Admin\AppData\Local\Temp\6CD7.tmp
  "C:\Users\Admin\AppData\Local\Temp\6CD7.tmp"
  2⤵
  PID:2664
- - C:\Users\Admin\AppData\Local\Temp\6D15.tmp
    "C:\Users\Admin\AppData\Local\Temp\6D15.tmp"
    3⤵
    PID:2740

C:\Users\Admin\AppData\Local\Temp\367B.tmp
"C:\Users\Admin\AppData\Local\Temp\367B.tmp"
1⤵
PID:1332
- C:\Users\Admin\AppData\Local\Temp\36BA.tmp
  "C:\Users\Admin\AppData\Local\Temp\36BA.tmp"
  2⤵
  PID:1476
- - C:\Users\Admin\AppData\Local\Temp\2904.tmp
    "C:\Users\Admin\AppData\Local\Temp\2904.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:2888

C:\Users\Admin\AppData\Local\Temp\36F8.tmp
"C:\Users\Admin\AppData\Local\Temp\36F8.tmp"
1⤵
PID:2888
- C:\Users\Admin\AppData\Local\Temp\3736.tmp
  "C:\Users\Admin\AppData\Local\Temp\3736.tmp"
  2⤵
  PID:1312
- - C:\Users\Admin\AppData\Local\Temp\2980.tmp
    "C:\Users\Admin\AppData\Local\Temp\2980.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1140
- C:\Users\Admin\AppData\Local\Temp\2942.tmp
  "C:\Users\Admin\AppData\Local\Temp\2942.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1312

C:\Users\Admin\AppData\Local\Temp\3794.tmp
"C:\Users\Admin\AppData\Local\Temp\3794.tmp"
1⤵
PID:2044
- C:\Users\Admin\AppData\Local\Temp\6F47.tmp
  "C:\Users\Admin\AppData\Local\Temp\6F47.tmp"
  2⤵
  PID:532
- - C:\Users\Admin\AppData\Local\Temp\6F85.tmp
    "C:\Users\Admin\AppData\Local\Temp\6F85.tmp"
    3⤵
    PID:784
- - C:\Users\Admin\AppData\Local\Temp\536D.tmp
    "C:\Users\Admin\AppData\Local\Temp\536D.tmp"
    3⤵
    PID:784

C:\Users\Admin\AppData\Local\Temp\3801.tmp
"C:\Users\Admin\AppData\Local\Temp\3801.tmp"
1⤵
PID:1616
- C:\Users\Admin\AppData\Local\Temp\6162.tmp
  "C:\Users\Admin\AppData\Local\Temp\6162.tmp"
  2⤵
  PID:2028

C:\Users\Admin\AppData\Local\Temp\388E.tmp
"C:\Users\Admin\AppData\Local\Temp\388E.tmp"
1⤵
PID:804
- C:\Users\Admin\AppData\Local\Temp\5428.tmp
  "C:\Users\Admin\AppData\Local\Temp\5428.tmp"
  2⤵
  PID:1960
- - C:\Users\Admin\AppData\Local\Temp\5467.tmp
    "C:\Users\Admin\AppData\Local\Temp\5467.tmp"
    3⤵
    PID:1400
  - - C:\Users\Admin\AppData\Local\Temp\C449.tmp
      "C:\Users\Admin\AppData\Local\Temp\C449.tmp"
      4⤵
      PID:784
    - - C:\Users\Admin\AppData\Local\Temp\E5DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5DC.tmp"
        5⤵
        
        PID:2512
- C:\Users\Admin\AppData\Local\Temp\7031.tmp
  "C:\Users\Admin\AppData\Local\Temp\7031.tmp"
  2⤵
  PID:2560
- - C:\Users\Admin\AppData\Local\Temp\706F.tmp
    "C:\Users\Admin\AppData\Local\Temp\706F.tmp"
    3⤵
    PID:1956
  - - C:\Users\Admin\AppData\Local\Temp\621D.tmp
      "C:\Users\Admin\AppData\Local\Temp\621D.tmp"
      4⤵
      PID:636
    - - C:\Users\Admin\AppData\Local\Temp\8102.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8102.tmp"
        5⤵
        
        PID:1780
      - C:\Users\Admin\AppData\Local\Temp\8141.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8141.tmp"
        6⤵
        
        PID:2488
- - C:\Users\Admin\AppData\Local\Temp\F872.tmp
    "C:\Users\Admin\AppData\Local\Temp\F872.tmp"
    3⤵
    PID:880
  - - C:\Users\Admin\AppData\Local\Temp\F8B1.tmp
      "C:\Users\Admin\AppData\Local\Temp\F8B1.tmp"
      4⤵
      PID:2480
    - - C:\Users\Admin\AppData\Local\Temp\F8FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8FF.tmp"
        5⤵
        
        PID:3068
      - C:\Users\Admin\AppData\Local\Temp\F93D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F93D.tmp"
        6⤵
        
        PID:804
        
        C:\Users\Admin\AppData\Local\Temp\F98B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F98B.tmp"
        7⤵
        
        PID:1132
        
        C:\Users\Admin\AppData\Local\Temp\F9CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9CA.tmp"
        8⤵
        
        PID:1832

C:\Users\Admin\AppData\Local\Temp\391A.tmp
"C:\Users\Admin\AppData\Local\Temp\391A.tmp"
1⤵
PID:1856
- C:\Users\Admin\AppData\Local\Temp\3958.tmp
  "C:\Users\Admin\AppData\Local\Temp\3958.tmp"
  2⤵
  PID:1996
- C:\Users\Admin\AppData\Local\Temp\2B35.tmp
  "C:\Users\Admin\AppData\Local\Temp\2B35.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1996

C:\Users\Admin\AppData\Local\Temp\39D5.tmp
"C:\Users\Admin\AppData\Local\Temp\39D5.tmp"
1⤵
PID:576
- C:\Users\Admin\AppData\Local\Temp\3A14.tmp
  "C:\Users\Admin\AppData\Local\Temp\3A14.tmp"
  2⤵
  PID:2056
- C:\Users\Admin\AppData\Local\Temp\2BF0.tmp
  "C:\Users\Admin\AppData\Local\Temp\2BF0.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2172

C:\Users\Admin\AppData\Local\Temp\3A90.tmp
"C:\Users\Admin\AppData\Local\Temp\3A90.tmp"
1⤵
PID:2236
- C:\Users\Admin\AppData\Local\Temp\3ACF.tmp
  "C:\Users\Admin\AppData\Local\Temp\3ACF.tmp"
  2⤵
  PID:1180
- C:\Users\Admin\AppData\Local\Temp\A2F3.tmp
  "C:\Users\Admin\AppData\Local\Temp\A2F3.tmp"
  2⤵
  PID:2600
- - C:\Users\Admin\AppData\Local\Temp\A332.tmp
    "C:\Users\Admin\AppData\Local\Temp\A332.tmp"
    3⤵
    PID:2072

C:\Users\Admin\AppData\Local\Temp\3B4C.tmp
"C:\Users\Admin\AppData\Local\Temp\3B4C.tmp"
1⤵
PID:448
- C:\Users\Admin\AppData\Local\Temp\3B8A.tmp
  "C:\Users\Admin\AppData\Local\Temp\3B8A.tmp"
  2⤵
  PID:840
- C:\Users\Admin\AppData\Local\Temp\2D67.tmp
  "C:\Users\Admin\AppData\Local\Temp\2D67.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2508
- - C:\Users\Admin\AppData\Local\Temp\930C.tmp
    "C:\Users\Admin\AppData\Local\Temp\930C.tmp"
    3⤵
    PID:2288
  - - C:\Users\Admin\AppData\Local\Temp\C745.tmp
      "C:\Users\Admin\AppData\Local\Temp\C745.tmp"
      4⤵
      PID:1684

C:\Users\Admin\AppData\Local\Temp\3C07.tmp
"C:\Users\Admin\AppData\Local\Temp\3C07.tmp"
1⤵
PID:1284
- C:\Users\Admin\AppData\Local\Temp\3C45.tmp
  "C:\Users\Admin\AppData\Local\Temp\3C45.tmp"
  2⤵
  PID:1712

C:\Users\Admin\AppData\Local\Temp\3C84.tmp
"C:\Users\Admin\AppData\Local\Temp\3C84.tmp"
1⤵
PID:2092

C:\Users\Admin\AppData\Local\Temp\3D7D.tmp
"C:\Users\Admin\AppData\Local\Temp\3D7D.tmp"
1⤵
PID:1872
- C:\Users\Admin\AppData\Local\Temp\3DBC.tmp
  "C:\Users\Admin\AppData\Local\Temp\3DBC.tmp"
  2⤵
  PID:1016

C:\Users\Admin\AppData\Local\Temp\3DFA.tmp
"C:\Users\Admin\AppData\Local\Temp\3DFA.tmp"
1⤵
PID:1716
- C:\Users\Admin\AppData\Local\Temp\3E38.tmp
  "C:\Users\Admin\AppData\Local\Temp\3E38.tmp"
  2⤵
  PID:1660

C:\Users\Admin\AppData\Local\Temp\3EB5.tmp
"C:\Users\Admin\AppData\Local\Temp\3EB5.tmp"
1⤵
PID:1420
- C:\Users\Admin\AppData\Local\Temp\3EF4.tmp
  "C:\Users\Admin\AppData\Local\Temp\3EF4.tmp"
  2⤵
  PID:3032

C:\Users\Admin\AppData\Local\Temp\3F70.tmp
"C:\Users\Admin\AppData\Local\Temp\3F70.tmp"
1⤵
PID:1516
- C:\Users\Admin\AppData\Local\Temp\5AEC.tmp
  "C:\Users\Admin\AppData\Local\Temp\5AEC.tmp"
  2⤵
  PID:1572
- - C:\Users\Admin\AppData\Local\Temp\5B2A.tmp
    "C:\Users\Admin\AppData\Local\Temp\5B2A.tmp"
    3⤵
    PID:2816

C:\Users\Admin\AppData\Local\Temp\3FED.tmp
"C:\Users\Admin\AppData\Local\Temp\3FED.tmp"
1⤵
PID:2800
- C:\Users\Admin\AppData\Local\Temp\402C.tmp
  "C:\Users\Admin\AppData\Local\Temp\402C.tmp"
  2⤵
  PID:2672
- - C:\Users\Admin\AppData\Local\Temp\98B7.tmp
    "C:\Users\Admin\AppData\Local\Temp\98B7.tmp"
    3⤵
    PID:2816
  - - C:\Users\Admin\AppData\Local\Temp\98F5.tmp
      "C:\Users\Admin\AppData\Local\Temp\98F5.tmp"
      4⤵
      PID:2640

C:\Users\Admin\AppData\Local\Temp\40A8.tmp
"C:\Users\Admin\AppData\Local\Temp\40A8.tmp"
1⤵
PID:2720
- C:\Users\Admin\AppData\Local\Temp\40E7.tmp
  "C:\Users\Admin\AppData\Local\Temp\40E7.tmp"
  2⤵
  PID:2244

C:\Users\Admin\AppData\Local\Temp\4164.tmp
"C:\Users\Admin\AppData\Local\Temp\4164.tmp"
1⤵
PID:2536
- C:\Users\Admin\AppData\Local\Temp\41A2.tmp
  "C:\Users\Admin\AppData\Local\Temp\41A2.tmp"
  2⤵
  PID:2644

C:\Users\Admin\AppData\Local\Temp\428C.tmp
"C:\Users\Admin\AppData\Local\Temp\428C.tmp"
1⤵
PID:2916
- C:\Users\Admin\AppData\Local\Temp\5DBA.tmp
  "C:\Users\Admin\AppData\Local\Temp\5DBA.tmp"
  2⤵
  PID:1620

C:\Users\Admin\AppData\Local\Temp\4338.tmp
"C:\Users\Admin\AppData\Local\Temp\4338.tmp"
1⤵
PID:1436
- C:\Users\Admin\AppData\Local\Temp\4376.tmp
  "C:\Users\Admin\AppData\Local\Temp\4376.tmp"
  2⤵
  PID:2708

C:\Users\Admin\AppData\Local\Temp\43F3.tmp
"C:\Users\Admin\AppData\Local\Temp\43F3.tmp"
1⤵
PID:2864
- C:\Users\Admin\AppData\Local\Temp\4431.tmp
  "C:\Users\Admin\AppData\Local\Temp\4431.tmp"
  2⤵
  PID:2876
- - C:\Users\Admin\AppData\Local\Temp\7DB8.tmp
    "C:\Users\Admin\AppData\Local\Temp\7DB8.tmp"
    3⤵
    PID:2692
  - - C:\Users\Admin\AppData\Local\Temp\7DF6.tmp
      "C:\Users\Admin\AppData\Local\Temp\7DF6.tmp"
      4⤵
      PID:2156
    - - C:\Users\Admin\AppData\Local\Temp\7E44.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E44.tmp"
        5⤵
        
        PID:2152
      - C:\Users\Admin\AppData\Local\Temp\7E83.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E83.tmp"
        6⤵
        
        PID:476
        
        C:\Users\Admin\AppData\Local\Temp\8F93.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F93.tmp"
        7⤵
        
        PID:2572
      - C:\Users\Admin\AppData\Local\Temp\9FC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FC8.tmp"
        6⤵
        
        PID:1704
        
        C:\Users\Admin\AppData\Local\Temp\9FF7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FF7.tmp"
        7⤵
        
        PID:1792
        
        C:\Users\Admin\AppData\Local\Temp\A035.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A035.tmp"
        8⤵
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\A083.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A083.tmp"
        9⤵
        
        PID:2756
        
        C:\Users\Admin\AppData\Local\Temp\A0C2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A0C2.tmp"
        10⤵
        
        PID:784
        
        C:\Users\Admin\AppData\Local\Temp\A100.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A100.tmp"
        11⤵
        
        PID:1964
        
        C:\Users\Admin\AppData\Local\Temp\18CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\18CE.tmp"
        7⤵
        
        PID:1500

C:\Users\Admin\AppData\Local\Temp\44AE.tmp
"C:\Users\Admin\AppData\Local\Temp\44AE.tmp"
1⤵
PID:852
- C:\Users\Admin\AppData\Local\Temp\44EC.tmp
  "C:\Users\Admin\AppData\Local\Temp\44EC.tmp"
  2⤵
  PID:1836

C:\Users\Admin\AppData\Local\Temp\452B.tmp
"C:\Users\Admin\AppData\Local\Temp\452B.tmp"
1⤵
PID:2432

C:\Users\Admin\AppData\Local\Temp\45E6.tmp
"C:\Users\Admin\AppData\Local\Temp\45E6.tmp"
1⤵
PID:592
- C:\Users\Admin\AppData\Local\Temp\4624.tmp
  "C:\Users\Admin\AppData\Local\Temp\4624.tmp"
  2⤵
  PID:556
- C:\Users\Admin\AppData\Local\Temp\2A7A.tmp
  "C:\Users\Admin\AppData\Local\Temp\2A7A.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:804
- C:\Users\Admin\AppData\Local\Temp\7F7C.tmp
  "C:\Users\Admin\AppData\Local\Temp\7F7C.tmp"
  2⤵
  PID:784
- - C:\Users\Admin\AppData\Local\Temp\7FBB.tmp
    "C:\Users\Admin\AppData\Local\Temp\7FBB.tmp"
    3⤵
    PID:1964
  - - C:\Users\Admin\AppData\Local\Temp\A13F.tmp
      "C:\Users\Admin\AppData\Local\Temp\A13F.tmp"
      4⤵
      PID:804
    - - C:\Users\Admin\AppData\Local\Temp\A17D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A17D.tmp"
        5⤵
        
        PID:1052
      - C:\Users\Admin\AppData\Local\Temp\A1BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A1BB.tmp"
        6⤵
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\A219.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A219.tmp"
        7⤵
        
        PID:2484
        
        C:\Users\Admin\AppData\Local\Temp\A277.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A277.tmp"
        8⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\A2B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A2B5.tmp"
        9⤵
        
        PID:2236
        
        C:\Users\Admin\AppData\Local\Temp\E24.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E24.tmp"
        10⤵
        
        PID:1544
        
        C:\Users\Admin\AppData\Local\Temp\E62.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E62.tmp"
        11⤵
        
        PID:1716
        
        C:\Users\Admin\AppData\Local\Temp\EA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA1.tmp"
        12⤵
        
        PID:1016
        
        C:\Users\Admin\AppData\Local\Temp\EDF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDF.tmp"
        13⤵
        
        PID:2624

C:\Users\Admin\AppData\Local\Temp\46A1.tmp
"C:\Users\Admin\AppData\Local\Temp\46A1.tmp"
1⤵
PID:1768
- C:\Users\Admin\AppData\Local\Temp\46E0.tmp
  "C:\Users\Admin\AppData\Local\Temp\46E0.tmp"
  2⤵
  PID:1952
- C:\Users\Admin\AppData\Local\Temp\C40A.tmp
  "C:\Users\Admin\AppData\Local\Temp\C40A.tmp"
  2⤵
  PID:1400

C:\Users\Admin\AppData\Local\Temp\4A78.tmp
"C:\Users\Admin\AppData\Local\Temp\4A78.tmp"
1⤵
PID:1488
- C:\Users\Admin\AppData\Local\Temp\4AB6.tmp
  "C:\Users\Admin\AppData\Local\Temp\4AB6.tmp"
  2⤵
  PID:692
- C:\Users\Admin\AppData\Local\Temp\847B.tmp
  "C:\Users\Admin\AppData\Local\Temp\847B.tmp"
  2⤵
  PID:348
- - C:\Users\Admin\AppData\Local\Temp\84BA.tmp
    "C:\Users\Admin\AppData\Local\Temp\84BA.tmp"
    3⤵
    PID:1888

C:\Users\Admin\AppData\Local\Temp\4AF5.tmp
"C:\Users\Admin\AppData\Local\Temp\4AF5.tmp"
1⤵
PID:2112
- C:\Users\Admin\AppData\Local\Temp\4B33.tmp
  "C:\Users\Admin\AppData\Local\Temp\4B33.tmp"
  2⤵
  PID:1888
- - C:\Users\Admin\AppData\Local\Temp\84F8.tmp
    "C:\Users\Admin\AppData\Local\Temp\84F8.tmp"
    3⤵
    PID:1464
  - - C:\Users\Admin\AppData\Local\Temp\95CA.tmp
      "C:\Users\Admin\AppData\Local\Temp\95CA.tmp"
      4⤵
      PID:2080
    - - C:\Users\Admin\AppData\Local\Temp\FE7B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE7B.tmp"
        5⤵
        
        PID:2136
      - C:\Users\Admin\AppData\Local\Temp\FEB9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEB9.tmp"
        6⤵
        
        PID:844
        
        C:\Users\Admin\AppData\Local\Temp\FEF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEF8.tmp"
        7⤵
        
        PID:2496

C:\Users\Admin\AppData\Local\Temp\4BC0.tmp
"C:\Users\Admin\AppData\Local\Temp\4BC0.tmp"
1⤵
PID:3052
- C:\Users\Admin\AppData\Local\Temp\4BEE.tmp
  "C:\Users\Admin\AppData\Local\Temp\4BEE.tmp"
  2⤵
  PID:1944
- C:\Users\Admin\AppData\Local\Temp\8621.tmp
  "C:\Users\Admin\AppData\Local\Temp\8621.tmp"
  2⤵
  PID:888
- - C:\Users\Admin\AppData\Local\Temp\865F.tmp
    "C:\Users\Admin\AppData\Local\Temp\865F.tmp"
    3⤵
    PID:2352
  - - C:\Users\Admin\AppData\Local\Temp\86BD.tmp
      "C:\Users\Admin\AppData\Local\Temp\86BD.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:1080
    - - C:\Users\Admin\AppData\Local\Temp\870B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\870B.tmp"
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2460
      - C:\Users\Admin\AppData\Local\Temp\8759.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8759.tmp"
        6⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2060

C:\Users\Admin\AppData\Local\Temp\4C6B.tmp
"C:\Users\Admin\AppData\Local\Temp\4C6B.tmp"
1⤵
PID:2496

C:\Users\Admin\AppData\Local\Temp\4D26.tmp
"C:\Users\Admin\AppData\Local\Temp\4D26.tmp"
1⤵
PID:1896
- C:\Users\Admin\AppData\Local\Temp\4D65.tmp
  "C:\Users\Admin\AppData\Local\Temp\4D65.tmp"
  2⤵
  PID:2856
- - C:\Users\Admin\AppData\Local\Temp\24A0.tmp
    "C:\Users\Admin\AppData\Local\Temp\24A0.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of WriteProcessMemory
    PID:2180

C:\Users\Admin\AppData\Local\Temp\4E10.tmp
"C:\Users\Admin\AppData\Local\Temp\4E10.tmp"
1⤵
PID:2032
- C:\Users\Admin\AppData\Local\Temp\4E4F.tmp
  "C:\Users\Admin\AppData\Local\Temp\4E4F.tmp"
  2⤵
  PID:340

C:\Users\Admin\AppData\Local\Temp\4ECC.tmp
"C:\Users\Admin\AppData\Local\Temp\4ECC.tmp"
1⤵
PID:2584
- C:\Users\Admin\AppData\Local\Temp\4EFA.tmp
  "C:\Users\Admin\AppData\Local\Temp\4EFA.tmp"
  2⤵
  - Executes dropped EXE
  PID:1668
- - C:\Users\Admin\AppData\Local\Temp\4F39.tmp
    "C:\Users\Admin\AppData\Local\Temp\4F39.tmp"
    3⤵
    PID:828
- - C:\Users\Admin\AppData\Local\Temp\340B.tmp
    "C:\Users\Admin\AppData\Local\Temp\340B.tmp"
    3⤵
    PID:2596
- - C:\Users\Admin\AppData\Local\Temp\CDE9.tmp
    "C:\Users\Admin\AppData\Local\Temp\CDE9.tmp"
    3⤵
    PID:2244
  - - C:\Users\Admin\AppData\Local\Temp\CE28.tmp
      "C:\Users\Admin\AppData\Local\Temp\CE28.tmp"
      4⤵
      PID:2900
    - - C:\Users\Admin\AppData\Local\Temp\CE66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE66.tmp"
        5⤵
        
        PID:2552
    - - C:\Users\Admin\AppData\Local\Temp\2DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2DE.tmp"
        5⤵
        
        PID:2548
  - - C:\Users\Admin\AppData\Local\Temp\13CF.tmp
      "C:\Users\Admin\AppData\Local\Temp\13CF.tmp"
      4⤵
      PID:2700

C:\Users\Admin\AppData\Local\Temp\4F77.tmp
"C:\Users\Admin\AppData\Local\Temp\4F77.tmp"
1⤵
PID:2832
- C:\Users\Admin\AppData\Local\Temp\4FB6.tmp
  "C:\Users\Admin\AppData\Local\Temp\4FB6.tmp"
  2⤵
  PID:1640
- - C:\Users\Admin\AppData\Local\Temp\34B7.tmp
    "C:\Users\Admin\AppData\Local\Temp\34B7.tmp"
    3⤵
    PID:1908
  - - C:\Users\Admin\AppData\Local\Temp\2710.tmp
      "C:\Users\Admin\AppData\Local\Temp\2710.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of WriteProcessMemory
      PID:2896
    - - C:\Users\Admin\AppData\Local\Temp\BF49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF49.tmp"
        5⤵
        
        PID:2372

C:\Users\Admin\AppData\Local\Temp\5032.tmp
"C:\Users\Admin\AppData\Local\Temp\5032.tmp"
1⤵
PID:2944
- C:\Users\Admin\AppData\Local\Temp\5071.tmp
  "C:\Users\Admin\AppData\Local\Temp\5071.tmp"
  2⤵
  PID:2632
- C:\Users\Admin\AppData\Local\Temp\3534.tmp
  "C:\Users\Admin\AppData\Local\Temp\3534.tmp"
  2⤵
  PID:2920
- - C:\Users\Admin\AppData\Local\Temp\278D.tmp
    "C:\Users\Admin\AppData\Local\Temp\278D.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of WriteProcessMemory
    PID:3064

C:\Users\Admin\AppData\Local\Temp\50EE.tmp
"C:\Users\Admin\AppData\Local\Temp\50EE.tmp"
1⤵
PID:2168

C:\Users\Admin\AppData\Local\Temp\51D8.tmp
"C:\Users\Admin\AppData\Local\Temp\51D8.tmp"
1⤵
PID:2052
- C:\Users\Admin\AppData\Local\Temp\5216.tmp
  "C:\Users\Admin\AppData\Local\Temp\5216.tmp"
  2⤵
  PID:2876
- - C:\Users\Admin\AppData\Local\Temp\4470.tmp
    "C:\Users\Admin\AppData\Local\Temp\4470.tmp"
    3⤵
    PID:1272

C:\Users\Admin\AppData\Local\Temp\52F0.tmp
"C:\Users\Admin\AppData\Local\Temp\52F0.tmp"
1⤵
PID:2432
- C:\Users\Admin\AppData\Local\Temp\532F.tmp
  "C:\Users\Admin\AppData\Local\Temp\532F.tmp"
  2⤵
  PID:532
- C:\Users\Admin\AppData\Local\Temp\4569.tmp
  "C:\Users\Admin\AppData\Local\Temp\4569.tmp"
  2⤵
  PID:1832
- - C:\Users\Admin\AppData\Local\Temp\29FD.tmp
    "C:\Users\Admin\AppData\Local\Temp\29FD.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1616
  - - C:\Users\Admin\AppData\Local\Temp\D346.tmp
      "C:\Users\Admin\AppData\Local\Temp\D346.tmp"
      4⤵
      PID:2764
    - - C:\Users\Admin\AppData\Local\Temp\D385.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D385.tmp"
        5⤵
        
        PID:1840
      - C:\Users\Admin\AppData\Local\Temp\D3C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D3C3.tmp"
        6⤵
        
        PID:400
        
        C:\Users\Admin\AppData\Local\Temp\D411.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D411.tmp"
        7⤵
        
        PID:1768
        
        C:\Users\Admin\AppData\Local\Temp\D46F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D46F.tmp"
        8⤵
        
        PID:1244

C:\Users\Admin\AppData\Local\Temp\53AC.tmp
"C:\Users\Admin\AppData\Local\Temp\53AC.tmp"
1⤵
PID:1964

C:\Users\Admin\AppData\Local\Temp\54E4.tmp
"C:\Users\Admin\AppData\Local\Temp\54E4.tmp"
1⤵
PID:1776
- C:\Users\Admin\AppData\Local\Temp\5522.tmp
  "C:\Users\Admin\AppData\Local\Temp\5522.tmp"
  2⤵
  PID:1212

C:\Users\Admin\AppData\Local\Temp\559F.tmp
"C:\Users\Admin\AppData\Local\Temp\559F.tmp"
1⤵
PID:2312

C:\Users\Admin\AppData\Local\Temp\565A.tmp
"C:\Users\Admin\AppData\Local\Temp\565A.tmp"
1⤵
PID:2288
- C:\Users\Admin\AppData\Local\Temp\5698.tmp
  "C:\Users\Admin\AppData\Local\Temp\5698.tmp"
  2⤵
  PID:2228

C:\Users\Admin\AppData\Local\Temp\5715.tmp
"C:\Users\Admin\AppData\Local\Temp\5715.tmp"
1⤵
PID:1932
- C:\Users\Admin\AppData\Local\Temp\5754.tmp
  "C:\Users\Admin\AppData\Local\Temp\5754.tmp"
  2⤵
  PID:1788

C:\Users\Admin\AppData\Local\Temp\5792.tmp
"C:\Users\Admin\AppData\Local\Temp\5792.tmp"
1⤵
PID:1712
- C:\Users\Admin\AppData\Local\Temp\57D0.tmp
  "C:\Users\Admin\AppData\Local\Temp\57D0.tmp"
  2⤵
  PID:2092
- - C:\Users\Admin\AppData\Local\Temp\580F.tmp
    "C:\Users\Admin\AppData\Local\Temp\580F.tmp"
    3⤵
    PID:756
  - - C:\Users\Admin\AppData\Local\Temp\3D00.tmp
      "C:\Users\Admin\AppData\Local\Temp\3D00.tmp"
      4⤵
      PID:1592

C:\Users\Admin\AppData\Local\Temp\584D.tmp
"C:\Users\Admin\AppData\Local\Temp\584D.tmp"
1⤵
PID:1532
- C:\Users\Admin\AppData\Local\Temp\588C.tmp
  "C:\Users\Admin\AppData\Local\Temp\588C.tmp"
  2⤵
  PID:2084
- - C:\Users\Admin\AppData\Local\Temp\58CA.tmp
    "C:\Users\Admin\AppData\Local\Temp\58CA.tmp"
    3⤵
    PID:2148

C:\Users\Admin\AppData\Local\Temp\5947.tmp
"C:\Users\Admin\AppData\Local\Temp\5947.tmp"
1⤵
PID:1660
- C:\Users\Admin\AppData\Local\Temp\5985.tmp
  "C:\Users\Admin\AppData\Local\Temp\5985.tmp"
  2⤵
  PID:2136
- - C:\Users\Admin\AppData\Local\Temp\59C4.tmp
    "C:\Users\Admin\AppData\Local\Temp\59C4.tmp"
    3⤵
    PID:2340
- C:\Users\Admin\AppData\Local\Temp\75FB.tmp
  "C:\Users\Admin\AppData\Local\Temp\75FB.tmp"
  2⤵
  PID:1632

C:\Users\Admin\AppData\Local\Temp\5908.tmp
"C:\Users\Admin\AppData\Local\Temp\5908.tmp"
1⤵
PID:1536
- C:\Users\Admin\AppData\Local\Temp\85E2.tmp
  "C:\Users\Admin\AppData\Local\Temp\85E2.tmp"
  2⤵
  PID:3052

C:\Users\Admin\AppData\Local\Temp\5A40.tmp
"C:\Users\Admin\AppData\Local\Temp\5A40.tmp"
1⤵
PID:3032

C:\Users\Admin\AppData\Local\Temp\5BC6.tmp
"C:\Users\Admin\AppData\Local\Temp\5BC6.tmp"
1⤵
PID:2784
- C:\Users\Admin\AppData\Local\Temp\5C05.tmp
  "C:\Users\Admin\AppData\Local\Temp\5C05.tmp"
  2⤵
  PID:2844
- - C:\Users\Admin\AppData\Local\Temp\6A86.tmp
    "C:\Users\Admin\AppData\Local\Temp\6A86.tmp"
    3⤵
    PID:2608
  - - C:\Users\Admin\AppData\Local\Temp\6AC4.tmp
      "C:\Users\Admin\AppData\Local\Temp\6AC4.tmp"
      4⤵
      PID:2548
    - - C:\Users\Admin\AppData\Local\Temp\2694.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2694.tmp"
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:1412

C:\Users\Admin\AppData\Local\Temp\5C82.tmp
"C:\Users\Admin\AppData\Local\Temp\5C82.tmp"
1⤵
PID:2548
- C:\Users\Admin\AppData\Local\Temp\5CC0.tmp
  "C:\Users\Admin\AppData\Local\Temp\5CC0.tmp"
  2⤵
  PID:1440
- - C:\Users\Admin\AppData\Local\Temp\5CFE.tmp
    "C:\Users\Admin\AppData\Local\Temp\5CFE.tmp"
    3⤵
    PID:2000
- C:\Users\Admin\AppData\Local\Temp\6B03.tmp
  "C:\Users\Admin\AppData\Local\Temp\6B03.tmp"
  2⤵
  PID:2644
- - C:\Users\Admin\AppData\Local\Temp\6B41.tmp
    "C:\Users\Admin\AppData\Local\Temp\6B41.tmp"
    3⤵
    PID:2036
  - - C:\Users\Admin\AppData\Local\Temp\424E.tmp
      "C:\Users\Admin\AppData\Local\Temp\424E.tmp"
      4⤵
      PID:2908
- - C:\Users\Admin\AppData\Local\Temp\41E0.tmp
    "C:\Users\Admin\AppData\Local\Temp\41E0.tmp"
    3⤵
    PID:2380

C:\Users\Admin\AppData\Local\Temp\5D3D.tmp
"C:\Users\Admin\AppData\Local\Temp\5D3D.tmp"
1⤵
PID:2872

C:\Users\Admin\AppData\Local\Temp\5DF8.tmp
"C:\Users\Admin\AppData\Local\Temp\5DF8.tmp"
1⤵
PID:2920
- C:\Users\Admin\AppData\Local\Temp\5E36.tmp
  "C:\Users\Admin\AppData\Local\Temp\5E36.tmp"
  2⤵
  PID:2764
- - C:\Users\Admin\AppData\Local\Temp\35B0.tmp
    "C:\Users\Admin\AppData\Local\Temp\35B0.tmp"
    3⤵
    PID:1912
  - - C:\Users\Admin\AppData\Local\Temp\280A.tmp
      "C:\Users\Admin\AppData\Local\Temp\280A.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:1556
    - - C:\Users\Admin\AppData\Local\Temp\8CF4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8CF4.tmp"
        5⤵
        
        PID:2688
      - C:\Users\Admin\AppData\Local\Temp\8D32.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D32.tmp"
        6⤵
        
        PID:1476
        
        C:\Users\Admin\AppData\Local\Temp\D088.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D088.tmp"
        7⤵
        
        PID:2648
        
        C:\Users\Admin\AppData\Local\Temp\D0C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D0C7.tmp"
        8⤵
        
        PID:2880
        
        C:\Users\Admin\AppData\Local\Temp\F4BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4BB.tmp"
        8⤵
        
        PID:2804

C:\Users\Admin\AppData\Local\Temp\5EE2.tmp
"C:\Users\Admin\AppData\Local\Temp\5EE2.tmp"
1⤵
PID:1448
- C:\Users\Admin\AppData\Local\Temp\7CBE.tmp
  "C:\Users\Admin\AppData\Local\Temp\7CBE.tmp"
  2⤵
  PID:328
- - C:\Users\Admin\AppData\Local\Temp\28C5.tmp
    "C:\Users\Admin\AppData\Local\Temp\28C5.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1476
  - - C:\Users\Admin\AppData\Local\Temp\8D71.tmp
      "C:\Users\Admin\AppData\Local\Temp\8D71.tmp"
      4⤵
      PID:1448
    - - C:\Users\Admin\AppData\Local\Temp\C1AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C1AA.tmp"
        5⤵
        
        PID:1252
      - C:\Users\Admin\AppData\Local\Temp\E2D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E2D0.tmp"
        6⤵
        
        PID:1140
        
        C:\Users\Admin\AppData\Local\Temp\E30F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E30F.tmp"
        7⤵
        
        PID:3020
        
        C:\Users\Admin\AppData\Local\Temp\E34D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E34D.tmp"
        8⤵
        
        PID:1732
        
        C:\Users\Admin\AppData\Local\Temp\1777.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1777.tmp"
        7⤵
        
        PID:2292
        
        C:\Users\Admin\AppData\Local\Temp\17B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\17B5.tmp"
        8⤵
        
        PID:1732
        
        C:\Users\Admin\AppData\Local\Temp\17F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\17F4.tmp"
        9⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\1880.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1880.tmp"
        10⤵
        
        PID:1704

C:\Users\Admin\AppData\Local\Temp\5FAD.tmp
"C:\Users\Admin\AppData\Local\Temp\5FAD.tmp"
1⤵
PID:304
- C:\Users\Admin\AppData\Local\Temp\5FEB.tmp
  "C:\Users\Admin\AppData\Local\Temp\5FEB.tmp"
  2⤵
  PID:2196
- - C:\Users\Admin\AppData\Local\Temp\602A.tmp
    "C:\Users\Admin\AppData\Local\Temp\602A.tmp"
    3⤵
    PID:268

C:\Users\Admin\AppData\Local\Temp\6068.tmp
"C:\Users\Admin\AppData\Local\Temp\6068.tmp"
1⤵
PID:2152
- C:\Users\Admin\AppData\Local\Temp\60A6.tmp
  "C:\Users\Admin\AppData\Local\Temp\60A6.tmp"
  2⤵
  PID:476
- - C:\Users\Admin\AppData\Local\Temp\7EC1.tmp
    "C:\Users\Admin\AppData\Local\Temp\7EC1.tmp"
    3⤵
    PID:1792
  - - C:\Users\Admin\AppData\Local\Temp\7EFF.tmp
      "C:\Users\Admin\AppData\Local\Temp\7EFF.tmp"
      4⤵
      PID:2024

C:\Users\Admin\AppData\Local\Temp\60E5.tmp
"C:\Users\Admin\AppData\Local\Temp\60E5.tmp"
1⤵
PID:2572
- C:\Users\Admin\AppData\Local\Temp\6123.tmp
  "C:\Users\Admin\AppData\Local\Temp\6123.tmp"
  2⤵
  PID:1616
- - C:\Users\Admin\AppData\Local\Temp\384F.tmp
    "C:\Users\Admin\AppData\Local\Temp\384F.tmp"
    3⤵
    PID:2028
  - - C:\Users\Admin\AppData\Local\Temp\F660.tmp
      "C:\Users\Admin\AppData\Local\Temp\F660.tmp"
      4⤵
      PID:792
    - - C:\Users\Admin\AppData\Local\Temp\F69E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F69E.tmp"
        5⤵
        
        PID:672
      - C:\Users\Admin\AppData\Local\Temp\F70C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F70C.tmp"
        6⤵
        
        PID:1616
        
        C:\Users\Admin\AppData\Local\Temp\F779.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F779.tmp"
        7⤵
        
        PID:1912
      - C:\Users\Admin\AppData\Local\Temp\7AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AE.tmp"
        6⤵
        
        PID:1616
        
        C:\Users\Admin\AppData\Local\Temp\7ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7ED.tmp"
        7⤵
        
        PID:2276
        
        C:\Users\Admin\AppData\Local\Temp\82B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82B.tmp"
        8⤵
        
        PID:592

C:\Users\Admin\AppData\Local\Temp\61A0.tmp
"C:\Users\Admin\AppData\Local\Temp\61A0.tmp"
1⤵
PID:2248
- C:\Users\Admin\AppData\Local\Temp\61DE.tmp
  "C:\Users\Admin\AppData\Local\Temp\61DE.tmp"
  2⤵
  PID:1956
- - C:\Users\Admin\AppData\Local\Temp\70AD.tmp
    "C:\Users\Admin\AppData\Local\Temp\70AD.tmp"
    3⤵
    PID:636
  - - C:\Users\Admin\AppData\Local\Temp\70EC.tmp
      "C:\Users\Admin\AppData\Local\Temp\70EC.tmp"
      4⤵
      PID:1392
    - - C:\Users\Admin\AppData\Local\Temp\712A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\712A.tmp"
        5⤵
        
        PID:1564
      - C:\Users\Admin\AppData\Local\Temp\7169.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7169.tmp"
        6⤵
        
        PID:2172
        
        C:\Users\Admin\AppData\Local\Temp\47D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47D9.tmp"
        7⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:652
        
        C:\Users\Admin\AppData\Local\Temp\2C6D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C6D.tmp"
        8⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1132
        
        C:\Users\Admin\AppData\Local\Temp\B50D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B50D.tmp"
        9⤵
        
        PID:872
    - - C:\Users\Admin\AppData\Local\Temp\629A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\629A.tmp"
        5⤵
        
        PID:1564
      - C:\Users\Admin\AppData\Local\Temp\479B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\479B.tmp"
        6⤵
        
        PID:2172
- C:\Users\Admin\AppData\Local\Temp\907D.tmp
  "C:\Users\Admin\AppData\Local\Temp\907D.tmp"
  2⤵
  PID:2016

C:\Users\Admin\AppData\Local\Temp\625B.tmp
"C:\Users\Admin\AppData\Local\Temp\625B.tmp"
1⤵
PID:1392

C:\Users\Admin\AppData\Local\Temp\63D2.tmp
"C:\Users\Admin\AppData\Local\Temp\63D2.tmp"
1⤵
PID:2204
- C:\Users\Admin\AppData\Local\Temp\6410.tmp
  "C:\Users\Admin\AppData\Local\Temp\6410.tmp"
  2⤵
  PID:1104
- - C:\Users\Admin\AppData\Local\Temp\4911.tmp
    "C:\Users\Admin\AppData\Local\Temp\4911.tmp"
    3⤵
    PID:616
- C:\Users\Admin\AppData\Local\Temp\8298.tmp
  "C:\Users\Admin\AppData\Local\Temp\8298.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:448
- - C:\Users\Admin\AppData\Local\Temp\82D6.tmp
    "C:\Users\Admin\AppData\Local\Temp\82D6.tmp"
    3⤵
    PID:2228
  - - C:\Users\Admin\AppData\Local\Temp\8324.tmp
      "C:\Users\Admin\AppData\Local\Temp\8324.tmp"
      4⤵
      PID:1588
    - - C:\Users\Admin\AppData\Local\Temp\A4C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A4C7.tmp"
        5⤵
        
        PID:320
      - C:\Users\Admin\AppData\Local\Temp\B7DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7DA.tmp"
        6⤵
        
        PID:760
        
        C:\Users\Admin\AppData\Local\Temp\B819.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B819.tmp"
        7⤵
        
        PID:2628
        
        C:\Users\Admin\AppData\Local\Temp\FD04.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD04.tmp"
        7⤵
        
        PID:1856
        
        C:\Users\Admin\AppData\Local\Temp\FD43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD43.tmp"
        8⤵
        
        PID:904

C:\Users\Admin\AppData\Local\Temp\6558.tmp
"C:\Users\Admin\AppData\Local\Temp\6558.tmp"
1⤵
PID:1192
- C:\Users\Admin\AppData\Local\Temp\6596.tmp
  "C:\Users\Admin\AppData\Local\Temp\6596.tmp"
  2⤵
  PID:612
- - C:\Users\Admin\AppData\Local\Temp\65E4.tmp
    "C:\Users\Admin\AppData\Local\Temp\65E4.tmp"
    3⤵
    PID:1592

C:\Users\Admin\AppData\Local\Temp\6623.tmp
"C:\Users\Admin\AppData\Local\Temp\6623.tmp"
1⤵
PID:3016
- C:\Users\Admin\AppData\Local\Temp\6661.tmp
  "C:\Users\Admin\AppData\Local\Temp\6661.tmp"
  2⤵
  PID:1016

C:\Users\Admin\AppData\Local\Temp\675B.tmp
"C:\Users\Admin\AppData\Local\Temp\675B.tmp"
1⤵
PID:1080
- C:\Users\Admin\AppData\Local\Temp\6799.tmp
  "C:\Users\Admin\AppData\Local\Temp\6799.tmp"
  2⤵
  PID:2460
- - C:\Users\Admin\AppData\Local\Temp\67D7.tmp
    "C:\Users\Admin\AppData\Local\Temp\67D7.tmp"
    3⤵
    PID:2060
  - - C:\Users\Admin\AppData\Local\Temp\311E.tmp
      "C:\Users\Admin\AppData\Local\Temp\311E.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:1424
  - - C:\Users\Admin\AppData\Local\Temp\8797.tmp
      "C:\Users\Admin\AppData\Local\Temp\8797.tmp"
      4⤵
      PID:3044
    - - C:\Users\Admin\AppData\Local\Temp\87D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\87D5.tmp"
        5⤵
        
        PID:2376
- C:\Users\Admin\AppData\Local\Temp\30A2.tmp
  "C:\Users\Admin\AppData\Local\Temp\30A2.tmp"
  2⤵
  PID:2460

C:\Users\Admin\AppData\Local\Temp\6854.tmp
"C:\Users\Admin\AppData\Local\Temp\6854.tmp"
1⤵
PID:2676
- C:\Users\Admin\AppData\Local\Temp\6893.tmp
  "C:\Users\Admin\AppData\Local\Temp\6893.tmp"
  2⤵
  PID:1992
- - C:\Users\Admin\AppData\Local\Temp\68D1.tmp
    "C:\Users\Admin\AppData\Local\Temp\68D1.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:2636
  - - C:\Users\Admin\AppData\Local\Temp\3295.tmp
      "C:\Users\Admin\AppData\Local\Temp\3295.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2808

C:\Users\Admin\AppData\Local\Temp\694E.tmp
"C:\Users\Admin\AppData\Local\Temp\694E.tmp"
1⤵
PID:2540
- C:\Users\Admin\AppData\Local\Temp\698C.tmp
  "C:\Users\Admin\AppData\Local\Temp\698C.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2780
- - C:\Users\Admin\AppData\Local\Temp\69CB.tmp
    "C:\Users\Admin\AppData\Local\Temp\69CB.tmp"
    3⤵
    PID:2744
  - - C:\Users\Admin\AppData\Local\Temp\338E.tmp
      "C:\Users\Admin\AppData\Local\Temp\338E.tmp"
      4⤵
      PID:2844
    - - C:\Users\Admin\AppData\Local\Temp\25D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\25D8.tmp"
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:2900
- - C:\Users\Admin\AppData\Local\Temp\3350.tmp
    "C:\Users\Admin\AppData\Local\Temp\3350.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:2744
- C:\Users\Admin\AppData\Local\Temp\FA.tmp
  "C:\Users\Admin\AppData\Local\Temp\FA.tmp"
  2⤵
  PID:2796

C:\Users\Admin\AppData\Local\Temp\6BAE.tmp
"C:\Users\Admin\AppData\Local\Temp\6BAE.tmp"
1⤵
PID:1012
- C:\Users\Admin\AppData\Local\Temp\6BED.tmp
  "C:\Users\Admin\AppData\Local\Temp\6BED.tmp"
  2⤵
  PID:2088

C:\Users\Admin\AppData\Local\Temp\6B70.tmp
"C:\Users\Admin\AppData\Local\Temp\6B70.tmp"
1⤵
PID:2904
- C:\Users\Admin\AppData\Local\Temp\F344.tmp
  "C:\Users\Admin\AppData\Local\Temp\F344.tmp"
  2⤵
  PID:2576
- - C:\Users\Admin\AppData\Local\Temp\F383.tmp
    "C:\Users\Admin\AppData\Local\Temp\F383.tmp"
    3⤵
    PID:2264
  - - C:\Users\Admin\AppData\Local\Temp\F3C1.tmp
      "C:\Users\Admin\AppData\Local\Temp\F3C1.tmp"
      4⤵
      PID:2168

C:\Users\Admin\AppData\Local\Temp\6C69.tmp
"C:\Users\Admin\AppData\Local\Temp\6C69.tmp"
1⤵
PID:2168
- C:\Users\Admin\AppData\Local\Temp\6CA8.tmp
  "C:\Users\Admin\AppData\Local\Temp\6CA8.tmp"
  2⤵
  PID:1556
- - C:\Users\Admin\AppData\Local\Temp\363D.tmp
    "C:\Users\Admin\AppData\Local\Temp\363D.tmp"
    3⤵
    PID:1000
  - - C:\Users\Admin\AppData\Local\Temp\2887.tmp
      "C:\Users\Admin\AppData\Local\Temp\2887.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:328
    - - C:\Users\Admin\AppData\Local\Temp\8DDE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8DDE.tmp"
        5⤵
        
        PID:2224
      - C:\Users\Admin\AppData\Local\Temp\8E2C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E2C.tmp"
        6⤵
        
        PID:1228
- - C:\Users\Admin\AppData\Local\Temp\2848.tmp
    "C:\Users\Admin\AppData\Local\Temp\2848.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1000
  - - C:\Users\Admin\AppData\Local\Temp\1574.tmp
      "C:\Users\Admin\AppData\Local\Temp\1574.tmp"
      4⤵
      PID:2180
- C:\Users\Admin\AppData\Local\Temp\512C.tmp
  "C:\Users\Admin\AppData\Local\Temp\512C.tmp"
  2⤵
  PID:2732
- C:\Users\Admin\AppData\Local\Temp\8CC5.tmp
  "C:\Users\Admin\AppData\Local\Temp\8CC5.tmp"
  2⤵
  PID:1556

C:\Users\Admin\AppData\Local\Temp\6EBA.tmp
"C:\Users\Admin\AppData\Local\Temp\6EBA.tmp"
1⤵
PID:1784
- C:\Users\Admin\AppData\Local\Temp\6F08.tmp
  "C:\Users\Admin\AppData\Local\Temp\6F08.tmp"
  2⤵
  PID:2044
- - C:\Users\Admin\AppData\Local\Temp\37C3.tmp
    "C:\Users\Admin\AppData\Local\Temp\37C3.tmp"
    3⤵
    PID:2572
  - - C:\Users\Admin\AppData\Local\Temp\8FD1.tmp
      "C:\Users\Admin\AppData\Local\Temp\8FD1.tmp"
      4⤵
      PID:2024
    - - C:\Users\Admin\AppData\Local\Temp\900F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\900F.tmp"
        5⤵
        
        PID:592
      - C:\Users\Admin\AppData\Local\Temp\904E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\904E.tmp"
        6⤵
        
        PID:2248
- - C:\Users\Admin\AppData\Local\Temp\6E4.tmp
    "C:\Users\Admin\AppData\Local\Temp\6E4.tmp"
    3⤵
    PID:1500
  - - C:\Users\Admin\AppData\Local\Temp\722.tmp
      "C:\Users\Admin\AppData\Local\Temp\722.tmp"
      4⤵
      PID:476
    - - C:\Users\Admin\AppData\Local\Temp\770.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\770.tmp"
        5⤵
        
        PID:672
  - - C:\Users\Admin\AppData\Local\Temp\190C.tmp
      "C:\Users\Admin\AppData\Local\Temp\190C.tmp"
      4⤵
      PID:2160

C:\Users\Admin\AppData\Local\Temp\6FB4.tmp
"C:\Users\Admin\AppData\Local\Temp\6FB4.tmp"
1⤵
PID:1964
- C:\Users\Admin\AppData\Local\Temp\6FF2.tmp
  "C:\Users\Admin\AppData\Local\Temp\6FF2.tmp"
  2⤵
  PID:804
- C:\Users\Admin\AppData\Local\Temp\53EA.tmp
  "C:\Users\Admin\AppData\Local\Temp\53EA.tmp"
  2⤵
  PID:804
- - C:\Users\Admin\AppData\Local\Temp\38DC.tmp
    "C:\Users\Admin\AppData\Local\Temp\38DC.tmp"
    3⤵
    PID:1956
- - C:\Users\Admin\AppData\Local\Temp\2AB8.tmp
    "C:\Users\Admin\AppData\Local\Temp\2AB8.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1956
- C:\Users\Admin\AppData\Local\Temp\7FF9.tmp
  "C:\Users\Admin\AppData\Local\Temp\7FF9.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1856
- - C:\Users\Admin\AppData\Local\Temp\8037.tmp
    "C:\Users\Admin\AppData\Local\Temp\8037.tmp"
    3⤵
    PID:1052
- - C:\Users\Admin\AppData\Local\Temp\90EA.tmp
    "C:\Users\Admin\AppData\Local\Temp\90EA.tmp"
    3⤵
    PID:3068
  - - C:\Users\Admin\AppData\Local\Temp\9119.tmp
      "C:\Users\Admin\AppData\Local\Temp\9119.tmp"
      4⤵
      PID:572
    - - C:\Users\Admin\AppData\Local\Temp\9147.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9147.tmp"
        5⤵
        
        PID:700
    - - C:\Users\Admin\AppData\Local\Temp\B4DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B4DE.tmp"
        5⤵
        
        PID:1132

C:\Users\Admin\AppData\Local\Temp\7272.tmp
"C:\Users\Admin\AppData\Local\Temp\7272.tmp"
1⤵
PID:2260
- C:\Users\Admin\AppData\Local\Temp\72B0.tmp
  "C:\Users\Admin\AppData\Local\Temp\72B0.tmp"
  2⤵
  PID:840
- - C:\Users\Admin\AppData\Local\Temp\72EF.tmp
    "C:\Users\Admin\AppData\Local\Temp\72EF.tmp"
    3⤵
    PID:1696
  - - C:\Users\Admin\AppData\Local\Temp\D826.tmp
      "C:\Users\Admin\AppData\Local\Temp\D826.tmp"
      4⤵
      PID:1892
- - C:\Users\Admin\AppData\Local\Temp\3BC8.tmp
    "C:\Users\Admin\AppData\Local\Temp\3BC8.tmp"
    3⤵
    PID:1588
  - - C:\Users\Admin\AppData\Local\Temp\8363.tmp
      "C:\Users\Admin\AppData\Local\Temp\8363.tmp"
      4⤵
      PID:2532
    - - C:\Users\Admin\AppData\Local\Temp\83A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\83A1.tmp"
        5⤵
        
        PID:2128
      - C:\Users\Admin\AppData\Local\Temp\E965.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E965.tmp"
        6⤵
        
        PID:2184
        
        C:\Users\Admin\AppData\Local\Temp\1E2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E2B.tmp"
        7⤵
        
        PID:332

C:\Users\Admin\AppData\Local\Temp\736B.tmp
"C:\Users\Admin\AppData\Local\Temp\736B.tmp"
1⤵
PID:2588
- C:\Users\Admin\AppData\Local\Temp\73AA.tmp
  "C:\Users\Admin\AppData\Local\Temp\73AA.tmp"
  2⤵
  PID:1740
- - C:\Users\Admin\AppData\Local\Temp\64FA.tmp
    "C:\Users\Admin\AppData\Local\Temp\64FA.tmp"
    3⤵
    PID:2628
  - - C:\Users\Admin\AppData\Local\Temp\83FF.tmp
      "C:\Users\Admin\AppData\Local\Temp\83FF.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:1208

C:\Users\Admin\AppData\Local\Temp\74D2.tmp
"C:\Users\Admin\AppData\Local\Temp\74D2.tmp"
1⤵
PID:1592
- C:\Users\Admin\AppData\Local\Temp\7511.tmp
  "C:\Users\Admin\AppData\Local\Temp\7511.tmp"
  2⤵
  PID:1728
- - C:\Users\Admin\AppData\Local\Temp\753F.tmp
    "C:\Users\Admin\AppData\Local\Temp\753F.tmp"
    3⤵
    PID:2624
  - - C:\Users\Admin\AppData\Local\Temp\F1E.tmp
      "C:\Users\Admin\AppData\Local\Temp\F1E.tmp"
      4⤵
      PID:1656
    - - C:\Users\Admin\AppData\Local\Temp\F5C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5C.tmp"
        5⤵
        
        PID:2604
      - C:\Users\Admin\AppData\Local\Temp\F9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9A.tmp"
        6⤵
        
        PID:2136
        
        C:\Users\Admin\AppData\Local\Temp\FF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF8.tmp"
        7⤵
        
        PID:1624
        
        C:\Users\Admin\AppData\Local\Temp\2118.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2118.tmp"
        7⤵
        
        PID:1624
        
        C:\Users\Admin\AppData\Local\Temp\2156.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2156.tmp"
        8⤵
        
        PID:1080
        
        C:\Users\Admin\AppData\Local\Temp\2185.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2185.tmp"
        9⤵
        
        PID:2460
        
        C:\Users\Admin\AppData\Local\Temp\21D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\21D3.tmp"
        10⤵
        
        PID:3036
        
        C:\Users\Admin\AppData\Local\Temp\2211.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2211.tmp"
        11⤵
        
        PID:1516
        
        C:\Users\Admin\AppData\Local\Temp\2250.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2250.tmp"
        12⤵
        
        PID:1492
        
        C:\Users\Admin\AppData\Local\Temp\228E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\228E.tmp"
        13⤵
        
        PID:2092
        
        C:\Users\Admin\AppData\Local\Temp\22CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\22CC.tmp"
        14⤵
        
        PID:2840
        
        C:\Users\Admin\AppData\Local\Temp\230B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\230B.tmp"
        15⤵
        
        PID:1004
        
        C:\Users\Admin\AppData\Local\Temp\2349.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2349.tmp"
        16⤵
        
        PID:2808
        
        C:\Users\Admin\AppData\Local\Temp\2388.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2388.tmp"
        17⤵
        
        PID:2680
        
        C:\Users\Admin\AppData\Local\Temp\23C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23C6.tmp"
        18⤵
        
        PID:2112
        
        C:\Users\Admin\AppData\Local\Temp\2404.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2404.tmp"
        19⤵
        
        PID:2844
        
        C:\Users\Admin\AppData\Local\Temp\2443.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2443.tmp"
        20⤵
        
        PID:2192
        
        C:\Users\Admin\AppData\Local\Temp\2481.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2481.tmp"
        21⤵
        
        PID:2580
        
        C:\Users\Admin\AppData\Local\Temp\24C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24C0.tmp"
        22⤵
        
        PID:2700
        
        C:\Users\Admin\AppData\Local\Temp\24FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24FE.tmp"
        23⤵
        
        PID:2956
        
        C:\Users\Admin\AppData\Local\Temp\253C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\253C.tmp"
        24⤵
        
        PID:2548
        
        C:\Users\Admin\AppData\Local\Temp\257B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\257B.tmp"
        25⤵
        
        PID:2664
        
        C:\Users\Admin\AppData\Local\Temp\25B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\25B9.tmp"
        26⤵
        
        PID:1440
- - C:\Users\Admin\AppData\Local\Temp\85A4.tmp
    "C:\Users\Admin\AppData\Local\Temp\85A4.tmp"
    3⤵
    PID:1536
- C:\Users\Admin\AppData\Local\Temp\3D3F.tmp
  "C:\Users\Admin\AppData\Local\Temp\3D3F.tmp"
  2⤵
  PID:3016
- - C:\Users\Admin\AppData\Local\Temp\B9BE.tmp
    "C:\Users\Admin\AppData\Local\Temp\B9BE.tmp"
    3⤵
    PID:2604

C:\Users\Admin\AppData\Local\Temp\757E.tmp
"C:\Users\Admin\AppData\Local\Temp\757E.tmp"
1⤵
PID:1976
- C:\Users\Admin\AppData\Local\Temp\75BC.tmp
  "C:\Users\Admin\AppData\Local\Temp\75BC.tmp"
  2⤵
  PID:1660
- - C:\Users\Admin\AppData\Local\Temp\3E77.tmp
    "C:\Users\Admin\AppData\Local\Temp\3E77.tmp"
    3⤵
    PID:2400
  - - C:\Users\Admin\AppData\Local\Temp\8A55.tmp
      "C:\Users\Admin\AppData\Local\Temp\8A55.tmp"
      4⤵
      PID:2608
    - - C:\Users\Admin\AppData\Local\Temp\8A93.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A93.tmp"
        5⤵
        
        PID:2552
      - C:\Users\Admin\AppData\Local\Temp\CEA5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CEA5.tmp"
        6⤵
        
        PID:2544

C:\Users\Admin\AppData\Local\Temp\7639.tmp
"C:\Users\Admin\AppData\Local\Temp\7639.tmp"
1⤵
PID:2496
- C:\Users\Admin\AppData\Local\Temp\7677.tmp
  "C:\Users\Admin\AppData\Local\Temp\7677.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:3036
- - C:\Users\Admin\AppData\Local\Temp\319B.tmp
    "C:\Users\Admin\AppData\Local\Temp\319B.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1508
- - C:\Users\Admin\AppData\Local\Temp\CB79.tmp
    "C:\Users\Admin\AppData\Local\Temp\CB79.tmp"
    3⤵
    PID:2304
- C:\Users\Admin\AppData\Local\Temp\4CAA.tmp
  "C:\Users\Admin\AppData\Local\Temp\4CAA.tmp"
  2⤵
  PID:1424
- C:\Users\Admin\AppData\Local\Temp\DBBF.tmp
  "C:\Users\Admin\AppData\Local\Temp\DBBF.tmp"
  2⤵
  PID:2352
- - C:\Users\Admin\AppData\Local\Temp\DBFD.tmp
    "C:\Users\Admin\AppData\Local\Temp\DBFD.tmp"
    3⤵
    PID:1968
  - - C:\Users\Admin\AppData\Local\Temp\DC3B.tmp
      "C:\Users\Admin\AppData\Local\Temp\DC3B.tmp"
      4⤵
      PID:1664
    - - C:\Users\Admin\AppData\Local\Temp\DC89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC89.tmp"
        5⤵
        
        PID:3032
      - C:\Users\Admin\AppData\Local\Temp\DCE7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DCE7.tmp"
        6⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\DD35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD35.tmp"
        7⤵
        
        PID:2820
        
        C:\Users\Admin\AppData\Local\Temp\DD73.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD73.tmp"
        8⤵
        
        PID:2848

C:\Users\Admin\AppData\Local\Temp\7761.tmp
"C:\Users\Admin\AppData\Local\Temp\7761.tmp"
1⤵
PID:2820
- C:\Users\Admin\AppData\Local\Temp\77A0.tmp
  "C:\Users\Admin\AppData\Local\Temp\77A0.tmp"
  2⤵
  PID:2212
- - C:\Users\Admin\AppData\Local\Temp\88CF.tmp
    "C:\Users\Admin\AppData\Local\Temp\88CF.tmp"
    3⤵
    PID:2996
  - - C:\Users\Admin\AppData\Local\Temp\CD6D.tmp
      "C:\Users\Admin\AppData\Local\Temp\CD6D.tmp"
      4⤵
      PID:2076
    - - C:\Users\Admin\AppData\Local\Temp\CDAB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDAB.tmp"
        5⤵
        
        PID:1668
- C:\Users\Admin\AppData\Local\Temp\9878.tmp
  "C:\Users\Admin\AppData\Local\Temp\9878.tmp"
  2⤵
  PID:2672

C:\Users\Admin\AppData\Local\Temp\77DE.tmp
"C:\Users\Admin\AppData\Local\Temp\77DE.tmp"
1⤵
PID:2816
- C:\Users\Admin\AppData\Local\Temp\781D.tmp
  "C:\Users\Admin\AppData\Local\Temp\781D.tmp"
  2⤵
  PID:2640
- - C:\Users\Admin\AppData\Local\Temp\9924.tmp
    "C:\Users\Admin\AppData\Local\Temp\9924.tmp"
    3⤵
    PID:2776
  - - C:\Users\Admin\AppData\Local\Temp\9962.tmp
      "C:\Users\Admin\AppData\Local\Temp\9962.tmp"
      4⤵
      PID:2792
    - - C:\Users\Admin\AppData\Local\Temp\99CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\99CF.tmp"
        5⤵
        
        PID:2828
- C:\Users\Admin\AppData\Local\Temp\5B69.tmp
  "C:\Users\Admin\AppData\Local\Temp\5B69.tmp"
  2⤵
  PID:2988

C:\Users\Admin\AppData\Local\Temp\785B.tmp
"C:\Users\Admin\AppData\Local\Temp\785B.tmp"
1⤵
PID:2776
- C:\Users\Admin\AppData\Local\Temp\7899.tmp
  "C:\Users\Admin\AppData\Local\Temp\7899.tmp"
  2⤵
  PID:2792

C:\Users\Admin\AppData\Local\Temp\78D8.tmp
"C:\Users\Admin\AppData\Local\Temp\78D8.tmp"
1⤵
PID:2828
- C:\Users\Admin\AppData\Local\Temp\7916.tmp
  "C:\Users\Admin\AppData\Local\Temp\7916.tmp"
  2⤵
  PID:2192
- - C:\Users\Admin\AppData\Local\Temp\7955.tmp
    "C:\Users\Admin\AppData\Local\Temp\7955.tmp"
    3⤵
    PID:2924
- - C:\Users\Admin\AppData\Local\Temp\232.tmp
    "C:\Users\Admin\AppData\Local\Temp\232.tmp"
    3⤵
    PID:2580
  - - C:\Users\Admin\AppData\Local\Temp\271.tmp
      "C:\Users\Admin\AppData\Local\Temp\271.tmp"
      4⤵
      PID:2700
    - - C:\Users\Admin\AppData\Local\Temp\140D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\140D.tmp"
        5⤵
        
        PID:2544
      - C:\Users\Admin\AppData\Local\Temp\144C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\144C.tmp"
        6⤵
        
        PID:2548
        
        C:\Users\Admin\AppData\Local\Temp\148A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\148A.tmp"
        7⤵
        
        PID:828
        
        C:\Users\Admin\AppData\Local\Temp\14D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\14D8.tmp"
        8⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\1536.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1536.tmp"
        9⤵
        
        PID:1000

C:\Users\Admin\AppData\Local\Temp\79D1.tmp
"C:\Users\Admin\AppData\Local\Temp\79D1.tmp"
1⤵
PID:2932
- C:\Users\Admin\AppData\Local\Temp\7A10.tmp
  "C:\Users\Admin\AppData\Local\Temp\7A10.tmp"
  2⤵
  PID:828
- C:\Users\Admin\AppData\Local\Temp\9B17.tmp
  "C:\Users\Admin\AppData\Local\Temp\9B17.tmp"
  2⤵
  PID:828
- - C:\Users\Admin\AppData\Local\Temp\9B55.tmp
    "C:\Users\Admin\AppData\Local\Temp\9B55.tmp"
    3⤵
    PID:1440
  - - C:\Users\Admin\AppData\Local\Temp\9BB3.tmp
      "C:\Users\Admin\AppData\Local\Temp\9BB3.tmp"
      4⤵
      PID:2380
    - - C:\Users\Admin\AppData\Local\Temp\9C11.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C11.tmp"
        5⤵
        
        PID:2872
      - C:\Users\Admin\AppData\Local\Temp\9C5F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C5F.tmp"
        6⤵
        
        PID:1748
        
        C:\Users\Admin\AppData\Local\Temp\9C8D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C8D.tmp"
        7⤵
        
        PID:1848

C:\Users\Admin\AppData\Local\Temp\7A4E.tmp
"C:\Users\Admin\AppData\Local\Temp\7A4E.tmp"
1⤵
PID:1440
- C:\Users\Admin\AppData\Local\Temp\7A8D.tmp
  "C:\Users\Admin\AppData\Local\Temp\7A8D.tmp"
  2⤵
  PID:2928

C:\Users\Admin\AppData\Local\Temp\7ACB.tmp
"C:\Users\Admin\AppData\Local\Temp\7ACB.tmp"
1⤵
PID:2872
- C:\Users\Admin\AppData\Local\Temp\7B09.tmp
  "C:\Users\Admin\AppData\Local\Temp\7B09.tmp"
  2⤵
  PID:2960
- C:\Users\Admin\AppData\Local\Temp\5D7B.tmp
  "C:\Users\Admin\AppData\Local\Temp\5D7B.tmp"
  2⤵
  PID:2916
- - C:\Users\Admin\AppData\Local\Temp\42CA.tmp
    "C:\Users\Admin\AppData\Local\Temp\42CA.tmp"
    3⤵
    PID:1848
  - - C:\Users\Admin\AppData\Local\Temp\9CBC.tmp
      "C:\Users\Admin\AppData\Local\Temp\9CBC.tmp"
      4⤵
      PID:2920
    - - C:\Users\Admin\AppData\Local\Temp\9CFB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9CFB.tmp"
        5⤵
        
        PID:2892

C:\Users\Admin\AppData\Local\Temp\7B86.tmp
"C:\Users\Admin\AppData\Local\Temp\7B86.tmp"
1⤵
PID:2920
- C:\Users\Admin\AppData\Local\Temp\7BC5.tmp
  "C:\Users\Admin\AppData\Local\Temp\7BC5.tmp"
  2⤵
  PID:296

C:\Users\Admin\AppData\Local\Temp\7B48.tmp
"C:\Users\Admin\AppData\Local\Temp\7B48.tmp"
1⤵
PID:1848
- C:\Users\Admin\AppData\Local\Temp\42F9.tmp
  "C:\Users\Admin\AppData\Local\Temp\42F9.tmp"
  2⤵
  PID:2372
- - C:\Users\Admin\AppData\Local\Temp\BF88.tmp
    "C:\Users\Admin\AppData\Local\Temp\BF88.tmp"
    3⤵
    PID:3064
  - - C:\Users\Admin\AppData\Local\Temp\BFC6.tmp
      "C:\Users\Admin\AppData\Local\Temp\BFC6.tmp"
      4⤵
      PID:2088
    - - C:\Users\Admin\AppData\Local\Temp\C005.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C005.tmp"
        5⤵
        
        PID:2964
      - C:\Users\Admin\AppData\Local\Temp\E12B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E12B.tmp"
        6⤵
        
        PID:1848
        
        C:\Users\Admin\AppData\Local\Temp\E16A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E16A.tmp"
        7⤵
        
        PID:1312
        
        C:\Users\Admin\AppData\Local\Temp\E1A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1A8.tmp"
        8⤵
        
        PID:1676
        
        C:\Users\Admin\AppData\Local\Temp\E1E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1E6.tmp"
        9⤵
        
        PID:2052
        
        C:\Users\Admin\AppData\Local\Temp\E225.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E225.tmp"
        10⤵
        
        PID:1444
        
        C:\Users\Admin\AppData\Local\Temp\E263.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E263.tmp"
        11⤵
        
        PID:852
        
        C:\Users\Admin\AppData\Local\Temp\F43E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F43E.tmp"
        8⤵
        
        PID:2864
        
        C:\Users\Admin\AppData\Local\Temp\F47C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F47C.tmp"
        9⤵
        
        PID:2648

C:\Users\Admin\AppData\Local\Temp\7993.tmp
"C:\Users\Admin\AppData\Local\Temp\7993.tmp"
1⤵
PID:2824
- C:\Users\Admin\AppData\Local\Temp\9AD9.tmp
  "C:\Users\Admin\AppData\Local\Temp\9AD9.tmp"
  2⤵
  PID:2932

C:\Users\Admin\AppData\Local\Temp\7C03.tmp
"C:\Users\Admin\AppData\Local\Temp\7C03.tmp"
1⤵
PID:2688
- C:\Users\Admin\AppData\Local\Temp\7C41.tmp
  "C:\Users\Admin\AppData\Local\Temp\7C41.tmp"
  2⤵
  PID:2708
- - C:\Users\Admin\AppData\Local\Temp\43B4.tmp
    "C:\Users\Admin\AppData\Local\Temp\43B4.tmp"
    3⤵
    PID:1160
- C:\Users\Admin\AppData\Local\Temp\51A9.tmp
  "C:\Users\Admin\AppData\Local\Temp\51A9.tmp"
  2⤵
  PID:1596

C:\Users\Admin\AppData\Local\Temp\7CED.tmp
"C:\Users\Admin\AppData\Local\Temp\7CED.tmp"
1⤵
PID:2728
- C:\Users\Admin\AppData\Local\Temp\7D3B.tmp
  "C:\Users\Admin\AppData\Local\Temp\7D3B.tmp"
  2⤵
  PID:1228
- - C:\Users\Admin\AppData\Local\Temp\8E6A.tmp
    "C:\Users\Admin\AppData\Local\Temp\8E6A.tmp"
    3⤵
    PID:268
  - - C:\Users\Admin\AppData\Local\Temp\8EA9.tmp
      "C:\Users\Admin\AppData\Local\Temp\8EA9.tmp"
      4⤵
      PID:2240

C:\Users\Admin\AppData\Local\Temp\7C80.tmp
"C:\Users\Admin\AppData\Local\Temp\7C80.tmp"
1⤵
PID:1448
- C:\Users\Admin\AppData\Local\Temp\5F30.tmp
  "C:\Users\Admin\AppData\Local\Temp\5F30.tmp"
  2⤵
  PID:2592
- C:\Users\Admin\AppData\Local\Temp\8D9F.tmp
  "C:\Users\Admin\AppData\Local\Temp\8D9F.tmp"
  2⤵
  PID:328

C:\Users\Admin\AppData\Local\Temp\7723.tmp
"C:\Users\Admin\AppData\Local\Temp\7723.tmp"
1⤵
PID:1612

C:\Users\Admin\AppData\Local\Temp\7494.tmp
"C:\Users\Admin\AppData\Local\Temp\7494.tmp"
1⤵
PID:1464
- C:\Users\Admin\AppData\Local\Temp\8537.tmp
  "C:\Users\Admin\AppData\Local\Temp\8537.tmp"
  2⤵
  PID:1592
- - C:\Users\Admin\AppData\Local\Temp\8575.tmp
    "C:\Users\Admin\AppData\Local\Temp\8575.tmp"
    3⤵
    PID:1728

C:\Users\Admin\AppData\Local\Temp\732D.tmp
"C:\Users\Admin\AppData\Local\Temp\732D.tmp"
1⤵
PID:952
- C:\Users\Admin\AppData\Local\Temp\B7AB.tmp
  "C:\Users\Admin\AppData\Local\Temp\B7AB.tmp"
  2⤵
  PID:320
- - C:\Users\Admin\AppData\Local\Temp\C82F.tmp
    "C:\Users\Admin\AppData\Local\Temp\C82F.tmp"
    3⤵
    PID:1856
  - - C:\Users\Admin\AppData\Local\Temp\C86D.tmp
      "C:\Users\Admin\AppData\Local\Temp\C86D.tmp"
      4⤵
      PID:904
    - - C:\Users\Admin\AppData\Local\Temp\D9EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D9EB.tmp"
        5⤵
        
        PID:2316
      - C:\Users\Admin\AppData\Local\Temp\DA29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA29.tmp"
        6⤵
        
        PID:1600
        
        C:\Users\Admin\AppData\Local\Temp\DA67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA67.tmp"
        7⤵
        
        PID:892
        
        C:\Users\Admin\AppData\Local\Temp\DAC5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DAC5.tmp"
        8⤵
        
        PID:2436
        
        C:\Users\Admin\AppData\Local\Temp\DB13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB13.tmp"
        9⤵
        
        PID:2136
        
        C:\Users\Admin\AppData\Local\Temp\DB51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB51.tmp"
        10⤵
        
        PID:1928
        
        C:\Users\Admin\AppData\Local\Temp\FE3C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE3C.tmp"
        8⤵
        
        PID:2080

C:\Users\Admin\AppData\Local\Temp\6C2B.tmp
"C:\Users\Admin\AppData\Local\Temp\6C2B.tmp"
1⤵
PID:1748

C:\Users\Admin\AppData\Local\Temp\6A47.tmp
"C:\Users\Admin\AppData\Local\Temp\6A47.tmp"
1⤵
PID:2844
- C:\Users\Admin\AppData\Local\Temp\5C43.tmp
  "C:\Users\Admin\AppData\Local\Temp\5C43.tmp"
  2⤵
  PID:2608

C:\Users\Admin\AppData\Local\Temp\6A09.tmp
"C:\Users\Admin\AppData\Local\Temp\6A09.tmp"
1⤵
PID:2680

C:\Users\Admin\AppData\Local\Temp\669F.tmp
"C:\Users\Admin\AppData\Local\Temp\669F.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:844
- C:\Users\Admin\AppData\Local\Temp\3063.tmp
  "C:\Users\Admin\AppData\Local\Temp\3063.tmp"
  2⤵
  PID:1080

C:\Users\Admin\AppData\Local\Temp\6529.tmp
"C:\Users\Admin\AppData\Local\Temp\6529.tmp"
1⤵
PID:2348

C:\Users\Admin\AppData\Local\Temp\6393.tmp
"C:\Users\Admin\AppData\Local\Temp\6393.tmp"
1⤵
PID:408
- C:\Users\Admin\AppData\Local\Temp\8269.tmp
  "C:\Users\Admin\AppData\Local\Temp\8269.tmp"
  2⤵
  PID:2204

C:\Users\Admin\AppData\Local\Temp\5F6E.tmp
"C:\Users\Admin\AppData\Local\Temp\5F6E.tmp"
1⤵
PID:1252

C:\Users\Admin\AppData\Local\Temp\5B98.tmp
"C:\Users\Admin\AppData\Local\Temp\5B98.tmp"
1⤵
PID:2776
- C:\Users\Admin\AppData\Local\Temp\259A.tmp
  "C:\Users\Admin\AppData\Local\Temp\259A.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:2844
- - C:\Users\Admin\AppData\Local\Temp\9A5C.tmp
    "C:\Users\Admin\AppData\Local\Temp\9A5C.tmp"
    3⤵
    PID:2924
  - - C:\Users\Admin\AppData\Local\Temp\9A9A.tmp
      "C:\Users\Admin\AppData\Local\Temp\9A9A.tmp"
      4⤵
      PID:2824

C:\Users\Admin\AppData\Local\Temp\5AAE.tmp
"C:\Users\Admin\AppData\Local\Temp\5AAE.tmp"
1⤵
PID:1516
- C:\Users\Admin\AppData\Local\Temp\3FAF.tmp
  "C:\Users\Admin\AppData\Local\Temp\3FAF.tmp"
  2⤵
  PID:2264
- C:\Users\Admin\AppData\Local\Temp\1130.tmp
  "C:\Users\Admin\AppData\Local\Temp\1130.tmp"
  2⤵
  PID:1492

C:\Users\Admin\AppData\Local\Temp\5A02.tmp
"C:\Users\Admin\AppData\Local\Temp\5A02.tmp"
1⤵
PID:2812

C:\Users\Admin\AppData\Local\Temp\56D7.tmp
"C:\Users\Admin\AppData\Local\Temp\56D7.tmp"
1⤵
PID:3012

C:\Users\Admin\AppData\Local\Temp\5560.tmp
"C:\Users\Admin\AppData\Local\Temp\5560.tmp"
1⤵
PID:2056
- C:\Users\Admin\AppData\Local\Temp\3A52.tmp
  "C:\Users\Admin\AppData\Local\Temp\3A52.tmp"
  2⤵
  PID:2488
- - C:\Users\Admin\AppData\Local\Temp\817F.tmp
    "C:\Users\Admin\AppData\Local\Temp\817F.tmp"
    3⤵
    PID:1580
  - - C:\Users\Admin\AppData\Local\Temp\9231.tmp
      "C:\Users\Admin\AppData\Local\Temp\9231.tmp"
      4⤵
      PID:2748
    - - C:\Users\Admin\AppData\Local\Temp\E7B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7B0.tmp"
        5⤵
        
        PID:1580

C:\Users\Admin\AppData\Local\Temp\54A5.tmp
"C:\Users\Admin\AppData\Local\Temp\54A5.tmp"
1⤵
PID:3004

C:\Users\Admin\AppData\Local\Temp\52C2.tmp
"C:\Users\Admin\AppData\Local\Temp\52C2.tmp"
1⤵
PID:1836

C:\Users\Admin\AppData\Local\Temp\5283.tmp
"C:\Users\Admin\AppData\Local\Temp\5283.tmp"
1⤵
PID:2200

C:\Users\Admin\AppData\Local\Temp\516A.tmp
"C:\Users\Admin\AppData\Local\Temp\516A.tmp"
1⤵
PID:2688

C:\Users\Admin\AppData\Local\Temp\50AF.tmp
"C:\Users\Admin\AppData\Local\Temp\50AF.tmp"
1⤵
PID:1748

C:\Users\Admin\AppData\Local\Temp\4E8D.tmp
"C:\Users\Admin\AppData\Local\Temp\4E8D.tmp"
1⤵
PID:2828
- C:\Users\Admin\AppData\Local\Temp\9A1D.tmp
  "C:\Users\Admin\AppData\Local\Temp\9A1D.tmp"
  2⤵
  PID:2844
- - C:\Users\Admin\AppData\Local\Temp\1352.tmp
    "C:\Users\Admin\AppData\Local\Temp\1352.tmp"
    3⤵
    PID:2192
  - - C:\Users\Admin\AppData\Local\Temp\1390.tmp
      "C:\Users\Admin\AppData\Local\Temp\1390.tmp"
      4⤵
      PID:2244

C:\Users\Admin\AppData\Local\Temp\4DD2.tmp
"C:\Users\Admin\AppData\Local\Temp\4DD2.tmp"
1⤵
PID:2848
- C:\Users\Admin\AppData\Local\Temp\DDB2.tmp
  "C:\Users\Admin\AppData\Local\Temp\DDB2.tmp"
  2⤵
  PID:2180

C:\Users\Admin\AppData\Local\Temp\4DA3.tmp
"C:\Users\Admin\AppData\Local\Temp\4DA3.tmp"
1⤵
PID:2180
- C:\Users\Admin\AppData\Local\Temp\24DF.tmp
  "C:\Users\Admin\AppData\Local\Temp\24DF.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:2788
- - C:\Users\Admin\AppData\Local\Temp\BC5D.tmp
    "C:\Users\Admin\AppData\Local\Temp\BC5D.tmp"
    3⤵
    PID:2660

C:\Users\Admin\AppData\Local\Temp\4CE8.tmp
"C:\Users\Admin\AppData\Local\Temp\4CE8.tmp"
1⤵
PID:1664

C:\Users\Admin\AppData\Local\Temp\4C2D.tmp
"C:\Users\Admin\AppData\Local\Temp\4C2D.tmp"
1⤵
PID:1632

C:\Users\Admin\AppData\Local\Temp\4B81.tmp
"C:\Users\Admin\AppData\Local\Temp\4B81.tmp"
1⤵
PID:3000
- C:\Users\Admin\AppData\Local\Temp\EB97.tmp
  "C:\Users\Admin\AppData\Local\Temp\EB97.tmp"
  2⤵
  PID:832

C:\Users\Admin\AppData\Local\Temp\4A3A.tmp
"C:\Users\Admin\AppData\Local\Temp\4A3A.tmp"
1⤵
PID:904
- C:\Users\Admin\AppData\Local\Temp\C8AC.tmp
  "C:\Users\Admin\AppData\Local\Temp\C8AC.tmp"
  2⤵
  PID:1208

C:\Users\Admin\AppData\Local\Temp\4A0B.tmp
"C:\Users\Admin\AppData\Local\Temp\4A0B.tmp"
1⤵
PID:492

C:\Users\Admin\AppData\Local\Temp\48A4.tmp
"C:\Users\Admin\AppData\Local\Temp\48A4.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2288
- C:\Users\Admin\AppData\Local\Temp\2D28.tmp
  "C:\Users\Admin\AppData\Local\Temp\2D28.tmp"
  2⤵
  PID:448
- C:\Users\Admin\AppData\Local\Temp\934A.tmp
  "C:\Users\Admin\AppData\Local\Temp\934A.tmp"
  2⤵
  PID:1892
- - C:\Users\Admin\AppData\Local\Temp\D865.tmp
    "C:\Users\Admin\AppData\Local\Temp\D865.tmp"
    3⤵
    PID:564
  - - C:\Users\Admin\AppData\Local\Temp\D8A3.tmp
      "C:\Users\Admin\AppData\Local\Temp\D8A3.tmp"
      4⤵
      PID:2468
    - - C:\Users\Admin\AppData\Local\Temp\D8E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D8E1.tmp"
        5⤵
        
        PID:856
      - C:\Users\Admin\AppData\Local\Temp\D92F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D92F.tmp"
        6⤵
        
        PID:320
      - C:\Users\Admin\AppData\Local\Temp\1E98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E98.tmp"
        6⤵
        
        PID:1084
        
        C:\Users\Admin\AppData\Local\Temp\1ED6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1ED6.tmp"
        7⤵
        
        PID:612
        
        C:\Users\Admin\AppData\Local\Temp\1F15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F15.tmp"
        8⤵
        
        PID:2628
        
        C:\Users\Admin\AppData\Local\Temp\1F63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F63.tmp"
        9⤵
        
        PID:1544
        
        C:\Users\Admin\AppData\Local\Temp\1FA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FA1.tmp"
        10⤵
        
        PID:1716
        
        C:\Users\Admin\AppData\Local\Temp\1FE0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FE0.tmp"
        11⤵
        
        PID:1016
        
        C:\Users\Admin\AppData\Local\Temp\201E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\201E.tmp"
        12⤵
        
        PID:1536
        
        C:\Users\Admin\AppData\Local\Temp\205C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\205C.tmp"
        13⤵
        
        PID:2448
        
        C:\Users\Admin\AppData\Local\Temp\209B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\209B.tmp"
        14⤵
        
        PID:1452

C:\Users\Admin\AppData\Local\Temp\471E.tmp
"C:\Users\Admin\AppData\Local\Temp\471E.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:752
- C:\Users\Admin\AppData\Local\Temp\2BB2.tmp
  "C:\Users\Admin\AppData\Local\Temp\2BB2.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:576

C:\Users\Admin\AppData\Local\Temp\4663.tmp
"C:\Users\Admin\AppData\Local\Temp\4663.tmp"
1⤵
PID:2160
- C:\Users\Admin\AppData\Local\Temp\194B.tmp
  "C:\Users\Admin\AppData\Local\Temp\194B.tmp"
  2⤵
  PID:672
- - C:\Users\Admin\AppData\Local\Temp\1989.tmp
    "C:\Users\Admin\AppData\Local\Temp\1989.tmp"
    3⤵
    PID:1616
  - - C:\Users\Admin\AppData\Local\Temp\19C8.tmp
      "C:\Users\Admin\AppData\Local\Temp\19C8.tmp"
      4⤵
      PID:2276
    - - C:\Users\Admin\AppData\Local\Temp\1A06.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A06.tmp"
        5⤵
        
        PID:1744
      - C:\Users\Admin\AppData\Local\Temp\1A54.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A54.tmp"
        6⤵
        
        PID:1196

C:\Users\Admin\AppData\Local\Temp\45A8.tmp
"C:\Users\Admin\AppData\Local\Temp\45A8.tmp"
1⤵
PID:2024
- C:\Users\Admin\AppData\Local\Temp\7F3E.tmp
  "C:\Users\Admin\AppData\Local\Temp\7F3E.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:592

C:\Users\Admin\AppData\Local\Temp\421F.tmp
"C:\Users\Admin\AppData\Local\Temp\421F.tmp"
1⤵
PID:2036
- C:\Users\Admin\AppData\Local\Temp\E0AE.tmp
  "C:\Users\Admin\AppData\Local\Temp\E0AE.tmp"
  2⤵
  PID:2380
- - C:\Users\Admin\AppData\Local\Temp\E0ED.tmp
    "C:\Users\Admin\AppData\Local\Temp\E0ED.tmp"
    3⤵
    PID:2964

C:\Users\Admin\AppData\Local\Temp\4125.tmp
"C:\Users\Admin\AppData\Local\Temp\4125.tmp"
1⤵
PID:2760

C:\Users\Admin\AppData\Local\Temp\406A.tmp
"C:\Users\Admin\AppData\Local\Temp\406A.tmp"
1⤵
PID:2796
- C:\Users\Admin\AppData\Local\Temp\139.tmp
  "C:\Users\Admin\AppData\Local\Temp\139.tmp"
  2⤵
  PID:1428
- - C:\Users\Admin\AppData\Local\Temp\177.tmp
    "C:\Users\Admin\AppData\Local\Temp\177.tmp"
    3⤵
    PID:2112
  - - C:\Users\Admin\AppData\Local\Temp\1B6.tmp
      "C:\Users\Admin\AppData\Local\Temp\1B6.tmp"
      4⤵
      PID:2776
  - - C:\Users\Admin\AppData\Local\Temp\1314.tmp
      "C:\Users\Admin\AppData\Local\Temp\1314.tmp"
      4⤵
      PID:2844

C:\Users\Admin\AppData\Local\Temp\3B0D.tmp
"C:\Users\Admin\AppData\Local\Temp\3B0D.tmp"
1⤵
PID:2344

C:\Users\Admin\AppData\Local\Temp\3997.tmp
"C:\Users\Admin\AppData\Local\Temp\3997.tmp"
1⤵
PID:1244
- C:\Users\Admin\AppData\Local\Temp\D4AD.tmp
  "C:\Users\Admin\AppData\Local\Temp\D4AD.tmp"
  2⤵
  PID:2096
- - C:\Users\Admin\AppData\Local\Temp\FC1A.tmp
    "C:\Users\Admin\AppData\Local\Temp\FC1A.tmp"
    3⤵
    PID:564
  - - C:\Users\Admin\AppData\Local\Temp\FC59.tmp
      "C:\Users\Admin\AppData\Local\Temp\FC59.tmp"
      4⤵
      PID:1740
    - - C:\Users\Admin\AppData\Local\Temp\FC97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC97.tmp"
        5⤵
        
        PID:2012

C:\Users\Admin\AppData\Local\Temp\344A.tmp
"C:\Users\Admin\AppData\Local\Temp\344A.tmp"
1⤵
PID:2832
- C:\Users\Admin\AppData\Local\Temp\AD01.tmp
  "C:\Users\Admin\AppData\Local\Temp\AD01.tmp"
  2⤵
  PID:2000
- - C:\Users\Admin\AppData\Local\Temp\AD40.tmp
    "C:\Users\Admin\AppData\Local\Temp\AD40.tmp"
    3⤵
    PID:2644
  - - C:\Users\Admin\AppData\Local\Temp\AD9D.tmp
      "C:\Users\Admin\AppData\Local\Temp\AD9D.tmp"
      4⤵
      PID:1948
    - - C:\Users\Admin\AppData\Local\Temp\ADDC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ADDC.tmp"
        5⤵
        
        PID:1620
      - C:\Users\Admin\AppData\Local\Temp\AE2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE2A.tmp"
        6⤵
        
        PID:1508
        
        C:\Users\Admin\AppData\Local\Temp\AE68.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE68.tmp"
        7⤵
        
        PID:3024
        
        C:\Users\Admin\AppData\Local\Temp\AEB6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AEB6.tmp"
        8⤵
        
        PID:1748
        
        C:\Users\Admin\AppData\Local\Temp\AF04.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF04.tmp"
        9⤵
        
        PID:1848
        
        C:\Users\Admin\AppData\Local\Temp\AF52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF52.tmp"
        10⤵
        
        PID:2920
        
        C:\Users\Admin\AppData\Local\Temp\AF91.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF91.tmp"
        11⤵
        
        PID:2892
        
        C:\Users\Admin\AppData\Local\Temp\AFDF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AFDF.tmp"
        12⤵
        
        PID:2880
        
        C:\Users\Admin\AppData\Local\Temp\C16B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C16B.tmp"
        13⤵
        
        PID:1448

C:\Users\Admin\AppData\Local\Temp\31DA.tmp
"C:\Users\Admin\AppData\Local\Temp\31DA.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1492
- C:\Users\Admin\AppData\Local\Temp\116E.tmp
  "C:\Users\Admin\AppData\Local\Temp\116E.tmp"
  2⤵
  PID:2980
- - C:\Users\Admin\AppData\Local\Temp\11AD.tmp
    "C:\Users\Admin\AppData\Local\Temp\11AD.tmp"
    3⤵
    PID:2840
  - - C:\Users\Admin\AppData\Local\Temp\120A.tmp
      "C:\Users\Admin\AppData\Local\Temp\120A.tmp"
      4⤵
      PID:2540
    - - C:\Users\Admin\AppData\Local\Temp\1249.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1249.tmp"
        5⤵
        
        PID:2808
      - C:\Users\Admin\AppData\Local\Temp\1297.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1297.tmp"
        6⤵
        
        PID:2680
        
        C:\Users\Admin\AppData\Local\Temp\12D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12D5.tmp"
        7⤵
        
        PID:2112

C:\Users\Admin\AppData\Local\Temp\2F98.tmp
"C:\Users\Admin\AppData\Local\Temp\2F98.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1976

C:\Users\Admin\AppData\Local\Temp\2EDD.tmp
"C:\Users\Admin\AppData\Local\Temp\2EDD.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2620

C:\Users\Admin\AppData\Local\Temp\2E22.tmp
"C:\Users\Admin\AppData\Local\Temp\2E22.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1688

C:\Users\Admin\AppData\Local\Temp\29BF.tmp
"C:\Users\Admin\AppData\Local\Temp\29BF.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1832
- C:\Users\Admin\AppData\Local\Temp\FA08.tmp
  "C:\Users\Admin\AppData\Local\Temp\FA08.tmp"
  2⤵
  PID:2252
- - C:\Users\Admin\AppData\Local\Temp\FA46.tmp
    "C:\Users\Admin\AppData\Local\Temp\FA46.tmp"
    3⤵
    PID:2280
  - - C:\Users\Admin\AppData\Local\Temp\FA75.tmp
      "C:\Users\Admin\AppData\Local\Temp\FA75.tmp"
      4⤵
      PID:1628
    - - C:\Users\Admin\AppData\Local\Temp\FAB4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FAB4.tmp"
        5⤵
        
        PID:2704
  - - C:\Users\Admin\AppData\Local\Temp\B66.tmp
      "C:\Users\Admin\AppData\Local\Temp\B66.tmp"
      4⤵
      PID:1628
    - - C:\Users\Admin\AppData\Local\Temp\BA4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA4.tmp"
        5⤵
        
        PID:2868
      - C:\Users\Admin\AppData\Local\Temp\BE3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE3.tmp"
        6⤵
        
        PID:840
        
        C:\Users\Admin\AppData\Local\Temp\C31.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C31.tmp"
        7⤵
        
        PID:1932
        
        C:\Users\Admin\AppData\Local\Temp\C8E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8E.tmp"
        8⤵
        
        PID:2588
        
        C:\Users\Admin\AppData\Local\Temp\CCD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCD.tmp"
        9⤵
        
        PID:2096

C:\Users\Admin\AppData\Local\Temp\27CC.tmp
"C:\Users\Admin\AppData\Local\Temp\27CC.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:1912
- C:\Users\Admin\AppData\Local\Temp\F7B7.tmp
  "C:\Users\Admin\AppData\Local\Temp\F7B7.tmp"
  2⤵
  PID:1840
- - C:\Users\Admin\AppData\Local\Temp\F7F6.tmp
    "C:\Users\Admin\AppData\Local\Temp\F7F6.tmp"
    3⤵
    PID:2412

C:\Users\Admin\AppData\Local\Temp\274F.tmp
"C:\Users\Admin\AppData\Local\Temp\274F.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2920

C:\Users\Admin\AppData\Local\Temp\26D2.tmp
"C:\Users\Admin\AppData\Local\Temp\26D2.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:1908
- C:\Users\Admin\AppData\Local\Temp\8B6E.tmp
  "C:\Users\Admin\AppData\Local\Temp\8B6E.tmp"
  2⤵
  PID:2928
- - C:\Users\Admin\AppData\Local\Temp\8BAC.tmp
    "C:\Users\Admin\AppData\Local\Temp\8BAC.tmp"
    3⤵
    PID:1340
  - - C:\Users\Admin\AppData\Local\Temp\8C0A.tmp
      "C:\Users\Admin\AppData\Local\Temp\8C0A.tmp"
      4⤵
      PID:1520
    - - C:\Users\Admin\AppData\Local\Temp\8C48.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C48.tmp"
        5⤵
        
        PID:2764
      - C:\Users\Admin\AppData\Local\Temp\8C87.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C87.tmp"
        6⤵
        
        PID:2168
        
        C:\Users\Admin\AppData\Local\Temp\F400.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F400.tmp"
        7⤵
        
        PID:1312
        
        C:\Users\Admin\AppData\Local\Temp\52F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52F.tmp"
        8⤵
        
        PID:2752
        
        C:\Users\Admin\AppData\Local\Temp\56D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56D.tmp"
        9⤵
        
        PID:3040
        
        C:\Users\Admin\AppData\Local\Temp\5BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5BB.tmp"
        10⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\5FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FA.tmp"
        11⤵
        
        PID:2292
        
        C:\Users\Admin\AppData\Local\Temp\1738.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1738.tmp"
        10⤵
        
        PID:1140

C:\Users\Admin\AppData\Local\Temp\2655.tmp
"C:\Users\Admin\AppData\Local\Temp\2655.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2548
- C:\Users\Admin\AppData\Local\Temp\31C.tmp
  "C:\Users\Admin\AppData\Local\Temp\31C.tmp"
  2⤵
  PID:828
- - C:\Users\Admin\AppData\Local\Temp\34B.tmp
    "C:\Users\Admin\AppData\Local\Temp\34B.tmp"
    3⤵
    PID:1440
  - - C:\Users\Admin\AppData\Local\Temp\3A9.tmp
      "C:\Users\Admin\AppData\Local\Temp\3A9.tmp"
      4⤵
      PID:2380
    - - C:\Users\Admin\AppData\Local\Temp\3E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E7.tmp"
        5⤵
        
        PID:2180
      - C:\Users\Admin\AppData\Local\Temp\426.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\426.tmp"
        6⤵
        
        PID:836
        
        C:\Users\Admin\AppData\Local\Temp\474.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\474.tmp"
        7⤵
        
        PID:2732
        
        C:\Users\Admin\AppData\Local\Temp\4B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B2.tmp"
        8⤵
        
        PID:1676
        
        C:\Users\Admin\AppData\Local\Temp\4F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F0.tmp"
        9⤵
        
        PID:1312
        
        C:\Users\Admin\AppData\Local\Temp\162F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\162F.tmp"
        8⤵
        
        PID:1676
        
        C:\Users\Admin\AppData\Local\Temp\166E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\166E.tmp"
        9⤵
        
        PID:1312
        
        C:\Users\Admin\AppData\Local\Temp\16BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16BC.tmp"
        10⤵
        
        PID:852
        
        C:\Users\Admin\AppData\Local\Temp\16FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16FA.tmp"
        11⤵
        
        PID:3040
      - C:\Users\Admin\AppData\Local\Temp\15B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15B2.tmp"
        6⤵
        
        PID:1556
        
        C:\Users\Admin\AppData\Local\Temp\15F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15F1.tmp"
        7⤵
        
        PID:2732

C:\Users\Admin\AppData\Local\Temp\2617.tmp
"C:\Users\Admin\AppData\Local\Temp\2617.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2580
- C:\Users\Admin\AppData\Local\Temp\DF76.tmp
  "C:\Users\Admin\AppData\Local\Temp\DF76.tmp"
  2⤵
  PID:2700
- - C:\Users\Admin\AppData\Local\Temp\2A0.tmp
    "C:\Users\Admin\AppData\Local\Temp\2A0.tmp"
    3⤵
    PID:2900

C:\Users\Admin\AppData\Local\Temp\255C.tmp
"C:\Users\Admin\AppData\Local\Temp\255C.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2776

C:\Users\Admin\AppData\Local\Temp\251D.tmp
"C:\Users\Admin\AppData\Local\Temp\251D.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2996
- C:\Users\Admin\AppData\Local\Temp\890D.tmp
  "C:\Users\Admin\AppData\Local\Temp\890D.tmp"
  2⤵
  PID:2696
- - C:\Users\Admin\AppData\Local\Temp\894C.tmp
    "C:\Users\Admin\AppData\Local\Temp\894C.tmp"
    3⤵
    PID:2804
  - - C:\Users\Admin\AppData\Local\Temp\898A.tmp
      "C:\Users\Admin\AppData\Local\Temp\898A.tmp"
      4⤵
      PID:2244
    - - C:\Users\Admin\AppData\Local\Temp\89D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\89D8.tmp"
        5⤵
        
        PID:2700
      - C:\Users\Admin\AppData\Local\Temp\DFB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DFB5.tmp"
        6⤵
        
        PID:1568
        
        C:\Users\Admin\AppData\Local\Temp\DFF3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DFF3.tmp"
        7⤵
        
        PID:2956
        
        C:\Users\Admin\AppData\Local\Temp\E032.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E032.tmp"
        8⤵
        
        PID:2836
  - - C:\Users\Admin\AppData\Local\Temp\F4EA.tmp
      "C:\Users\Admin\AppData\Local\Temp\F4EA.tmp"
      4⤵
      PID:2292
    - - C:\Users\Admin\AppData\Local\Temp\F528.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F528.tmp"
        5⤵
        
        PID:268
      - C:\Users\Admin\AppData\Local\Temp\F576.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F576.tmp"
        6⤵
        
        PID:2196
        
        C:\Users\Admin\AppData\Local\Temp\F5C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5C4.tmp"
        7⤵
        
        PID:304
        
        C:\Users\Admin\AppData\Local\Temp\F622.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F622.tmp"
        8⤵
        
        PID:2028
    - - C:\Users\Admin\AppData\Local\Temp\628.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\628.tmp"
        5⤵
        
        PID:2156

C:\Users\Admin\AppData\Local\Temp\8076.tmp
"C:\Users\Admin\AppData\Local\Temp\8076.tmp"
1⤵
PID:572
- C:\Users\Admin\AppData\Local\Temp\80B4.tmp
  "C:\Users\Admin\AppData\Local\Temp\80B4.tmp"
  2⤵
  PID:636

C:\Users\Admin\AppData\Local\Temp\81EC.tmp
"C:\Users\Admin\AppData\Local\Temp\81EC.tmp"
1⤵
PID:2360
- C:\Users\Admin\AppData\Local\Temp\822B.tmp
  "C:\Users\Admin\AppData\Local\Temp\822B.tmp"
  2⤵
  PID:408

C:\Users\Admin\AppData\Local\Temp\81AE.tmp
"C:\Users\Admin\AppData\Local\Temp\81AE.tmp"
1⤵
PID:2072
- C:\Users\Admin\AppData\Local\Temp\A370.tmp
  "C:\Users\Admin\AppData\Local\Temp\A370.tmp"
  2⤵
  PID:1628

C:\Users\Admin\AppData\Local\Temp\83D0.tmp
"C:\Users\Admin\AppData\Local\Temp\83D0.tmp"
1⤵
PID:2628

C:\Users\Admin\AppData\Local\Temp\8814.tmp
"C:\Users\Admin\AppData\Local\Temp\8814.tmp"
1⤵
PID:2856

C:\Users\Admin\AppData\Local\Temp\8B3F.tmp
"C:\Users\Admin\AppData\Local\Temp\8B3F.tmp"
1⤵
PID:1908

C:\Users\Admin\AppData\Local\Temp\8B01.tmp
"C:\Users\Admin\AppData\Local\Temp\8B01.tmp"
1⤵
PID:2952

C:\Users\Admin\AppData\Local\Temp\8AD2.tmp
"C:\Users\Admin\AppData\Local\Temp\8AD2.tmp"
1⤵
PID:956

C:\Users\Admin\AppData\Local\Temp\8A17.tmp
"C:\Users\Admin\AppData\Local\Temp\8A17.tmp"
1⤵
PID:2400

C:\Users\Admin\AppData\Local\Temp\8F25.tmp
"C:\Users\Admin\AppData\Local\Temp\8F25.tmp"
1⤵
PID:1840
- C:\Users\Admin\AppData\Local\Temp\8F64.tmp
  "C:\Users\Admin\AppData\Local\Temp\8F64.tmp"
  2⤵
  PID:476

C:\Users\Admin\AppData\Local\Temp\8EE7.tmp
"C:\Users\Admin\AppData\Local\Temp\8EE7.tmp"
1⤵
PID:2936
- C:\Users\Admin\AppData\Local\Temp\E408.tmp
  "C:\Users\Admin\AppData\Local\Temp\E408.tmp"
  2⤵
  PID:2568
- - C:\Users\Admin\AppData\Local\Temp\E447.tmp
    "C:\Users\Admin\AppData\Local\Temp\E447.tmp"
    3⤵
    PID:532
  - - C:\Users\Admin\AppData\Local\Temp\E495.tmp
      "C:\Users\Admin\AppData\Local\Temp\E495.tmp"
      4⤵
      PID:2572
    - - C:\Users\Admin\AppData\Local\Temp\E4D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E4D3.tmp"
        5⤵
        
        PID:2476
      - C:\Users\Admin\AppData\Local\Temp\E521.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E521.tmp"
        6⤵
        
        PID:592
        
        C:\Users\Admin\AppData\Local\Temp\E560.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E560.tmp"
        7⤵
        
        PID:1400
        
        C:\Users\Admin\AppData\Local\Temp\E59E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E59E.tmp"
        8⤵
        
        PID:784
        
        C:\Users\Admin\AppData\Local\Temp\879.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\879.tmp"
        7⤵
        
        PID:1196
        
        C:\Users\Admin\AppData\Local\Temp\8B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B8.tmp"
        8⤵
        
        PID:2560
        
        C:\Users\Admin\AppData\Local\Temp\8F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F6.tmp"
        9⤵
        
        PID:2488
        
        C:\Users\Admin\AppData\Local\Temp\963.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\963.tmp"
        10⤵
        
        PID:1780
        
        C:\Users\Admin\AppData\Local\Temp\1B0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B0F.tmp"
        10⤵
        
        PID:1564
        
        C:\Users\Admin\AppData\Local\Temp\1A92.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A92.tmp"
        8⤵
        
        PID:2560
        
        C:\Users\Admin\AppData\Local\Temp\1AD1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AD1.tmp"
        9⤵
        
        PID:2488

C:\Users\Admin\AppData\Local\Temp\9176.tmp
"C:\Users\Admin\AppData\Local\Temp\9176.tmp"
1⤵
PID:1564
- C:\Users\Admin\AppData\Local\Temp\91B5.tmp
  "C:\Users\Admin\AppData\Local\Temp\91B5.tmp"
  2⤵
  PID:352

C:\Users\Admin\AppData\Local\Temp\90BB.tmp
"C:\Users\Admin\AppData\Local\Temp\90BB.tmp"
1⤵
PID:1856

C:\Users\Admin\AppData\Local\Temp\9260.tmp
"C:\Users\Admin\AppData\Local\Temp\9260.tmp"
1⤵
PID:2360
- C:\Users\Admin\AppData\Local\Temp\929F.tmp
  "C:\Users\Admin\AppData\Local\Temp\929F.tmp"
  2⤵
  PID:2992
- - C:\Users\Admin\AppData\Local\Temp\C6C8.tmp
    "C:\Users\Admin\AppData\Local\Temp\C6C8.tmp"
    3⤵
    PID:1368
  - - C:\Users\Admin\AppData\Local\Temp\C707.tmp
      "C:\Users\Admin\AppData\Local\Temp\C707.tmp"
      4⤵
      PID:2288

C:\Users\Admin\AppData\Local\Temp\9379.tmp
"C:\Users\Admin\AppData\Local\Temp\9379.tmp"
1⤵
PID:1932
- C:\Users\Admin\AppData\Local\Temp\93B7.tmp
  "C:\Users\Admin\AppData\Local\Temp\93B7.tmp"
  2⤵
  PID:2532
- - C:\Users\Admin\AppData\Local\Temp\93F6.tmp
    "C:\Users\Admin\AppData\Local\Temp\93F6.tmp"
    3⤵
    PID:1788
  - - C:\Users\Admin\AppData\Local\Temp\9434.tmp
      "C:\Users\Admin\AppData\Local\Temp\9434.tmp"
      4⤵
      PID:1712
    - - C:\Users\Admin\AppData\Local\Temp\9492.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9492.tmp"
        5⤵
        
        PID:2392

C:\Users\Admin\AppData\Local\Temp\91F3.tmp
"C:\Users\Admin\AppData\Local\Temp\91F3.tmp"
1⤵
PID:1580
- C:\Users\Admin\AppData\Local\Temp\E7EF.tmp
  "C:\Users\Admin\AppData\Local\Temp\E7EF.tmp"
  2⤵
  PID:2312
- - C:\Users\Admin\AppData\Local\Temp\E82D.tmp
    "C:\Users\Admin\AppData\Local\Temp\E82D.tmp"
    3⤵
    PID:2228
  - - C:\Users\Admin\AppData\Local\Temp\E87B.tmp
      "C:\Users\Admin\AppData\Local\Temp\E87B.tmp"
      4⤵
      PID:616
    - - C:\Users\Admin\AppData\Local\Temp\E8D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E8D9.tmp"
        5⤵
        
        PID:1368
      - C:\Users\Admin\AppData\Local\Temp\E927.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E927.tmp"
        6⤵
        
        PID:2128

C:\Users\Admin\AppData\Local\Temp\94D0.tmp
"C:\Users\Admin\AppData\Local\Temp\94D0.tmp"
1⤵
PID:2320
- C:\Users\Admin\AppData\Local\Temp\950F.tmp
  "C:\Users\Admin\AppData\Local\Temp\950F.tmp"
  2⤵
  PID:2564
- C:\Users\Admin\AppData\Local\Temp\D9AC.tmp
  "C:\Users\Admin\AppData\Local\Temp\D9AC.tmp"
  2⤵
  PID:904
- - C:\Users\Admin\AppData\Local\Temp\FD81.tmp
    "C:\Users\Admin\AppData\Local\Temp\FD81.tmp"
    3⤵
    PID:1220
  - - C:\Users\Admin\AppData\Local\Temp\FDC0.tmp
      "C:\Users\Admin\AppData\Local\Temp\FDC0.tmp"
      4⤵
      PID:1600
    - - C:\Users\Admin\AppData\Local\Temp\FDFE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDFE.tmp"
        5⤵
        
        PID:892

C:\Users\Admin\AppData\Local\Temp\954D.tmp
"C:\Users\Admin\AppData\Local\Temp\954D.tmp"
1⤵
PID:1888
- C:\Users\Admin\AppData\Local\Temp\958B.tmp
  "C:\Users\Admin\AppData\Local\Temp\958B.tmp"
  2⤵
  PID:1464

C:\Users\Admin\AppData\Local\Temp\9608.tmp
"C:\Users\Admin\AppData\Local\Temp\9608.tmp"
1⤵
PID:1728
- C:\Users\Admin\AppData\Local\Temp\9647.tmp
  "C:\Users\Admin\AppData\Local\Temp\9647.tmp"
  2⤵
  PID:844
- - C:\Users\Admin\AppData\Local\Temp\9685.tmp
    "C:\Users\Admin\AppData\Local\Temp\9685.tmp"
    3⤵
    PID:3052
  - - C:\Users\Admin\AppData\Local\Temp\96C3.tmp
      "C:\Users\Admin\AppData\Local\Temp\96C3.tmp"
      4⤵
      PID:1156
    - - C:\Users\Admin\AppData\Local\Temp\9702.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9702.tmp"
        5⤵
        
        PID:1968
      - C:\Users\Admin\AppData\Local\Temp\9740.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9740.tmp"
        6⤵
        
        PID:2716
        
        C:\Users\Admin\AppData\Local\Temp\977F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\977F.tmp"
        7⤵
        
        PID:2304
        
        C:\Users\Admin\AppData\Local\Temp\97BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\97BD.tmp"
        8⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\CBB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBB8.tmp"
        8⤵
        
        PID:2676
        
        C:\Users\Admin\AppData\Local\Temp\CBE7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBE7.tmp"
        9⤵
        
        PID:2004
    - - C:\Users\Admin\AppData\Local\Temp\BAE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BAE6.tmp"
        5⤵
        
        PID:3048
      - C:\Users\Admin\AppData\Local\Temp\BB25.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB25.tmp"
        6⤵
        
        PID:1664
        
        C:\Users\Admin\AppData\Local\Temp\BB63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB63.tmp"
        7⤵
        
        PID:2676
        
        C:\Users\Admin\AppData\Local\Temp\BBA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBA1.tmp"
        8⤵
        
        PID:2004
        
        C:\Users\Admin\AppData\Local\Temp\BBE0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBE0.tmp"
        9⤵
        
        PID:1612
        
        C:\Users\Admin\AppData\Local\Temp\BC1E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC1E.tmp"
        10⤵
        
        PID:2788
        
        C:\Users\Admin\AppData\Local\Temp\CC63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC63.tmp"
        10⤵
        
        PID:2788
        
        C:\Users\Admin\AppData\Local\Temp\CCA2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCA2.tmp"
        11⤵
        
        PID:2660
        
        C:\Users\Admin\AppData\Local\Temp\CCE0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCE0.tmp"
        12⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\CD2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD2E.tmp"
        13⤵
        
        PID:2996
        
        C:\Users\Admin\AppData\Local\Temp\CC25.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC25.tmp"
        9⤵
        
        PID:1612
  - - C:\Users\Admin\AppData\Local\Temp\BAB7.tmp
      "C:\Users\Admin\AppData\Local\Temp\BAB7.tmp"
      4⤵
      PID:1156

C:\Users\Admin\AppData\Local\Temp\9D77.tmp
"C:\Users\Admin\AppData\Local\Temp\9D77.tmp"
1⤵
PID:2708
- C:\Users\Admin\AppData\Local\Temp\9DB6.tmp
  "C:\Users\Admin\AppData\Local\Temp\9DB6.tmp"
  2⤵
  PID:2276
- - C:\Users\Admin\AppData\Local\Temp\9E04.tmp
    "C:\Users\Admin\AppData\Local\Temp\9E04.tmp"
    3⤵
    PID:2052
  - - C:\Users\Admin\AppData\Local\Temp\9E52.tmp
      "C:\Users\Admin\AppData\Local\Temp\9E52.tmp"
      4⤵
      PID:2728
    - - C:\Users\Admin\AppData\Local\Temp\9E90.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E90.tmp"
        5⤵
        
        PID:852
      - C:\Users\Admin\AppData\Local\Temp\9EDE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9EDE.tmp"
        6⤵
        
        PID:1480
        
        C:\Users\Admin\AppData\Local\Temp\B193.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B193.tmp"
        7⤵
        
        PID:672
        
        C:\Users\Admin\AppData\Local\Temp\C301.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C301.tmp"
        8⤵
        
        PID:2568
      - C:\Users\Admin\AppData\Local\Temp\E292.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E292.tmp"
        6⤵
        
        PID:1252
- C:\Users\Admin\AppData\Local\Temp\B05B.tmp
  "C:\Users\Admin\AppData\Local\Temp\B05B.tmp"
  2⤵
  PID:1252
- - C:\Users\Admin\AppData\Local\Temp\B09A.tmp
    "C:\Users\Admin\AppData\Local\Temp\B09A.tmp"
    3⤵
    PID:2592
  - - C:\Users\Admin\AppData\Local\Temp\B0D8.tmp
      "C:\Users\Admin\AppData\Local\Temp\B0D8.tmp"
      4⤵
      PID:2200
    - - C:\Users\Admin\AppData\Local\Temp\B126.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B126.tmp"
        5⤵
        
        PID:1732
      - C:\Users\Admin\AppData\Local\Temp\E38C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E38C.tmp"
        6⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\E3CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E3CA.tmp"
        7⤵
        
        PID:2936
- - C:\Users\Admin\AppData\Local\Temp\C1D9.tmp
    "C:\Users\Admin\AppData\Local\Temp\C1D9.tmp"
    3⤵
    PID:2772
  - - C:\Users\Admin\AppData\Local\Temp\C217.tmp
      "C:\Users\Admin\AppData\Local\Temp\C217.tmp"
      4⤵
      PID:2200
    - - C:\Users\Admin\AppData\Local\Temp\C246.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C246.tmp"
        5⤵
        
        PID:304
      - C:\Users\Admin\AppData\Local\Temp\C294.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C294.tmp"
        6⤵
        
        PID:848

C:\Users\Admin\AppData\Local\Temp\9D39.tmp
"C:\Users\Admin\AppData\Local\Temp\9D39.tmp"
1⤵
PID:2880
- C:\Users\Admin\AppData\Local\Temp\B01D.tmp
  "C:\Users\Admin\AppData\Local\Temp\B01D.tmp"
  2⤵
  PID:2708

C:\Users\Admin\AppData\Local\Temp\9F1D.tmp
"C:\Users\Admin\AppData\Local\Temp\9F1D.tmp"
1⤵
PID:3020
- C:\Users\Admin\AppData\Local\Temp\9F5B.tmp
  "C:\Users\Admin\AppData\Local\Temp\9F5B.tmp"
  2⤵
  PID:1360

C:\Users\Admin\AppData\Local\Temp\A3AF.tmp
"C:\Users\Admin\AppData\Local\Temp\A3AF.tmp"
1⤵
PID:408
- C:\Users\Admin\AppData\Local\Temp\A3ED.tmp
  "C:\Users\Admin\AppData\Local\Temp\A3ED.tmp"
  2⤵
  PID:2204
- - C:\Users\Admin\AppData\Local\Temp\A42B.tmp
    "C:\Users\Admin\AppData\Local\Temp\A42B.tmp"
    3⤵
    PID:448
  - - C:\Users\Admin\AppData\Local\Temp\A46A.tmp
      "C:\Users\Admin\AppData\Local\Temp\A46A.tmp"
      4⤵
      PID:1468

C:\Users\Admin\AppData\Local\Temp\A506.tmp
"C:\Users\Admin\AppData\Local\Temp\A506.tmp"
1⤵
PID:1688
- C:\Users\Admin\AppData\Local\Temp\A544.tmp
  "C:\Users\Admin\AppData\Local\Temp\A544.tmp"
  2⤵
  PID:2628
- - C:\Users\Admin\AppData\Local\Temp\A583.tmp
    "C:\Users\Admin\AppData\Local\Temp\A583.tmp"
    3⤵
    PID:1208
  - - C:\Users\Admin\AppData\Local\Temp\A5D1.tmp
      "C:\Users\Admin\AppData\Local\Temp\A5D1.tmp"
      4⤵
      PID:1488
    - - C:\Users\Admin\AppData\Local\Temp\A62E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A62E.tmp"
        5⤵
        
        PID:348
      - C:\Users\Admin\AppData\Local\Temp\A68C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A68C.tmp"
        6⤵
        
        PID:576
        
        C:\Users\Admin\AppData\Local\Temp\A6CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A6CA.tmp"
        7⤵
        
        PID:1220
        
        C:\Users\Admin\AppData\Local\Temp\A718.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A718.tmp"
        8⤵
        
        PID:2604
        
        C:\Users\Admin\AppData\Local\Temp\A766.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A766.tmp"
        9⤵
        
        PID:2652
        
        C:\Users\Admin\AppData\Local\Temp\BA3B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA3B.tmp"
        10⤵
        
        PID:844
        
        C:\Users\Admin\AppData\Local\Temp\BA79.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA79.tmp"
        11⤵
        
        PID:3052
        
        C:\Users\Admin\AppData\Local\Temp\B9FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B9FC.tmp"
        9⤵
        
        PID:2652
  - - C:\Users\Admin\AppData\Local\Temp\B895.tmp
      "C:\Users\Admin\AppData\Local\Temp\B895.tmp"
      4⤵
      PID:1600
    - - C:\Users\Admin\AppData\Local\Temp\B8D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8D4.tmp"
        5⤵
        
        PID:348
      - C:\Users\Admin\AppData\Local\Temp\B922.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B922.tmp"
        6⤵
        
        PID:1888
        
        C:\Users\Admin\AppData\Local\Temp\B960.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B960.tmp"
        7⤵
        
        PID:3016
        
        C:\Users\Admin\AppData\Local\Temp\C9E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9E4.tmp"
        8⤵
        
        PID:2604
        
        C:\Users\Admin\AppData\Local\Temp\CA22.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA22.tmp"
        9⤵
        
        PID:2652
        
        C:\Users\Admin\AppData\Local\Temp\CA61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA61.tmp"
        10⤵
        
        PID:1452
        
        C:\Users\Admin\AppData\Local\Temp\CAAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAAF.tmp"
        11⤵
        
        PID:3052
        
        C:\Users\Admin\AppData\Local\Temp\CAFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAFD.tmp"
        12⤵
        
        PID:1156
        
        C:\Users\Admin\AppData\Local\Temp\CB3B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB3B.tmp"
        13⤵
        
        PID:3036
        
        C:\Users\Admin\AppData\Local\Temp\20D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\20D9.tmp"
        11⤵
        
        PID:2136
        
        C:\Users\Admin\AppData\Local\Temp\C9A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9A5.tmp"
        7⤵
        
        PID:3016
- - C:\Users\Admin\AppData\Local\Temp\B857.tmp
    "C:\Users\Admin\AppData\Local\Temp\B857.tmp"
    3⤵
    PID:1208
  - - C:\Users\Admin\AppData\Local\Temp\C8EA.tmp
      "C:\Users\Admin\AppData\Local\Temp\C8EA.tmp"
      4⤵
      PID:1600
    - - C:\Users\Admin\AppData\Local\Temp\C929.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C929.tmp"
        5⤵
        
        PID:348
      - C:\Users\Admin\AppData\Local\Temp\C967.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C967.tmp"
        6⤵
        
        PID:1888

C:\Users\Admin\AppData\Local\Temp\A499.tmp
"C:\Users\Admin\AppData\Local\Temp\A499.tmp"
1⤵
PID:1588

C:\Users\Admin\AppData\Local\Temp\A795.tmp
"C:\Users\Admin\AppData\Local\Temp\A795.tmp"
1⤵
PID:1536
- C:\Users\Admin\AppData\Local\Temp\A7D3.tmp
  "C:\Users\Admin\AppData\Local\Temp\A7D3.tmp"
  2⤵
  PID:1656

C:\Users\Admin\AppData\Local\Temp\A812.tmp
"C:\Users\Admin\AppData\Local\Temp\A812.tmp"
1⤵
PID:2164
- C:\Users\Admin\AppData\Local\Temp\A850.tmp
  "C:\Users\Admin\AppData\Local\Temp\A850.tmp"
  2⤵
  PID:2352
- - C:\Users\Admin\AppData\Local\Temp\A89E.tmp
    "C:\Users\Admin\AppData\Local\Temp\A89E.tmp"
    3⤵
    PID:1080
  - - C:\Users\Admin\AppData\Local\Temp\A90B.tmp
      "C:\Users\Admin\AppData\Local\Temp\A90B.tmp"
      4⤵
      PID:2460
    - - C:\Users\Admin\AppData\Local\Temp\A94A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A94A.tmp"
        5⤵
        
        PID:2060
      - C:\Users\Admin\AppData\Local\Temp\A9B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A9B7.tmp"
        6⤵
        
        PID:2800
        
        C:\Users\Admin\AppData\Local\Temp\AA05.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA05.tmp"
        7⤵
        
        PID:2092
        
        C:\Users\Admin\AppData\Local\Temp\AA43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA43.tmp"
        8⤵
        
        PID:2856
        
        C:\Users\Admin\AppData\Local\Temp\AA91.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA91.tmp"
        9⤵
        
        PID:2180
        
        C:\Users\Admin\AppData\Local\Temp\AADF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AADF.tmp"
        10⤵
        
        PID:2988
        
        C:\Users\Admin\AppData\Local\Temp\AB1E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB1E.tmp"
        11⤵
        
        PID:1004
        
        C:\Users\Admin\AppData\Local\Temp\AB6C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB6C.tmp"
        12⤵
        
        PID:2696
        
        C:\Users\Admin\AppData\Local\Temp\ABAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABAA.tmp"
        13⤵
        
        PID:2680
        
        C:\Users\Admin\AppData\Local\Temp\ABF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABF8.tmp"
        14⤵
        
        PID:2900
        
        C:\Users\Admin\AppData\Local\Temp\AC37.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC37.tmp"
        15⤵
        
        PID:2596
        
        C:\Users\Admin\AppData\Local\Temp\AC85.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC85.tmp"
        16⤵
        
        PID:2544
        
        C:\Users\Admin\AppData\Local\Temp\ACC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ACC3.tmp"
        17⤵
        
        PID:2832
        
        C:\Users\Admin\AppData\Local\Temp\BE8E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE8E.tmp"
        17⤵
        
        PID:2832
        
        C:\Users\Admin\AppData\Local\Temp\BECD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BECD.tmp"
        18⤵
        
        PID:2000
        
        C:\Users\Admin\AppData\Local\Temp\BF0B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF0B.tmp"
        19⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\CF12.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF12.tmp"
        18⤵
        
        PID:2000
        
        C:\Users\Admin\AppData\Local\Temp\CF50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF50.tmp"
        19⤵
        
        PID:1540
        
        C:\Users\Admin\AppData\Local\Temp\BE11.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE11.tmp"
        15⤵
        
        PID:1568
        
        C:\Users\Admin\AppData\Local\Temp\BE50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE50.tmp"
        16⤵
        
        PID:2544
        
        C:\Users\Admin\AppData\Local\Temp\CEE3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CEE3.tmp"
        17⤵
        
        PID:2832
        
        C:\Users\Admin\AppData\Local\Temp\BCF9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BCF9.tmp"
        11⤵
        
        PID:2076
        
        C:\Users\Admin\AppData\Local\Temp\BD37.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD37.tmp"
        12⤵
        
        PID:2696
        
        C:\Users\Admin\AppData\Local\Temp\BD85.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD85.tmp"
        13⤵
        
        PID:2244
        
        C:\Users\Admin\AppData\Local\Temp\BDD3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BDD3.tmp"
        14⤵
        
        PID:2900
        
        C:\Users\Admin\AppData\Local\Temp\DDF0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DDF0.tmp"
        10⤵
        
        PID:2808
        
        C:\Users\Admin\AppData\Local\Temp\DE2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE2F.tmp"
        11⤵
        
        PID:2112
        
        C:\Users\Admin\AppData\Local\Temp\DE8C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE8C.tmp"
        12⤵
        
        PID:2776
        
        C:\Users\Admin\AppData\Local\Temp\DEFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DEFA.tmp"
        13⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\DF38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF38.tmp"
        14⤵
        
        PID:2580
        
        C:\Users\Admin\AppData\Local\Temp\1F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F4.tmp"
        13⤵
        
        PID:2192

C:\Users\Admin\AppData\Local\Temp\B1C2.tmp
"C:\Users\Admin\AppData\Local\Temp\B1C2.tmp"
1⤵
PID:1720
- C:\Users\Admin\AppData\Local\Temp\B1F1.tmp
  "C:\Users\Admin\AppData\Local\Temp\B1F1.tmp"
  2⤵
  PID:2008
- - C:\Users\Admin\AppData\Local\Temp\B22F.tmp
    "C:\Users\Admin\AppData\Local\Temp\B22F.tmp"
    3⤵
    PID:1840
  - - C:\Users\Admin\AppData\Local\Temp\B27D.tmp
      "C:\Users\Admin\AppData\Local\Temp\B27D.tmp"
      4⤵
      PID:1988
    - - C:\Users\Admin\AppData\Local\Temp\B2EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B2EB.tmp"
        5⤵
        
        PID:1648
      - C:\Users\Admin\AppData\Local\Temp\B329.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B329.tmp"
        6⤵
        
        PID:2756
        
        C:\Users\Admin\AppData\Local\Temp\B377.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B377.tmp"
        7⤵
        
        PID:784
        
        C:\Users\Admin\AppData\Local\Temp\B3D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B3D5.tmp"
        8⤵
        
        PID:1964
        
        C:\Users\Admin\AppData\Local\Temp\B442.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B442.tmp"
        9⤵
        
        PID:804
        
        C:\Users\Admin\AppData\Local\Temp\B480.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B480.tmp"
        10⤵
        
        PID:1396
        
        C:\Users\Admin\AppData\Local\Temp\C513.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C513.tmp"
        11⤵
        
        PID:572
        
        C:\Users\Admin\AppData\Local\Temp\C4D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4D5.tmp"
        10⤵
        
        PID:1396
        
        C:\Users\Admin\AppData\Local\Temp\C477.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C477.tmp"
        8⤵
        
        PID:2512
        
        C:\Users\Admin\AppData\Local\Temp\C4A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4A6.tmp"
        9⤵
        
        PID:804
        
        C:\Users\Admin\AppData\Local\Temp\E61B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E61B.tmp"
        9⤵
        
        PID:1564
        
        C:\Users\Admin\AppData\Local\Temp\E659.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E659.tmp"
        10⤵
        
        PID:1396
        
        C:\Users\Admin\AppData\Local\Temp\E6B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E6B7.tmp"
        11⤵
        
        PID:2600
        
        C:\Users\Admin\AppData\Local\Temp\E734.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E734.tmp"
        12⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\E772.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E772.tmp"
        13⤵
        
        PID:2748
        
        C:\Users\Admin\AppData\Local\Temp\1B4E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B4E.tmp"
        10⤵
        
        PID:700
        
        C:\Users\Admin\AppData\Local\Temp\1B8C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B8C.tmp"
        11⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\1BEA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1BEA.tmp"
        12⤵
        
        PID:408
        
        C:\Users\Admin\AppData\Local\Temp\1C28.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C28.tmp"
        13⤵
        
        PID:2312
        
        C:\Users\Admin\AppData\Local\Temp\1C66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C66.tmp"
        14⤵
        
        PID:2360
  - - C:\Users\Admin\AppData\Local\Temp\C3AD.tmp
      "C:\Users\Admin\AppData\Local\Temp\C3AD.tmp"
      4⤵
      PID:400

C:\Users\Admin\AppData\Local\Temp\B155.tmp
"C:\Users\Admin\AppData\Local\Temp\B155.tmp"
1⤵
PID:1480

C:\Users\Admin\AppData\Local\Temp\B54B.tmp
"C:\Users\Admin\AppData\Local\Temp\B54B.tmp"
1⤵
PID:2120
- C:\Users\Admin\AppData\Local\Temp\B589.tmp
  "C:\Users\Admin\AppData\Local\Temp\B589.tmp"
  2⤵
  PID:2332
- - C:\Users\Admin\AppData\Local\Temp\B5C8.tmp
    "C:\Users\Admin\AppData\Local\Temp\B5C8.tmp"
    3⤵
    PID:2328
  - - C:\Users\Admin\AppData\Local\Temp\B616.tmp
      "C:\Users\Admin\AppData\Local\Temp\B616.tmp"
      4⤵
      PID:1936
    - - C:\Users\Admin\AppData\Local\Temp\B673.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B673.tmp"
        5⤵
        
        PID:1368
      - C:\Users\Admin\AppData\Local\Temp\B6B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B6B2.tmp"
        6⤵
        
        PID:356
        
        C:\Users\Admin\AppData\Local\Temp\B6F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B6F0.tmp"
        7⤵
        
        PID:1684
        
        C:\Users\Admin\AppData\Local\Temp\B72F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B72F.tmp"
        8⤵
        
        PID:332
        
        C:\Users\Admin\AppData\Local\Temp\C774.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C774.tmp"
        8⤵
        
        PID:332
        
        C:\Users\Admin\AppData\Local\Temp\C7B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C7B2.tmp"
        9⤵
        
        PID:952
        
        C:\Users\Admin\AppData\Local\Temp\C7F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C7F1.tmp"
        10⤵
        
        PID:320
        
        C:\Users\Admin\AppData\Local\Temp\D96E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D96E.tmp"
        11⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\FFF1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFF1.tmp"
        12⤵
        
        PID:2376
        
        C:\Users\Admin\AppData\Local\Temp\30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30.tmp"
        13⤵
        
        PID:2092
        
        C:\Users\Admin\AppData\Local\Temp\6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E.tmp"
        14⤵
        
        PID:2564
        
        C:\Users\Admin\AppData\Local\Temp\BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC.tmp"
        15⤵
        
        PID:2540
        
        C:\Users\Admin\AppData\Local\Temp\E9E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9E2.tmp"
        9⤵
        
        PID:952
        
        C:\Users\Admin\AppData\Local\Temp\EA20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA20.tmp"
        10⤵
        
        PID:1296
        
        C:\Users\Admin\AppData\Local\Temp\EA5F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA5F.tmp"
        11⤵
        
        PID:1856
        
        C:\Users\Admin\AppData\Local\Temp\EAAD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EAAD.tmp"
        12⤵
        
        PID:2628
        
        C:\Users\Admin\AppData\Local\Temp\EB0A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB0A.tmp"
        13⤵
        
        PID:1220
        
        C:\Users\Admin\AppData\Local\Temp\EB49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB49.tmp"
        14⤵
        
        PID:3000
        
        C:\Users\Admin\AppData\Local\Temp\D7E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7E8.tmp"
        7⤵
        
        PID:1696
        
        C:\Users\Admin\AppData\Local\Temp\1D60.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D60.tmp"
        8⤵
        
        PID:944
        
        C:\Users\Admin\AppData\Local\Temp\1DAE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DAE.tmp"
        9⤵
        
        PID:1932
        
        C:\Users\Admin\AppData\Local\Temp\1DEC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DEC.tmp"
        10⤵
        
        PID:2184

C:\Users\Admin\AppData\Local\Temp\B4AF.tmp
"C:\Users\Admin\AppData\Local\Temp\B4AF.tmp"
1⤵
PID:572
- C:\Users\Admin\AppData\Local\Temp\C552.tmp
  "C:\Users\Admin\AppData\Local\Temp\C552.tmp"
  2⤵
  PID:1700
- - C:\Users\Admin\AppData\Local\Temp\C590.tmp
    "C:\Users\Admin\AppData\Local\Temp\C590.tmp"
    3⤵
    PID:872
  - - C:\Users\Admin\AppData\Local\Temp\C5CF.tmp
      "C:\Users\Admin\AppData\Local\Temp\C5CF.tmp"
      4⤵
      PID:2120
    - - C:\Users\Admin\AppData\Local\Temp\C60D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C60D.tmp"
        5⤵
        
        PID:2312
      - C:\Users\Admin\AppData\Local\Temp\C64B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C64B.tmp"
        6⤵
        
        PID:2360
        
        C:\Users\Admin\AppData\Local\Temp\C68A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C68A.tmp"
        7⤵
        
        PID:2992
        
        C:\Users\Admin\AppData\Local\Temp\1CA5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1CA5.tmp"
        7⤵
        
        PID:2280

C:\Users\Admin\AppData\Local\Temp\B76D.tmp
"C:\Users\Admin\AppData\Local\Temp\B76D.tmp"
1⤵
PID:952

C:\Users\Admin\AppData\Local\Temp\BC9B.tmp
"C:\Users\Admin\AppData\Local\Temp\BC9B.tmp"
1⤵
PID:2212

C:\Users\Admin\AppData\Local\Temp\C072.tmp
"C:\Users\Admin\AppData\Local\Temp\C072.tmp"
1⤵
PID:2732
- C:\Users\Admin\AppData\Local\Temp\C0B0.tmp
  "C:\Users\Admin\AppData\Local\Temp\C0B0.tmp"
  2⤵
  PID:2920
- - C:\Users\Admin\AppData\Local\Temp\C0EF.tmp
    "C:\Users\Admin\AppData\Local\Temp\C0EF.tmp"
    3⤵
    PID:2892
  - - C:\Users\Admin\AppData\Local\Temp\C12D.tmp
      "C:\Users\Admin\AppData\Local\Temp\C12D.tmp"
      4⤵
      PID:2880
    - - C:\Users\Admin\AppData\Local\Temp\D105.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D105.tmp"
        5⤵
        
        PID:2292
      - C:\Users\Admin\AppData\Local\Temp\D143.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D143.tmp"
        6⤵
        
        PID:2692
        
        C:\Users\Admin\AppData\Local\Temp\D182.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D182.tmp"
        7⤵
        
        PID:2156
        
        C:\Users\Admin\AppData\Local\Temp\D1D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1D0.tmp"
        8⤵
        
        PID:1836
        
        C:\Users\Admin\AppData\Local\Temp\D21E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D21E.tmp"
        9⤵
        
        PID:2040
        
        C:\Users\Admin\AppData\Local\Temp\D28B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D28B.tmp"
        10⤵
        
        PID:792
        
        C:\Users\Admin\AppData\Local\Temp\D2C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2C9.tmp"
        11⤵
        
        PID:672
        
        C:\Users\Admin\AppData\Local\Temp\667.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\667.tmp"
        8⤵
        
        PID:2240
        
        C:\Users\Admin\AppData\Local\Temp\6A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A5.tmp"
        9⤵
        
        PID:2044
- C:\Users\Admin\AppData\Local\Temp\D04A.tmp
  "C:\Users\Admin\AppData\Local\Temp\D04A.tmp"
  2⤵
  PID:1476

C:\Users\Admin\AppData\Local\Temp\C033.tmp
"C:\Users\Admin\AppData\Local\Temp\C033.tmp"
1⤵
PID:2656

C:\Users\Admin\AppData\Local\Temp\C33F.tmp
"C:\Users\Admin\AppData\Local\Temp\C33F.tmp"
1⤵
PID:2008
- C:\Users\Admin\AppData\Local\Temp\C37E.tmp
  "C:\Users\Admin\AppData\Local\Temp\C37E.tmp"
  2⤵
  PID:1840

C:\Users\Admin\AppData\Local\Temp\C2D2.tmp
"C:\Users\Admin\AppData\Local\Temp\C2D2.tmp"
1⤵
PID:672
- C:\Users\Admin\AppData\Local\Temp\D308.tmp
  "C:\Users\Admin\AppData\Local\Temp\D308.tmp"
  2⤵
  PID:1616

C:\Users\Admin\AppData\Local\Temp\C3DB.tmp
"C:\Users\Admin\AppData\Local\Temp\C3DB.tmp"
1⤵
PID:1768

C:\Users\Admin\AppData\Local\Temp\CF8F.tmp
"C:\Users\Admin\AppData\Local\Temp\CF8F.tmp"
1⤵
PID:2884
- C:\Users\Admin\AppData\Local\Temp\CFCD.tmp
  "C:\Users\Admin\AppData\Local\Temp\CFCD.tmp"
  2⤵
  PID:2760
- - C:\Users\Admin\AppData\Local\Temp\D00B.tmp
    "C:\Users\Admin\AppData\Local\Temp\D00B.tmp"
    3⤵
    PID:2732

C:\Users\Admin\AppData\Local\Temp\D4EB.tmp
"C:\Users\Admin\AppData\Local\Temp\D4EB.tmp"
1⤵
PID:1780
- C:\Users\Admin\AppData\Local\Temp\D52A.tmp
  "C:\Users\Admin\AppData\Local\Temp\D52A.tmp"
  2⤵
  PID:804
- - C:\Users\Admin\AppData\Local\Temp\D568.tmp
    "C:\Users\Admin\AppData\Local\Temp\D568.tmp"
    3⤵
    PID:2188
  - - C:\Users\Admin\AppData\Local\Temp\D5B6.tmp
      "C:\Users\Admin\AppData\Local\Temp\D5B6.tmp"
      4⤵
      PID:308
    - - C:\Users\Admin\AppData\Local\Temp\D614.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D614.tmp"
        5⤵
        
        PID:2860
      - C:\Users\Admin\AppData\Local\Temp\D652.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D652.tmp"
        6⤵
        
        PID:2072
        
        C:\Users\Admin\AppData\Local\Temp\D6A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6A0.tmp"
        7⤵
        
        PID:1628
        
        C:\Users\Admin\AppData\Local\Temp\D6FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6FE.tmp"
        8⤵
        
        PID:2704
        
        C:\Users\Admin\AppData\Local\Temp\D76B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D76B.tmp"
        9⤵
        
        PID:2868
        
        C:\Users\Admin\AppData\Local\Temp\D7A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7A9.tmp"
        10⤵
        
        PID:356
        
        C:\Users\Admin\AppData\Local\Temp\FAF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FAF2.tmp"
        9⤵
        
        PID:840
        
        C:\Users\Admin\AppData\Local\Temp\FB40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB40.tmp"
        10⤵
        
        PID:3012
        
        C:\Users\Admin\AppData\Local\Temp\FB9E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB9E.tmp"
        11⤵
        
        PID:1916
    - - C:\Users\Admin\AppData\Local\Temp\A7C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A7C.tmp"
        5⤵
        
        PID:1832
      - C:\Users\Admin\AppData\Local\Temp\ABA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABA.tmp"
        6⤵
        
        PID:1180
        
        C:\Users\Admin\AppData\Local\Temp\B28.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B28.tmp"
        7⤵
        
        PID:2280
        
        C:\Users\Admin\AppData\Local\Temp\1CE3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1CE3.tmp"
        8⤵
        
        PID:2176
        
        C:\Users\Admin\AppData\Local\Temp\1D22.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D22.tmp"
        9⤵
        
        PID:1696
- C:\Users\Admin\AppData\Local\Temp\9A2.tmp
  "C:\Users\Admin\AppData\Local\Temp\9A2.tmp"
  2⤵
  PID:652
- - C:\Users\Admin\AppData\Local\Temp\9F0.tmp
    "C:\Users\Admin\AppData\Local\Temp\9F0.tmp"
    3⤵
    PID:872
  - - C:\Users\Admin\AppData\Local\Temp\A3E.tmp
      "C:\Users\Admin\AppData\Local\Temp\A3E.tmp"
      4⤵
      PID:308

C:\Users\Admin\AppData\Local\Temp\DB80.tmp
"C:\Users\Admin\AppData\Local\Temp\DB80.tmp"
1⤵
PID:2496
- C:\Users\Admin\AppData\Local\Temp\FF36.tmp
  "C:\Users\Admin\AppData\Local\Temp\FF36.tmp"
  2⤵
  PID:2352
- - C:\Users\Admin\AppData\Local\Temp\FF74.tmp
    "C:\Users\Admin\AppData\Local\Temp\FF74.tmp"
    3⤵
    PID:1896
  - - C:\Users\Admin\AppData\Local\Temp\FFB3.tmp
      "C:\Users\Admin\AppData\Local\Temp\FFB3.tmp"
      4⤵
      PID:2320

C:\Users\Admin\AppData\Local\Temp\E070.tmp
"C:\Users\Admin\AppData\Local\Temp\E070.tmp"
1⤵
PID:2036

C:\Users\Admin\AppData\Local\Temp\E9A4.tmp
"C:\Users\Admin\AppData\Local\Temp\E9A4.tmp"
1⤵
PID:332
- C:\Users\Admin\AppData\Local\Temp\1E5A.tmp
  "C:\Users\Admin\AppData\Local\Temp\1E5A.tmp"
  2⤵
  PID:856

C:\Users\Admin\AppData\Local\Temp\EBD5.tmp
"C:\Users\Admin\AppData\Local\Temp\EBD5.tmp"
1⤵
PID:1536
- C:\Users\Admin\AppData\Local\Temp\EC14.tmp
  "C:\Users\Admin\AppData\Local\Temp\EC14.tmp"
  2⤵
  PID:3016
- - C:\Users\Admin\AppData\Local\Temp\EC52.tmp
    "C:\Users\Admin\AppData\Local\Temp\EC52.tmp"
    3⤵
    PID:2604
  - - C:\Users\Admin\AppData\Local\Temp\ECBF.tmp
      "C:\Users\Admin\AppData\Local\Temp\ECBF.tmp"
      4⤵
      PID:2652
    - - C:\Users\Admin\AppData\Local\Temp\ED1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED1D.tmp"
        5⤵
        
        PID:1424
      - C:\Users\Admin\AppData\Local\Temp\ED7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED7A.tmp"
        6⤵
        
        PID:3052
        
        C:\Users\Admin\AppData\Local\Temp\EDE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDE8.tmp"
        7⤵
        
        PID:2968
        
        C:\Users\Admin\AppData\Local\Temp\EE45.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE45.tmp"
        8⤵
        
        PID:2376
        
        C:\Users\Admin\AppData\Local\Temp\EEA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EEA3.tmp"
        9⤵
        
        PID:3044
        
        C:\Users\Admin\AppData\Local\Temp\EEF1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EEF1.tmp"
        10⤵
        
        PID:2672
        
        C:\Users\Admin\AppData\Local\Temp\EF2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF2F.tmp"
        11⤵
        
        PID:2472

C:\Users\Admin\AppData\Local\Temp\EF6E.tmp
"C:\Users\Admin\AppData\Local\Temp\EF6E.tmp"
1⤵
PID:2408
- C:\Users\Admin\AppData\Local\Temp\EFAC.tmp
  "C:\Users\Admin\AppData\Local\Temp\EFAC.tmp"
  2⤵
  PID:2856
- - C:\Users\Admin\AppData\Local\Temp\EFEA.tmp
    "C:\Users\Admin\AppData\Local\Temp\EFEA.tmp"
    3⤵
    PID:1004
  - - C:\Users\Admin\AppData\Local\Temp\F038.tmp
      "C:\Users\Admin\AppData\Local\Temp\F038.tmp"
      4⤵
      PID:2744
    - - C:\Users\Admin\AppData\Local\Temp\F096.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F096.tmp"
        5⤵
        
        PID:2696
      - C:\Users\Admin\AppData\Local\Temp\F0F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0F4.tmp"
        6⤵
        
        PID:2828
        
        C:\Users\Admin\AppData\Local\Temp\F142.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F142.tmp"
        7⤵
        
        PID:2596
        
        C:\Users\Admin\AppData\Local\Temp\F190.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F190.tmp"
        8⤵
        
        PID:2536
        
        C:\Users\Admin\AppData\Local\Temp\F1DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1DE.tmp"
        9⤵
        
        PID:2908
        
        C:\Users\Admin\AppData\Local\Temp\F22C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F22C.tmp"
        10⤵
        
        PID:2552
        
        C:\Users\Admin\AppData\Local\Temp\F26A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F26A.tmp"
        11⤵
        
        PID:2972
        
        C:\Users\Admin\AppData\Local\Temp\F2B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2B8.tmp"
        12⤵
        
        PID:1512
        
        C:\Users\Admin\AppData\Local\Temp\F306.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F306.tmp"
        13⤵
        
        PID:2904

C:\Users\Admin\AppData\Local\Temp\F834.tmp
"C:\Users\Admin\AppData\Local\Temp\F834.tmp"
1⤵
PID:2560

C:\Users\Admin\AppData\Local\Temp\FBDC.tmp
"C:\Users\Admin\AppData\Local\Temp\FBDC.tmp"
1⤵
PID:2096
- C:\Users\Admin\AppData\Local\Temp\D0B.tmp
  "C:\Users\Admin\AppData\Local\Temp\D0B.tmp"
  2⤵
  PID:952
- - C:\Users\Admin\AppData\Local\Temp\D59.tmp
    "C:\Users\Admin\AppData\Local\Temp\D59.tmp"
    3⤵
    PID:1296
  - - C:\Users\Admin\AppData\Local\Temp\DA7.tmp
      "C:\Users\Admin\AppData\Local\Temp\DA7.tmp"
      4⤵
      PID:612
    - - C:\Users\Admin\AppData\Local\Temp\DE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE6.tmp"
        5⤵
        
        PID:2236

C:\Users\Admin\AppData\Local\Temp\1036.tmp
"C:\Users\Admin\AppData\Local\Temp\1036.tmp"
1⤵
PID:1080
- C:\Users\Admin\AppData\Local\Temp\1075.tmp
  "C:\Users\Admin\AppData\Local\Temp\1075.tmp"
  2⤵
  PID:2460
- - C:\Users\Admin\AppData\Local\Temp\10B3.tmp
    "C:\Users\Admin\AppData\Local\Temp\10B3.tmp"
    3⤵
    PID:3036
  - - C:\Users\Admin\AppData\Local\Temp\10F2.tmp
      "C:\Users\Admin\AppData\Local\Temp\10F2.tmp"
      4⤵
      PID:1516

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\2462.tmp

Filesize
520KB

MD5
7d92e8c5dd98b9c6fd1fb10d109b76c0

SHA1
4bb604b6f19badf377a2b3674115dedccda4a8a0

SHA256
0df0ea6ff7787607d2a11afed628572fbd37427259086c5650b42a702512ad1c

SHA512
ad049ae8d8bd486285c3ecc5384970b1c83b1edf85920d8524954ab199d3646a84a078514eaf0b5d6d484e96cecf0a805b9841119352cef7dee6f0a9ebbb1229

Download Submit
C:\Users\Admin\AppData\Local\Temp\24A0.tmp

Filesize
92KB

MD5
09d9762adfe0c426ac16ed542880d452

SHA1
01ee27a32417d4decbb016c287addfbf318a5b5d

SHA256
f57edf2390fd63678a763d40f77d01804b7d1c54a6e087e5615282c66294973f

SHA512
61f3079c9452eced4c70d3fc6f81e53acb15395f23040a7f64d979031c3a50c49355bc21003a11063aced8381fe115c7e855c4fbf5ec876bc010219c7d519fe1

Download Submit
C:\Users\Admin\AppData\Local\Temp\24A0.tmp

Filesize
520KB

MD5
ca77ed13786c10fb149af44ea02f61fb

SHA1
f313b26aa8460fb619ce21860c585024d5bd832d

SHA256
d3730cc1ae867221cc0195eca6a313f86edb085839e6fe0ac56607fe7db5e2c4

SHA512
1fae10b051b9e68e088c78cef6581677722a7df746dd852dbee86e537ed89fc5338f4ef53bf052c56d0729cc7f24ce7b9ce5bbdc78674188130ae30fb7e1eb53

Download Submit
C:\Users\Admin\AppData\Local\Temp\24DF.tmp

Filesize
520KB

MD5
7a79b69a478d93084b92a2d5d71bc9b5

SHA1
ed8cddbc7dcf0ff78f9b136318a2b0ca350573df

SHA256
7556a4ca54ec0d6c9f5246dfa6367f6683057fc0070fb1ccc124294f9d15d19d

SHA512
97771103b628f916f5baaa2f2927789091d2b6114907d8636b9da784598a4188ae39d9ef76152cc5b28e00dd1687123c8738b81bfdacc3dde2d38864230083f9

Download Submit
C:\Users\Admin\AppData\Local\Temp\251D.tmp

Filesize
520KB

MD5
2dd566e418cb46cefe7ebb5869928a2f

SHA1
40f212a0b78032c0637a43b6641da4a70f472a5b

SHA256
02b05e31e1cdc0134d96f0e6dc0e4e8fd8ca10b87a0e61de310b535eef69d3bd

SHA512
b415fafd0013116291187d5f79a71e848f27ae12bd1e41cae02a8fe59e03f4ae8b546606dff657929d3efac405fe5dc0f4baf98e2054c3db8cebdc1e5c925f60

Download Submit
C:\Users\Admin\AppData\Local\Temp\259A.tmp

Filesize
520KB

MD5
e2af9f77a913ed1fedb8677e9d0a5da4

SHA1
b1e7a477ff9907efd430d17730a6a580ff7104c9

SHA256
f6a4017428e9b8f23688621cf97a2227ef988976f74b412db643c7ab7ac460be

SHA512
574495b4357c774c393ca5dc68a7e750d0f12341a8dde24f087d50c404d09cf00de4243603f0f629cb49055c443256ab33187eb30d0f8f71853cf3de1aaf644e

Download Submit
C:\Users\Admin\AppData\Local\Temp\25D8.tmp

Filesize
520KB

MD5
070097551d6f6db95b221c8ab0481469

SHA1
6ddc9012f4135196c930c960b94a6086c59bb2f8

SHA256
cca4ad8ceb49318864664dd24f432a3e790a361685f075508832b8ab11cf642b

SHA512
4dd5876a133ee9aa1b086bdc8bab7f3e133f954e62518d5b35069665eb2706aa37fdee4225f4eda442af5bc6937593a899f580b90f49b0e4346b51b958cf36b6

Download Submit
C:\Users\Admin\AppData\Local\Temp\2617.tmp

Filesize
520KB

MD5
02c677217364f37a1f202bf9be48d972

SHA1
286bb7651fa456860849b0d236a93d61b4d0b853

SHA256
e065fc0e1a91d41050907ae84e803d819b21bf911fe8e51aa549eba755f0edc0

SHA512
aa5b7039a3605ede302d71022bac0699e239aa3c0c16d58055a3535a6c5017ab6ffc06f6cecfc0ee076d7e00541d201ce485fe750e7a64730eb61d904716bffe

Download Submit
C:\Users\Admin\AppData\Local\Temp\2655.tmp

Filesize
520KB

MD5
546f371194ba9115efa288f795b05b63

SHA1
a552d92cd18db7a0cd88c987ceeddd8da75eab2a

SHA256
3517e40044cd8e6b2ede216ccf719062ec6535ff9be7ba5955e4c1a5bb538a96

SHA512
4274cfd28ec339dd5af2ca04987bd8ce540b9c35ac3af434a1d7e6de564f4ba714084c04d6c75f54a168178620900f3d9e54cd78f2e623be766c080422de4997

Download Submit
C:\Users\Admin\AppData\Local\Temp\26D2.tmp

Filesize
520KB

MD5
37d33082adbac2cbc12d9ce9be0f5a90

SHA1
42e398092b3e9dcd576cfe8ad0dd464dddcd3c81

SHA256
e9ade4d92c364bf33ac91831cf9a906d4067c8a8bb7c31bb59eb367640e8edc7

SHA512
53668d4b241c353becdee636199748f4d5805c75cef66b6c45e0977134e97451ec6bda88453568fa56d62bc3d3fd3ef7220fc62cf9a93545a173bcabbc036365

Download Submit
C:\Users\Admin\AppData\Local\Temp\2710.tmp

Filesize
520KB

MD5
70198d92467705332e3d46289a8c7ff5

SHA1
a94e32e1f40f972bd63992d32469145614bdb316

SHA256
8564759a453fe20a39407a0c65b2722b437dce25585eaabb7293560c80291315

SHA512
c0b50d57ddadae2c622fa6981d3e6c71f6750e843cc4fd7179d2457be1c055724e28674c2fcb0a952bf6d75bad01a4ce1ed8088acb7cc000c606f25d8d9ed082

Download Submit
C:\Users\Admin\AppData\Local\Temp\278D.tmp

Filesize
520KB

MD5
cdb5adf70617e1cd4c878ce2198d7ada

SHA1
c9be5cae52824291cd5a5ec3f430e4373ddd54f9

SHA256
fb023c980b0a190cd7385ad030c9ec88ec1a31f11f7c86dc5a6ff64417b19179

SHA512
14759e9bf1f35cc8041d530bd4a845d94d655c645c4427fd3487a831de4c1b8d34bd4c1211d5ab77bb93834356d36e53475360a6ccb16859e8647ee24b453a41

Download Submit
C:\Users\Admin\AppData\Local\Temp\27CC.tmp

Filesize
520KB

MD5
718293d179e190555e1c7eaacb9f5058

SHA1
da93a59fb8092073e8997f3d0b80392677025eff

SHA256
a6c3e5c58b07ef47dc0e198ace7c7efbf6d7516313b928c6c8dad54f16be61ee

SHA512
17dce1fa678c2aac8c91d1bc9087eb1f3dcc36f1be4d4af43f4e2dbc2e4382660d9b4301495b69e45e97e61d387684cff68f110b3f64f538717c30c289ebe49d

Download Submit
C:\Users\Admin\AppData\Local\Temp\280A.tmp

Filesize
520KB

MD5
988630826fd9287519102113a9289a6d

SHA1
60796b5e2b4850bb14221547349ab88ef02d49da

SHA256
a10981357d7e5376d2000374b7d930f0b146ca9d92b797ab868576cd46612df5

SHA512
ecb773e782904f4d594a85ad5669a8d9e9a4727b3a0ba1da360ba032a5c5f748fade57256d733632f0ee9d82ee5c4c7bceeb71feb75ff83bb8a02596ca70dc07

Download Submit
C:\Users\Admin\AppData\Local\Temp\2848.tmp

Filesize
520KB

MD5
20edcec16e476dd06d72bd099e0d4593

SHA1
d9fba8661a7b30017dd69d3ccea9d15a39d11584

SHA256
b801f5c6869da3d367b82a32f81f9ede226f724d7f470887e82b12b88eaf4977

SHA512
9043253c6c4f5c8703ad3c3e83dfa54e2161848d4e17050a16d57e57bd1af2539fedfdf2c5afe0a2b487d0663b7247e8f596cfa7cd293e68bec3c7dec9d33105

Download Submit
C:\Users\Admin\AppData\Local\Temp\2887.tmp

Filesize
520KB

MD5
453ef724dea1c76e727406b016242a23

SHA1
7defc1cd8348733de8155b80b5d77a7c55b8950c

SHA256
ce19e1542542d92e18c54854c911a8ab823e6a96fc425fc8c9d70dbb29779c13

SHA512
ee07df5501b59c617a3f23a7fc438c58361bb786acbb9492a1a2a93d0ceef6ecf4d9404c30657a9d119e5961762cb466519408653435ad5b4be1a313ab09c22b

Download Submit
C:\Users\Admin\AppData\Local\Temp\2904.tmp

Filesize
520KB

MD5
98efd9972d64b2bd1094a2df1951f8e4

SHA1
57f104392491e8308e1b50f9c4c49470acb4a7e6

SHA256
48a13bc847ec7b1d907df324ccdfd2941a14056b7efa8ca1d9b7cd8ac530a6ea

SHA512
4bff6fe476d120cdc1245439bd9aecc739f705de1e8744f7c1c6861e1887fe1208788eba084550ca078a829c98749cd3826de9ab90d85ea9a3fa864fab837332

Download Submit
C:\Users\Admin\AppData\Local\Temp\2942.tmp

Filesize
520KB

MD5
c93c749520434700e2967bbf3147a1b2

SHA1
440c5845e17b72d27159765750ea6a54ff62f792

SHA256
3f91a58df9831e5d6735a820e0c90ede057028cc19347f4ce690793a354bde8d

SHA512
4a56bf7c33f906de367dafda78b0d3442b791267a8f8ba738b7c9ee661a9feb609d5a4c0d11d07fb50740c05ca13c719f8b1699078c7c820dda33011d1edfc18

Download Submit
\Users\Admin\AppData\Local\Temp\255C.tmp

Filesize
520KB

MD5
0968b29a6d4fdd4ba6175acac4c4eaf0

SHA1
67c428d98a2b6b3d903c539c98e78bb56a287e94

SHA256
2719197ef40da1e8a129998fafb7613e49ba3f38bc66af78c76487367814b5a8

SHA512
d8835087b2dc54b82a6e10337efd6218c7a2d4096a746f6a00696f7c344815db4f8be1ada517c9dbf4a03966f02f24cfe7ae0a895b352d4d0fc1588365895143

Download Submit
\Users\Admin\AppData\Local\Temp\2694.tmp

Filesize
520KB

MD5
9c6ea725d731d04d39e25230d424b289

SHA1
09fe9cb2a8ee1871461ddeb9082bd8a62db284ef

SHA256
cff9b55082308baf1c07ff6c0696f0da74c9326aa8f5b4c525b7b0930230fc7e

SHA512
178dccba080d53868c8b20fb2ee3aa079eff291a06e9f8ff2d5495b89f62a790e18c849482ad18749a6f7ea09933cf870162b39ba59562d0e5d5b6500c563033

Download Submit
\Users\Admin\AppData\Local\Temp\274F.tmp

Filesize
520KB

MD5
55bd6e947673645749070372b5582533

SHA1
5262618b1d553959cf3b64b08e869d30a9e7c5f5

SHA256
d264e09decc3e2d3250c8ee42388a0ba8dda1acca46c09dac2539c3580673276

SHA512
c81bf0a106e71d9319576c9f9b396fa47f6d4c6d667cff1a8ccf8c8b05fdfdc965cfaf2f12633f3611052bd2e269966ec76fba89f637bfbacbb0cb69be5fd13e

Download Submit
\Users\Admin\AppData\Local\Temp\28C5.tmp

Filesize
520KB

MD5
a01e6c83c40d25b126170da077a54cce

SHA1
b81a5cde645556b7c6508be2e03ee0743e93c19b

SHA256
9f67019933a0233e6910ebc2e621b95e080ca8af3e2ed40dbb57075643387bad

SHA512
71067b9842b1f8011b203b9054827fab7910a385c53ff978fec0c7a0595e88f3baf2465015e9e7b26186dc1cc116707d3fdf81ef4dd33eacb1d7e161c60c4bd0

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads