bdc1406bcb6ec6f5af8ff8506b39a18bd15035a85289b594eebd1ee701db76c5

Analysis

max time kernel
103s
max time network
126s
platform
windows7_x64
resource
win7-20231215-en
resource tags

arch:x64arch:x86image:win7-20231215-enlocale:en-usos:windows7-x64system
submitted
08/01/2024, 18:43

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

4c2ea414ae706e638e37fca0e8d96486.exe
Size

49KB
MD5

4c2ea414ae706e638e37fca0e8d96486
SHA1

b2bae96c2658212b8db8606b79bc33cdcd6b131a
SHA256

bdc1406bcb6ec6f5af8ff8506b39a18bd15035a85289b594eebd1ee701db76c5
SHA512

2b2da19eaba6fb4d387e4dcd1e65e99c7a6134f766d54a488de5bdcda76720e8e1ed83dbdb6c009733d7672621022917f79fe52e918211c4afefb767796a2a19
SSDEEP

768:+OJc8djFFkwlpaGc/8I0sEvqcxOmT5sKNZW8ln6V4I4znI/PldKp:+O60FvaG9I0DvdIwK2lNM18

Score

7^/10

upx

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
2280	4c2ea414ae706e638e37fca0e8d96486.exe
1312	Offlce.exe
2812	Offlce.exe
2900	Offlce.exe
2748	Offlce.exe
2584	Offlce.exe
2616	Offlce.exe
2632	Offlce.exe
2604	Offlce.exe
1088	Offlce.exe
1592	Offlce.exe
1736	Offlce.exe
1652	Offlce.exe
2628	Offlce.exe
2664	Offlce.exe
2500	Offlce.exe
2492	Offlce.exe
1280	Offlce.exe
1424	Offlce.exe
1988	Offlce.exe
1812	Offlce.exe
1632	Offlce.exe
276	Offlce.exe
2316	Offlce.exe
2752	Offlce.exe
2152	Offlce.exe
580	Offlce.exe
440	Offlce.exe
2408	Offlce.exe
1376	Offlce.exe
1364	Offlce.exe
708	Offlce.exe
1888	Offlce.exe
1132	Offlce.exe
1300	Offlce.exe
3016	Offlce.exe
1788	Offlce.exe
2200	Offlce.exe
2236	Offlce.exe
2468	Offlce.exe
1680	Offlce.exe
2240	Offlce.exe
2132	Offlce.exe
2652	Offlce.exe
1568	Offlce.exe
2712	Offlce.exe
2768	Offlce.exe
1312	Offlce.exe
2668	Offlce.exe
2680	Offlce.exe
2900	Offlce.exe
2572	Offlce.exe
2000	Offlce.exe
2140	Offlce.exe
2996	Offlce.exe
784	Offlce.exe
2540	Offlce.exe
520	Offlce.exe
1732	Offlce.exe
568	Offlce.exe
1100	Offlce.exe
2960	Offlce.exe
2992	Offlce.exe
1948	Offlce.exe

Loads dropped DLL 64 IoCs

pid	Process
2276	4c2ea414ae706e638e37fca0e8d96486.exe
2280	4c2ea414ae706e638e37fca0e8d96486.exe
2280	4c2ea414ae706e638e37fca0e8d96486.exe
1312	Offlce.exe
2812	Offlce.exe
2812	Offlce.exe
2748	Offlce.exe
2748	Offlce.exe
2616	Offlce.exe
2616	Offlce.exe
2604	Offlce.exe
2604	Offlce.exe
1592	Offlce.exe
1592	Offlce.exe
1652	Offlce.exe
1652	Offlce.exe
2664	Offlce.exe
2664	Offlce.exe
2492	Offlce.exe
2492	Offlce.exe
1424	Offlce.exe
1424	Offlce.exe
1812	Offlce.exe
1812	Offlce.exe
276	Offlce.exe
276	Offlce.exe
2752	Offlce.exe
2752	Offlce.exe
580	Offlce.exe
580	Offlce.exe
2408	Offlce.exe
2408	Offlce.exe
1364	Offlce.exe
1364	Offlce.exe
1888	Offlce.exe
1888	Offlce.exe
1300	Offlce.exe
1300	Offlce.exe
1788	Offlce.exe
1788	Offlce.exe
2236	Offlce.exe
2236	Offlce.exe
1680	Offlce.exe
1680	Offlce.exe
2132	Offlce.exe
2132	Offlce.exe
1568	Offlce.exe
1568	Offlce.exe
2768	Offlce.exe
2768	Offlce.exe
2668	Offlce.exe
2668	Offlce.exe
2900	Offlce.exe
2900	Offlce.exe
2000	Offlce.exe
2000	Offlce.exe
2996	Offlce.exe
2996	Offlce.exe
2540	Offlce.exe
2540	Offlce.exe
1732	Offlce.exe
1732	Offlce.exe
1100	Offlce.exe
1100	Offlce.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral1/memory/2280-7-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2280-9-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2280-11-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2280-20-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2812-31-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2812-32-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2812-34-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2748-49-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2616-61-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2616-63-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2616-66-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2604-79-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1592-94-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1652-109-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2664-124-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2492-138-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1424-154-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1812-168-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/276-182-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/276-185-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2752-200-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/580-215-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2408-230-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1364-244-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1888-255-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1300-266-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1788-277-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2236-288-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1680-299-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2132-310-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1568-321-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2768-332-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2668-343-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2900-354-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2000-365-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2996-377-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2540-387-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1732-398-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1732-403-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1100-410-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2992-421-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2600-434-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1964-448-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2012-455-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2472-466-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2332-477-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/476-488-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2932-503-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1092-514-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1764-521-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1516-532-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/904-543-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1604-554-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1604-559-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1544-566-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/3036-577-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/3040-588-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2360-599-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1540-610-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2772-621-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2744-632-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/3012-643-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/2300-654-0x0000000000400000-0x000000000044B000-memory.dmp	upx
behavioral1/memory/1056-669-0x0000000000400000-0x000000000044B000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File created	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe
File opened for modification	C:\Windows\SysWOW64\Offlce.exe	Offlce.exe

Suspicious use of SetThreadContext 64 IoCs

description	pid	Process	procid_target
PID 2276 set thread context of 2280	2276	4c2ea414ae706e638e37fca0e8d96486.exe	28
PID 1312 set thread context of 2812	1312	Offlce.exe	30
PID 2900 set thread context of 2748	2900	Offlce.exe	31
PID 2584 set thread context of 2616	2584	Offlce.exe	34
PID 2632 set thread context of 2604	2632	Offlce.exe	36
PID 1088 set thread context of 1592	1088	Offlce.exe	38
PID 1736 set thread context of 1652	1736	Offlce.exe	39
PID 2628 set thread context of 2664	2628	Offlce.exe	42
PID 2500 set thread context of 2492	2500	Offlce.exe	44
PID 1280 set thread context of 1424	1280	Offlce.exe	45
PID 1988 set thread context of 1812	1988	Offlce.exe	48
PID 1632 set thread context of 276	1632	Offlce.exe	50
PID 2316 set thread context of 2752	2316	Offlce.exe	52
PID 2152 set thread context of 580	2152	Offlce.exe	54
PID 440 set thread context of 2408	440	Offlce.exe	56
PID 1376 set thread context of 1364	1376	Offlce.exe	57
PID 708 set thread context of 1888	708	Offlce.exe	60
PID 1132 set thread context of 1300	1132	Offlce.exe	62
PID 3016 set thread context of 1788	3016	Offlce.exe	64
PID 2200 set thread context of 2236	2200	Offlce.exe	65
PID 2468 set thread context of 1680	2468	Offlce.exe	68
PID 2240 set thread context of 2132	2240	Offlce.exe	70
PID 2652 set thread context of 1568	2652	Offlce.exe	72
PID 2712 set thread context of 2768	2712	Offlce.exe	74
PID 1312 set thread context of 2668	1312	Offlce.exe	76
PID 2680 set thread context of 2900	2680	Offlce.exe	77
PID 2572 set thread context of 2000	2572	Offlce.exe	79
PID 2140 set thread context of 2996	2140	Offlce.exe	82
PID 784 set thread context of 2540	784	Offlce.exe	84
PID 520 set thread context of 1732	520	Offlce.exe	85
PID 568 set thread context of 1100	568	Offlce.exe	88
PID 2960 set thread context of 2992	2960	Offlce.exe	89
PID 1948 set thread context of 2600	1948	Offlce.exe	92
PID 2024 set thread context of 1964	2024	Offlce.exe	94
PID 768 set thread context of 2012	768	Offlce.exe	96
PID 1636 set thread context of 2472	1636	Offlce.exe	98
PID 2052 set thread context of 2332	2052	Offlce.exe	100
PID 2316 set thread context of 476	2316	Offlce.exe	101
PID 2152 set thread context of 2932	2152	Offlce.exe	104
PID 652 set thread context of 1092	652	Offlce.exe	106
PID 1404 set thread context of 1764	1404	Offlce.exe	108
PID 1464 set thread context of 1516	1464	Offlce.exe	110
PID 2404 set thread context of 904	2404	Offlce.exe	112
PID 2348 set thread context of 1604	2348	Offlce.exe	114
PID 2508 set thread context of 1544	2508	Offlce.exe	115
PID 1768 set thread context of 3036	1768	Offlce.exe	118
PID 2288 set thread context of 3040	2288	Offlce.exe	120
PID 2652 set thread context of 2360	2652	Offlce.exe	121
PID 2708 set thread context of 1540	2708	Offlce.exe	124
PID 2788 set thread context of 2772	2788	Offlce.exe	126
PID 2732 set thread context of 2744	2732	Offlce.exe	128
PID 2848 set thread context of 3012	2848	Offlce.exe	130
PID 3028 set thread context of 2300	3028	Offlce.exe	131
PID 1088 set thread context of 1056	1088	Offlce.exe	134
PID 1840 set thread context of 1112	1840	Offlce.exe	136
PID 1736 set thread context of 2800	1736	Offlce.exe	138
PID 2020 set thread context of 2868	2020	Offlce.exe	140
PID 1996 set thread context of 848	1996	Offlce.exe	142
PID 1240 set thread context of 1576	1240	Offlce.exe	144
PID 1892 set thread context of 1848	1892	Offlce.exe	146
PID 844 set thread context of 1048	844	Offlce.exe	148
PID 552 set thread context of 1432	552	Offlce.exe	150
PID 2268 set thread context of 324	2268	Offlce.exe	151
PID 676 set thread context of 764	676	Offlce.exe	154

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2276 wrote to memory of 2280	2276	4c2ea414ae706e638e37fca0e8d96486.exe	28
PID 2276 wrote to memory of 2280	2276	4c2ea414ae706e638e37fca0e8d96486.exe	28
PID 2276 wrote to memory of 2280	2276	4c2ea414ae706e638e37fca0e8d96486.exe	28
PID 2276 wrote to memory of 2280	2276	4c2ea414ae706e638e37fca0e8d96486.exe	28
PID 2276 wrote to memory of 2280	2276	4c2ea414ae706e638e37fca0e8d96486.exe	28
PID 2276 wrote to memory of 2280	2276	4c2ea414ae706e638e37fca0e8d96486.exe	28
PID 2280 wrote to memory of 1312	2280	4c2ea414ae706e638e37fca0e8d96486.exe	29
PID 2280 wrote to memory of 1312	2280	4c2ea414ae706e638e37fca0e8d96486.exe	29
PID 2280 wrote to memory of 1312	2280	4c2ea414ae706e638e37fca0e8d96486.exe	29
PID 2280 wrote to memory of 1312	2280	4c2ea414ae706e638e37fca0e8d96486.exe	29
PID 1312 wrote to memory of 2812	1312	Offlce.exe	30
PID 1312 wrote to memory of 2812	1312	Offlce.exe	30
PID 1312 wrote to memory of 2812	1312	Offlce.exe	30
PID 1312 wrote to memory of 2812	1312	Offlce.exe	30
PID 1312 wrote to memory of 2812	1312	Offlce.exe	30
PID 1312 wrote to memory of 2812	1312	Offlce.exe	30
PID 2812 wrote to memory of 2900	2812	Offlce.exe	32
PID 2812 wrote to memory of 2900	2812	Offlce.exe	32
PID 2812 wrote to memory of 2900	2812	Offlce.exe	32
PID 2812 wrote to memory of 2900	2812	Offlce.exe	32
PID 2900 wrote to memory of 2748	2900	Offlce.exe	31
PID 2900 wrote to memory of 2748	2900	Offlce.exe	31
PID 2900 wrote to memory of 2748	2900	Offlce.exe	31
PID 2900 wrote to memory of 2748	2900	Offlce.exe	31
PID 2900 wrote to memory of 2748	2900	Offlce.exe	31
PID 2900 wrote to memory of 2748	2900	Offlce.exe	31
PID 2748 wrote to memory of 2584	2748	Offlce.exe	33
PID 2748 wrote to memory of 2584	2748	Offlce.exe	33
PID 2748 wrote to memory of 2584	2748	Offlce.exe	33
PID 2748 wrote to memory of 2584	2748	Offlce.exe	33
PID 2584 wrote to memory of 2616	2584	Offlce.exe	34
PID 2584 wrote to memory of 2616	2584	Offlce.exe	34
PID 2584 wrote to memory of 2616	2584	Offlce.exe	34
PID 2584 wrote to memory of 2616	2584	Offlce.exe	34
PID 2584 wrote to memory of 2616	2584	Offlce.exe	34
PID 2584 wrote to memory of 2616	2584	Offlce.exe	34
PID 2616 wrote to memory of 2632	2616	Offlce.exe	35
PID 2616 wrote to memory of 2632	2616	Offlce.exe	35
PID 2616 wrote to memory of 2632	2616	Offlce.exe	35
PID 2616 wrote to memory of 2632	2616	Offlce.exe	35
PID 2632 wrote to memory of 2604	2632	Offlce.exe	36
PID 2632 wrote to memory of 2604	2632	Offlce.exe	36
PID 2632 wrote to memory of 2604	2632	Offlce.exe	36
PID 2632 wrote to memory of 2604	2632	Offlce.exe	36
PID 2632 wrote to memory of 2604	2632	Offlce.exe	36
PID 2632 wrote to memory of 2604	2632	Offlce.exe	36
PID 2604 wrote to memory of 1088	2604	Offlce.exe	37
PID 2604 wrote to memory of 1088	2604	Offlce.exe	37
PID 2604 wrote to memory of 1088	2604	Offlce.exe	37
PID 2604 wrote to memory of 1088	2604	Offlce.exe	37
PID 1088 wrote to memory of 1592	1088	Offlce.exe	38
PID 1088 wrote to memory of 1592	1088	Offlce.exe	38
PID 1088 wrote to memory of 1592	1088	Offlce.exe	38
PID 1088 wrote to memory of 1592	1088	Offlce.exe	38
PID 1088 wrote to memory of 1592	1088	Offlce.exe	38
PID 1088 wrote to memory of 1592	1088	Offlce.exe	38
PID 1592 wrote to memory of 1736	1592	Offlce.exe	40
PID 1592 wrote to memory of 1736	1592	Offlce.exe	40
PID 1592 wrote to memory of 1736	1592	Offlce.exe	40
PID 1592 wrote to memory of 1736	1592	Offlce.exe	40
PID 1736 wrote to memory of 1652	1736	Offlce.exe	39
PID 1736 wrote to memory of 1652	1736	Offlce.exe	39
PID 1736 wrote to memory of 1652	1736	Offlce.exe	39
PID 1736 wrote to memory of 1652	1736	Offlce.exe	39

C:\Users\Admin\AppData\Local\Temp\4c2ea414ae706e638e37fca0e8d96486.exe
"C:\Users\Admin\AppData\Local\Temp\4c2ea414ae706e638e37fca0e8d96486.exe"
1⤵
- Loads dropped DLL
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:2276
- C:\Users\Admin\AppData\Local\Temp\4c2ea414ae706e638e37fca0e8d96486.exe
  C:\Users\Admin\AppData\Local\Temp\4c2ea414ae706e638e37fca0e8d96486.exe
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:2280
- - C:\Windows\SysWOW64\Offlce.exe
    "C:\Windows\system32\Offlce.exe"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of SetThreadContext
    - Suspicious use of WriteProcessMemory
    PID:1312
  - - C:\Windows\SysWOW64\Offlce.exe
      C:\Windows\SysWOW64\Offlce.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of WriteProcessMemory
      PID:2812
    - - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        5⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of WriteProcessMemory
        
        PID:2900

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2748
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  - Suspicious use of WriteProcessMemory
  PID:2584
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of WriteProcessMemory
    PID:2616
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      Executes dropped EXE
      Suspicious use of SetThreadContext
      Suspicious use of WriteProcessMemory
      PID:2632
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:2604
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of WriteProcessMemory
        
        PID:1088
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:1592
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of WriteProcessMemory
        
        PID:1736

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
PID:1652
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  - Executes dropped EXE
  - Drops file in System32 directory
  - Suspicious use of SetThreadContext
  PID:2628
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:2664
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      Executes dropped EXE
      Suspicious use of SetThreadContext
      PID:2500
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:2492
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:1280

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
PID:1424
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  - Executes dropped EXE
  - Drops file in System32 directory
  - Suspicious use of SetThreadContext
  PID:1988
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1812
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      Executes dropped EXE
      Suspicious use of SetThreadContext
      PID:1632
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:276
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:2316
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:2752
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:2152
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:580
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:440
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2408
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:1376
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:476
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        Suspicious use of SetThreadContext
        
        PID:2152
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        Suspicious use of SetThreadContext
        
        PID:652
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:1092
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        Suspicious use of SetThreadContext
        
        PID:1404
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:1764
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        Suspicious use of SetThreadContext
        
        PID:1464
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        Drops file in System32 directory
        
        PID:1516
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        Suspicious use of SetThreadContext
        
        PID:2404
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:904
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        Suspicious use of SetThreadContext
        
        PID:2348
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:1604
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        Suspicious use of SetThreadContext
        
        PID:2508
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2912
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:844
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:1792
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:2068
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:108
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:1988
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:844
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:2136

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1364
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:708
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1888
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      Executes dropped EXE
      Suspicious use of SetThreadContext
      PID:1132
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1300
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:3016
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1788
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:2200

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2236
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2468
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1680
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      Executes dropped EXE
      Drops file in System32 directory
      Suspicious use of SetThreadContext
      PID:2240
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2132
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:2652
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1568
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:2712
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2768
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:1312
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2668
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:2680
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:2360
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        Suspicious use of SetThreadContext
        
        PID:2708
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:1540
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        Suspicious use of SetThreadContext
        
        PID:2788
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:2772
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        Suspicious use of SetThreadContext
        
        PID:2732
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:2744
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        Suspicious use of SetThreadContext
        
        PID:2848
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:3012
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        Suspicious use of SetThreadContext
        
        PID:3028

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2900
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2572
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2632
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:2980
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2544
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:1884

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2000
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2140
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Drops file in System32 directory
    PID:2996
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      Executes dropped EXE
      Suspicious use of SetThreadContext
      PID:784
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2540
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:520

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1732
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:568
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1100
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      Executes dropped EXE
      Suspicious use of SetThreadContext
      PID:2960

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
- Executes dropped EXE
PID:2992
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:1948
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2600
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      Suspicious use of SetThreadContext
      PID:2024
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:1964
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        Suspicious use of SetThreadContext
        
        PID:768
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:2012
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        Suspicious use of SetThreadContext
        
        PID:1636
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:2472
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:2052
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:2332
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        Suspicious use of SetThreadContext
        
        PID:2316

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:1544
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  - Suspicious use of SetThreadContext
  PID:1768
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:3036
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      Drops file in System32 directory
      Suspicious use of SetThreadContext
      PID:2288
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:3040
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        Suspicious use of SetThreadContext
        
        PID:2652

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:2300
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  - Suspicious use of SetThreadContext
  PID:1088
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    - Drops file in System32 directory
    PID:1056
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      Suspicious use of SetThreadContext
      PID:1840
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:1112
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        Suspicious use of SetThreadContext
        
        PID:1736
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:2800
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        Suspicious use of SetThreadContext
        
        PID:2020
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:2868
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:1996
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:848
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        Suspicious use of SetThreadContext
        
        PID:1240
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:1576
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        Suspicious use of SetThreadContext
        
        PID:1892
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:1848
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        Suspicious use of SetThreadContext
        
        PID:844
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:1048
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        Suspicious use of SetThreadContext
        
        PID:552
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:1432
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        Suspicious use of SetThreadContext
        
        PID:2268

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:324
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  - Suspicious use of SetThreadContext
  PID:676
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:764
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:1376
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2040
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:1360
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:1836
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:1152
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:960
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:2060
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:592
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:540
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:1552
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:1684
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:2240
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:2652
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:3048
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:2712
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        
        PID:2820
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        
        PID:2724
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:552
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:2068
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:1028
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:1780
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:1868

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:1816
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:2580
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2972
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:2608
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2840
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:1844
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:1976
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:1828
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:2860
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:2628
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:1052
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:1948
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:2008
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:2024
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:1808
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:1772
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:1824
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        
        PID:2924
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        
        PID:1776

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:700
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  - Drops file in System32 directory
  PID:2096
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2268
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:1620
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:652
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:1404
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:1376
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:884
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:1132
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:2340
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:2060
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        Drops file in System32 directory
        
        PID:1016
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:2172
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:2908
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:2536

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:1584
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:2764
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:3068
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:2444

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:2564
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:2576

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:2584
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:2572

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:2852
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:2648
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2860
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:1224
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2844
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:944
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:2376
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:2464
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:1636
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:1596
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:776
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:2308
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:2920

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:2072
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:1148
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2440
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:112

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:1832
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  - Drops file in System32 directory
  PID:1260
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:1040
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:2432
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:852
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:1032
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:1760
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        Drops file in System32 directory
        
        PID:2112
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:2740
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:1932
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        Drops file in System32 directory
        
        PID:2364
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:2536
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:2688

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:2832
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:2560
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2732
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:2848
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2684
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:2572
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:1960
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:2980
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        Drops file in System32 directory
        
        PID:1304
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:1876
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:1736
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:2020
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        Drops file in System32 directory
        
        PID:1204
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:1644
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:800
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        
        PID:1668
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        23⤵
        
        PID:2416
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        24⤵
        
        PID:1108
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        25⤵
        Drops file in System32 directory
        
        PID:1392
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        26⤵
        
        PID:1256
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        27⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        28⤵
        
        PID:2348
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        29⤵
        
        PID:2060
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        30⤵
        
        PID:2528
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        31⤵
        
        PID:1696
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        32⤵
        
        PID:2512
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        33⤵
        
        PID:1684
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        34⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        35⤵
        
        PID:1428
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        36⤵
        
        PID:2428
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        37⤵
        
        PID:1312
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        38⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        39⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        40⤵
        
        PID:3028
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        41⤵
        
        PID:2676
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        42⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        43⤵
        
        PID:836
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        44⤵
        
        PID:1976
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        45⤵
        
        PID:1884
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        46⤵
        
        PID:1876
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        47⤵
        Drops file in System32 directory
        
        PID:2648
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        48⤵
        
        PID:1224
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        49⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        50⤵
        
        PID:1640
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        51⤵
        
        PID:768
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        52⤵
        
        PID:1028
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        53⤵
        
        PID:1632
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        54⤵
        
        PID:596
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        55⤵
        
        PID:528
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        56⤵
        
        PID:2412
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        57⤵
        
        PID:2264
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        58⤵
        
        PID:976
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        27⤵
        
        PID:2892
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        28⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        29⤵
        
        PID:2348
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        30⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        31⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        32⤵
        
        PID:1572
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        33⤵
        Drops file in System32 directory
        
        PID:3052
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        34⤵
        
        PID:1484
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        35⤵
        
        PID:2724
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        36⤵
        Drops file in System32 directory
        
        PID:2580
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        37⤵
        
        PID:2344
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        38⤵
        
        PID:1012
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        39⤵
        
        PID:632
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        40⤵
        
        PID:568
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        41⤵
        
        PID:1200
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        42⤵
        
        PID:2036
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        43⤵
        
        PID:1372
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        44⤵
        Drops file in System32 directory
        
        PID:2504
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        45⤵
        
        PID:1204
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        46⤵
        
        PID:2884
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        47⤵
        
        PID:1800
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        48⤵
        
        PID:336
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        49⤵
        
        PID:596
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        50⤵
        
        PID:680
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        51⤵
        
        PID:1824
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        52⤵
        Drops file in System32 directory
        
        PID:1108
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        53⤵
        Drops file in System32 directory
        
        PID:1464
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        54⤵
        
        PID:1600
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        55⤵
        
        PID:2448
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        56⤵
        Drops file in System32 directory
        
        PID:912
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        57⤵
        
        PID:896
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        58⤵
        
        PID:1580
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        59⤵
        
        PID:1716
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        60⤵
        
        PID:2784
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        61⤵
        Drops file in System32 directory
        
        PID:2660
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        62⤵
        
        PID:2876
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        63⤵
        
        PID:2212
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        64⤵
        
        PID:2556
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        65⤵
        
        PID:2808
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        66⤵
        
        PID:2976
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        67⤵
        
        PID:1980
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        68⤵
        
        PID:568
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        69⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        70⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        71⤵
        
        PID:1972
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        72⤵
        Drops file in System32 directory
        
        PID:1240
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        73⤵
        
        PID:2376
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        74⤵
        
        PID:1028
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        75⤵
        
        PID:2804
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        76⤵
        
        PID:844
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        77⤵
        
        PID:2192
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        78⤵
        
        PID:708
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        79⤵
        
        PID:1996
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        80⤵
        
        PID:592
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:2644
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:2480
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:708
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        
        PID:2084
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        23⤵
        
        PID:2928
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        24⤵
        
        PID:576
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        25⤵
        
        PID:2436
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        26⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        27⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        28⤵
        
        PID:1292
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        29⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        30⤵
        
        PID:1640
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        31⤵
        
        PID:2180
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        32⤵
        
        PID:2816
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        33⤵
        
        PID:2700
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        34⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        35⤵
        
        PID:2880
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        36⤵
        
        PID:108
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        37⤵
        
        PID:1644
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        38⤵
        
        PID:1280
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        39⤵
        
        PID:956
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        40⤵
        
        PID:1036
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        41⤵
        
        PID:1276
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        42⤵
        
        PID:3060
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        43⤵
        
        PID:1292
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        44⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        45⤵
        
        PID:2272
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        46⤵
        
        PID:2736

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:1336
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:1060
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2896
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:1780
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2424
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        Drops file in System32 directory
        
        PID:2180
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:2112
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:2776
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:2712
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        Drops file in System32 directory
        
        PID:2556

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:2428
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:2736
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2624
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:632
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2496
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:868
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:2508
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        Drops file in System32 directory
        
        PID:2036
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:1956
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:1876
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:1952
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:2232
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:1892
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:2656
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        Drops file in System32 directory
        
        PID:2524
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:1636
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        Drops file in System32 directory
        
        PID:2396
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:2316
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:1600
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        
        PID:1500
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        
        PID:1404
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        23⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        24⤵
        
        PID:1564
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        25⤵
        
        PID:1032
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        26⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        27⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        28⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        29⤵
        
        PID:2692
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        30⤵
        
        PID:2876
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        31⤵
        
        PID:1660
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        32⤵
        
        PID:2556
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        33⤵
        
        PID:2576
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        34⤵
        
        PID:2736
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        35⤵
        
        PID:2984
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        36⤵
        
        PID:1980
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        37⤵
        
        PID:2572
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        38⤵
        
        PID:2888
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        39⤵
        
        PID:240
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        40⤵
        
        PID:2504
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        35⤵
        
        PID:2628
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        36⤵
        
        PID:2500
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        37⤵
        
        PID:2960
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        38⤵
        
        PID:1992
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        39⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        40⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        41⤵
        
        PID:1948
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        42⤵
        
        PID:1460

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:1628
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:1948
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    - Drops file in System32 directory
    PID:2024
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:2220
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2224
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        Drops file in System32 directory
        
        PID:776
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:584
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:552
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:2920
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:956
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:112
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:1256

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:1820
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3008
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    - Drops file in System32 directory
    PID:1044
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:1572
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2788
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:2592
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:1804
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        Drops file in System32 directory
        
        PID:520
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:2736
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        Drops file in System32 directory
        
        PID:1704
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:1880
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:3000
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:1804
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:1320
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:2420
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        Drops file in System32 directory
        
        PID:2532
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:932
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        Drops file in System32 directory
        
        PID:2368
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:2444
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        Drops file in System32 directory
        
        PID:2108
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        Drops file in System32 directory
        
        PID:2904
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        23⤵
        
        PID:2080
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        24⤵
        
        PID:1792
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        25⤵
        
        PID:2036
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        26⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        27⤵
        
        PID:1348
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        28⤵
        
        PID:840
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        29⤵
        
        PID:1036
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        30⤵
        
        PID:1572
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        31⤵
        
        PID:2120
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        32⤵
        
        PID:2944
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        33⤵
        Drops file in System32 directory
        
        PID:2652
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        34⤵
        
        PID:2296

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:1612
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:2412
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:680
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:2404
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        Drops file in System32 directory
        
        PID:1700
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:2704
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:2776
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:2292
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:392
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:2876
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:3028
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:1536
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:1748
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:2636
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:2620
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:1476
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        
        PID:2004
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        
        PID:2884
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        23⤵
        Drops file in System32 directory
        
        PID:2052
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        24⤵
        
        PID:2396
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        25⤵
        
        PID:1460
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        26⤵
        
        PID:1164
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        27⤵
        
        PID:2412
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        28⤵
        
        PID:2068
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        29⤵
        Drops file in System32 directory
        
        PID:1404
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        30⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        31⤵
        
        PID:1868
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        32⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        33⤵
        
        PID:2512
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        34⤵
        
        PID:2444
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        35⤵
        
        PID:2688
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        36⤵
        
        PID:108
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        37⤵
        
        PID:1676
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        38⤵
        
        PID:1012
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        39⤵
        Drops file in System32 directory
        
        PID:1484
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        40⤵
        
        PID:2976
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        41⤵
        
        PID:2216
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        42⤵
        
        PID:2836
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        43⤵
        
        PID:1672
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        44⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        35⤵
        
        PID:2580
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        36⤵
        
        PID:2856
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        37⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        38⤵
        Drops file in System32 directory
        
        PID:1976
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        39⤵
        
        PID:1340
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        40⤵
        
        PID:2452
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        41⤵
        
        PID:568
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        42⤵
        
        PID:1280
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        43⤵
        
        PID:2524
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        44⤵
        
        PID:2436
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:3060
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:924
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:392
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:2204
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:1280
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:1244
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:540
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        
        PID:708
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        
        PID:1164
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        23⤵
        
        PID:1240
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        24⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        25⤵
        
        PID:2816
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        26⤵
        
        PID:1744
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        27⤵
        
        PID:1504
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        28⤵
        
        PID:936
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        29⤵
        
        PID:2976
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        30⤵
        
        PID:2116
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        31⤵
        
        PID:2400
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        32⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        33⤵
        
        PID:1712
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        34⤵
        
        PID:2912
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        35⤵
        
        PID:936
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        36⤵
        
        PID:2068
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        37⤵
        
        PID:1280
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        38⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        39⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        40⤵
        
        PID:2912
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        41⤵
        
        PID:2884
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        42⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        43⤵
        
        PID:2204
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        44⤵
        
        PID:924
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        45⤵
        
        PID:964
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        46⤵
        
        PID:3064
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        47⤵
        
        PID:2444
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        48⤵
        
        PID:1164
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        49⤵
        
        PID:2136
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        50⤵
        
        PID:2228
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        31⤵
        
        PID:840
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        32⤵
        
        PID:612
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        33⤵
        
        PID:2136
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        34⤵
        
        PID:1988
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        34⤵
        
        PID:1172
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        35⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        36⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        37⤵
        
        PID:3076
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        38⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        39⤵
        
        PID:3212
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        40⤵
        
        PID:3168
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        41⤵
        
        PID:3260
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        33⤵
        Drops file in System32 directory
        
        PID:2944
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        34⤵
        
        PID:924

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:2328
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:2872

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:2284
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:1164
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:976
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:1932
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2172
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:2760
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:2468
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:2728
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:2444

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:2148
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:1360
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:336
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:2404
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2528
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:2272
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:1564
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:2480
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:2556
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:2980
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:2784
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:3000

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:2276
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:2500
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    - Drops file in System32 directory
    PID:2100
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:2420

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:1776
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:776
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2872
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:1360
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2136
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:656

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:1580
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:2044
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2836
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:1804
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2764
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:3028
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:784
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:2064

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
- Drops file in System32 directory
PID:1624
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:1992
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2304
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:1240
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2220
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:2912
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:1148
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:876
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:1360
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:2760
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:656
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:2848
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        Drops file in System32 directory
        
        PID:2044
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:1804
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:696
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:1748
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:2160
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:1504
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:1976
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        
        PID:2152
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        
        PID:1028
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        23⤵
        
        PID:776
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        24⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        25⤵
        
        PID:2756
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        26⤵
        
        PID:1640
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        27⤵
        
        PID:2404
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        28⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        29⤵
        
        PID:3008
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        30⤵
        
        PID:392
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        31⤵
        
        PID:1088
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        32⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        33⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        34⤵
        
        PID:1224
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        35⤵
        
        PID:2504
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        36⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        37⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        38⤵
        
        PID:1712
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        39⤵
        
        PID:1108
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        40⤵
        
        PID:840
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        41⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        42⤵
        
        PID:1640
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        43⤵
        
        PID:2760
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        44⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        45⤵
        
        PID:2720
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        46⤵
        
        PID:392
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        47⤵
        
        PID:1740
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        48⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        49⤵
        
        PID:2452
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        50⤵
        
        PID:2596
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        51⤵
        
        PID:1476
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        52⤵
        
        PID:1060
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        53⤵
        
        PID:2484
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        54⤵
        
        PID:2500
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        55⤵
        
        PID:2136
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        56⤵
        Drops file in System32 directory
        
        PID:2672
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        57⤵
        
        PID:2828
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        58⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        59⤵
        
        PID:2856
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        60⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        61⤵
        
        PID:1748
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        62⤵
        
        PID:1504
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        63⤵
        
        PID:2396
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        64⤵
        
        PID:2400
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        65⤵
        Drops file in System32 directory
        
        PID:2596
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        66⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        67⤵
        
        PID:1060
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        68⤵
        
        PID:2120
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        69⤵
        
        PID:2500
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        70⤵
        
        PID:2488

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:2680
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:592
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2084
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:2068
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2188
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:1992
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:2780
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:2980
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:868
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:108
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:588
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:2420
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:440
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:912
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:392
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:1640
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:1880
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        
        PID:2736
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        23⤵
        
        PID:592
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        24⤵
        
        PID:612
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:1728
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:2888
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:1224
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:2944
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:840
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        
        PID:576
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        
        PID:1172
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        23⤵
        
        PID:932
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        24⤵
        
        PID:2776
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        25⤵
        
        PID:1096
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        26⤵
        
        PID:108
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        27⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        28⤵
        
        PID:1744
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        29⤵
        
        PID:540
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        30⤵
        
        PID:2116
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        Drops file in System32 directory
        
        PID:1720
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:2944
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:1880
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        Drops file in System32 directory
        
        PID:1804
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:1028
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        Drops file in System32 directory
        
        PID:2904
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:2848
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:2888
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        
        PID:2708
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        23⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        24⤵
        
        PID:2228
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        25⤵
        
        PID:1256
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        26⤵
        
        PID:2068
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        27⤵
        
        PID:2916
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        28⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:876
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:2884
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        Drops file in System32 directory
        
        PID:2312
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:1164
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:2780
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:1572
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:1012
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:2228
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:928
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:2944

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:2232
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:1548
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2140
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:1792
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        Drops file in System32 directory
        
        PID:2988
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:1380
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:2136
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:2776

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3028
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:108

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
- Drops file in System32 directory
PID:1880
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:924
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:1572
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:540

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:1988
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:2944
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2228
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:924
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2068
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:612
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2672
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        Drops file in System32 directory
        
        PID:1380
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:2776
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:440
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:612
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:1164
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:3104
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:3116
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:3164
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:3176
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:3228
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:3240
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:3288
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:3300
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:3348
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        
        PID:3364
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        
        PID:3412
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        23⤵
        
        PID:3424
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        24⤵
        
        PID:3472
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        25⤵
        
        PID:3484
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        26⤵
        
        PID:3532
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:3344
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:3400
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        
        PID:3368
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        
        PID:3236
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:4048
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:3080
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:3132
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:3192
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:3120
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:3248
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:3296
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:3380
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        19⤵
        
        PID:3288
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        20⤵
        
        PID:3440
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        21⤵
        
        PID:3408
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        22⤵
        
        PID:3520

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3544
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3596
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:3608
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:3656
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:3668
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:3716
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:3728
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:3780
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:3796
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:3844
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:3856
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:3904

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3916
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3972
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:3984
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:4032

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:4044
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:4092
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:2116
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:3124
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:3128
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:3120
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:3188
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:3248
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:3064
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:3316
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:3324
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:3348
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:3452

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3412
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3508

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3476
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3536
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:3576
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:3596
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:3644
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:3656
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:3708
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:3760
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:3776
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:3832
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:3864
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:3892
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        13⤵
        
        PID:3924
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        14⤵
        
        PID:3960
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        15⤵
        
        PID:3992
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        16⤵
        
        PID:4028
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        17⤵
        
        PID:4064
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        18⤵
        
        PID:2320

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3280
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3288

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3448
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3560

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3512
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3532
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:3624
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:3604
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:3692
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:3656
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:3720
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:3784
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:3876
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:3888
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:3896
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:3764
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:4052
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:4040

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3828
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3848

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3932
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3956

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3996
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:4024
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:4072
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:612

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3236
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3516
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:3404
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:3536
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:2156
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:3724
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:3752

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3760
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3836
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:3884
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:3892
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:4004
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:3816
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:4036
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:4088

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3084
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3156
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:3108
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:3124
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:3172
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:3284
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:3292
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:3328
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        9⤵
        
        PID:3936
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        10⤵
        
        PID:3416
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        11⤵
        
        PID:3384
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        12⤵
        
        PID:3564

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3524
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3652
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:3560
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:3648
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:3536
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:3572
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:3788
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:3656

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:4092
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3104
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:3988
  - - C:\Windows\SysWOW64\Offlce.exe
      "C:\Windows\system32\Offlce.exe"
      4⤵
      PID:3772
    - - C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        5⤵
        
        PID:4000
      - C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        6⤵
        
        PID:3252
        
        C:\Windows\SysWOW64\Offlce.exe
        
        C:\Windows\SysWOW64\Offlce.exe
        7⤵
        
        PID:3316
        
        C:\Windows\SysWOW64\Offlce.exe
        
        "C:\Windows\system32\Offlce.exe"
        8⤵
        
        PID:3268

C:\Windows\SysWOW64\Offlce.exe
C:\Windows\SysWOW64\Offlce.exe
1⤵
PID:3436
- C:\Windows\SysWOW64\Offlce.exe
  "C:\Windows\system32\Offlce.exe"
  2⤵
  PID:3428
- - C:\Windows\SysWOW64\Offlce.exe
    C:\Windows\SysWOW64\Offlce.exe
    3⤵
    PID:3480

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

\Users\Admin\AppData\Local\Temp\4c2ea414ae706e638e37fca0e8d96486.exe

Filesize
49KB

MD5
4c2ea414ae706e638e37fca0e8d96486

SHA1
b2bae96c2658212b8db8606b79bc33cdcd6b131a

SHA256
bdc1406bcb6ec6f5af8ff8506b39a18bd15035a85289b594eebd1ee701db76c5

SHA512
2b2da19eaba6fb4d387e4dcd1e65e99c7a6134f766d54a488de5bdcda76720e8e1ed83dbdb6c009733d7672621022917f79fe52e918211c4afefb767796a2a19

Download Submit
memory/276-182-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/276-185-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/476-488-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/580-215-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/848-710-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/904-543-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1056-669-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1092-514-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1100-410-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1112-676-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1300-266-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1364-244-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1424-154-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1516-532-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1540-610-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1544-566-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1568-321-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1592-94-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1604-554-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1604-559-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1652-109-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1680-299-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1732-403-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1732-398-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1764-521-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1788-277-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1812-168-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1888-255-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/1964-448-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2000-365-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2012-455-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2132-310-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2236-288-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2280-11-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2280-9-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2280-20-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2280-7-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2280-3-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2280-1-0x000000007EFDE000-0x000000007EFDF000-memory.dmp

Filesize
4KB

Download
memory/2300-654-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2332-477-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2360-599-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2408-230-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2472-466-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2492-138-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2540-387-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2600-434-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2604-79-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2616-61-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2616-63-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2616-66-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2664-124-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2668-343-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2744-632-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2748-49-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2752-200-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2768-332-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2772-621-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2800-692-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2800-687-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2812-34-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2812-32-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2812-31-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2868-699-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2900-354-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2932-503-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2992-421-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2996-377-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/2996-432-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/3012-643-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/3036-577-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download
memory/3040-588-0x0000000000400000-0x000000000044B000-memory.dmp

Filesize
300KB

Download