b3af9757748c927c87efbb68dc981fd1b6120a4da56ef4dd7b4290a17950bc49

Analysis

max time kernel
144s
max time network
99s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
10-01-2024 05:52

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2024-01-09_3a00fcda1e66c3611d46d9125f5d9196_mafia.exe
Size

486KB
MD5

3a00fcda1e66c3611d46d9125f5d9196
SHA1

4b64b35752f9cda3dd061b08e610a226608350b1
SHA256

b3af9757748c927c87efbb68dc981fd1b6120a4da56ef4dd7b4290a17950bc49
SHA512

31ead08605aff5eafc1025cb5dd94c621ef8b4d2c97e46142ff81424518e629901f76f3fdd571b031c4f0102e97ced68ab499b698a21a00bd314f074e96501c1
SSDEEP

12288:/U5rCOTeiD8bN28oJhiCLTQoFPFFYHik2O2NZ:/UQOJDy08gNLTQIFSiO2N

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 20 IoCs

pid	Process
1292	495D.tmp
240	49BB.tmp
4996	TrustedInstaller.exe
4792	4A57.tmp
4532	4AA5.tmp
684	D0DD.tmp
4824	4B41.tmp
760	4B90.tmp
3836	D438.tmp
3844	4C2C.tmp
5008	4C7A.tmp
2944	4CB8.tmp
1992	4D07.tmp
1212	173C.tmp
1540	981.tmp
3756	CB8D.tmp
556	1E22.tmp
1888	854D.tmp
2536	4EDB.tmp
3704	F915.tmp

Suspicious use of WriteProcessMemory 60 IoCs

description	pid	Process	procid_target
PID 2404 wrote to memory of 1292	2404	2024-01-09_3a00fcda1e66c3611d46d9125f5d9196_mafia.exe	89
PID 2404 wrote to memory of 1292	2404	2024-01-09_3a00fcda1e66c3611d46d9125f5d9196_mafia.exe	89
PID 2404 wrote to memory of 1292	2404	2024-01-09_3a00fcda1e66c3611d46d9125f5d9196_mafia.exe	89
PID 1292 wrote to memory of 240	1292	5D04.tmp	520
PID 1292 wrote to memory of 240	1292	5D04.tmp	520
PID 1292 wrote to memory of 240	1292	5D04.tmp	520
PID 240 wrote to memory of 4996	240	49BB.tmp	154
PID 240 wrote to memory of 4996	240	49BB.tmp	154
PID 240 wrote to memory of 4996	240	49BB.tmp	154
PID 4996 wrote to memory of 4792	4996	TrustedInstaller.exe	518
PID 4996 wrote to memory of 4792	4996	TrustedInstaller.exe	518
PID 4996 wrote to memory of 4792	4996	TrustedInstaller.exe	518
PID 4792 wrote to memory of 4532	4792	4A57.tmp	517
PID 4792 wrote to memory of 4532	4792	4A57.tmp	517
PID 4792 wrote to memory of 4532	4792	4A57.tmp	517
PID 4532 wrote to memory of 684	4532	4AA5.tmp	546
PID 4532 wrote to memory of 684	4532	4AA5.tmp	546
PID 4532 wrote to memory of 684	4532	4AA5.tmp	546
PID 684 wrote to memory of 4824	684	D0DD.tmp	515
PID 684 wrote to memory of 4824	684	D0DD.tmp	515
PID 684 wrote to memory of 4824	684	D0DD.tmp	515
PID 4824 wrote to memory of 760	4824	4B41.tmp	514
PID 4824 wrote to memory of 760	4824	4B41.tmp	514
PID 4824 wrote to memory of 760	4824	4B41.tmp	514
PID 760 wrote to memory of 3836	760	4B90.tmp	555
PID 760 wrote to memory of 3836	760	4B90.tmp	555
PID 760 wrote to memory of 3836	760	4B90.tmp	555
PID 3836 wrote to memory of 3844	3836	D438.tmp	512
PID 3836 wrote to memory of 3844	3836	D438.tmp	512
PID 3836 wrote to memory of 3844	3836	D438.tmp	512
PID 3844 wrote to memory of 5008	3844	4C2C.tmp	511
PID 3844 wrote to memory of 5008	3844	4C2C.tmp	511
PID 3844 wrote to memory of 5008	3844	4C2C.tmp	511
PID 5008 wrote to memory of 2944	5008	4C7A.tmp	93
PID 5008 wrote to memory of 2944	5008	4C7A.tmp	93
PID 5008 wrote to memory of 2944	5008	4C7A.tmp	93
PID 2944 wrote to memory of 1992	2944	4CB8.tmp	510
PID 2944 wrote to memory of 1992	2944	4CB8.tmp	510
PID 2944 wrote to memory of 1992	2944	4CB8.tmp	510
PID 1992 wrote to memory of 1212	1992	4D07.tmp	775
PID 1992 wrote to memory of 1212	1992	4D07.tmp	775
PID 1992 wrote to memory of 1212	1992	4D07.tmp	775
PID 1212 wrote to memory of 1540	1212	173C.tmp	728
PID 1212 wrote to memory of 1540	1212	173C.tmp	728
PID 1212 wrote to memory of 1540	1212	173C.tmp	728
PID 1540 wrote to memory of 3756	1540	981.tmp	526
PID 1540 wrote to memory of 3756	1540	981.tmp	526
PID 1540 wrote to memory of 3756	1540	981.tmp	526
PID 3756 wrote to memory of 556	3756	CB8D.tmp	796
PID 3756 wrote to memory of 556	3756	CB8D.tmp	796
PID 3756 wrote to memory of 556	3756	CB8D.tmp	796
PID 556 wrote to memory of 1888	556	1E22.tmp	469
PID 556 wrote to memory of 1888	556	1E22.tmp	469
PID 556 wrote to memory of 1888	556	1E22.tmp	469
PID 1888 wrote to memory of 2536	1888	854D.tmp	507
PID 1888 wrote to memory of 2536	1888	854D.tmp	507
PID 1888 wrote to memory of 2536	1888	854D.tmp	507
PID 2536 wrote to memory of 3704	2536	4EDB.tmp	669
PID 2536 wrote to memory of 3704	2536	4EDB.tmp	669
PID 2536 wrote to memory of 3704	2536	4EDB.tmp	669

C:\Users\Admin\AppData\Local\Temp\2024-01-09_3a00fcda1e66c3611d46d9125f5d9196_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-09_3a00fcda1e66c3611d46d9125f5d9196_mafia.exe"
1⤵
- Suspicious use of WriteProcessMemory
PID:2404
- C:\Users\Admin\AppData\Local\Temp\495D.tmp
  "C:\Users\Admin\AppData\Local\Temp\495D.tmp"
  2⤵
  - Executes dropped EXE
  PID:1292
- - C:\Users\Admin\AppData\Local\Temp\5D52.tmp
    "C:\Users\Admin\AppData\Local\Temp\5D52.tmp"
    3⤵
    PID:2496
  - - C:\Users\Admin\AppData\Local\Temp\5DA1.tmp
      "C:\Users\Admin\AppData\Local\Temp\5DA1.tmp"
      4⤵
      PID:4604
    - - C:\Users\Admin\AppData\Local\Temp\5DEF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DEF.tmp"
        5⤵
        
        PID:1164
      - C:\Users\Admin\AppData\Local\Temp\5E3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E3D.tmp"
        6⤵
        
        PID:552
        
        C:\Users\Admin\AppData\Local\Temp\5E8B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E8B.tmp"
        7⤵
        
        PID:3692
        
        C:\Users\Admin\AppData\Local\Temp\5ED9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5ED9.tmp"
        8⤵
        
        PID:3456
        
        C:\Users\Admin\AppData\Local\Temp\972F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\972F.tmp"
        7⤵
        
        PID:3632
        
        C:\Users\Admin\AppData\Local\Temp\977D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\977D.tmp"
        8⤵
        
        PID:3692
        
        C:\Users\Admin\AppData\Local\Temp\97CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\97CB.tmp"
        9⤵
        
        PID:4532
        
        C:\Users\Admin\AppData\Local\Temp\9819.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9819.tmp"
        10⤵
        
        PID:1104
        
        C:\Users\Admin\AppData\Local\Temp\9867.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9867.tmp"
        11⤵
        
        PID:3456
        
        C:\Users\Admin\AppData\Local\Temp\6801.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6801.tmp"
        11⤵
        
        PID:1504

C:\Users\Admin\AppData\Local\Temp\4A09.tmp
"C:\Users\Admin\AppData\Local\Temp\4A09.tmp"
1⤵
PID:4996

C:\Users\Admin\AppData\Local\Temp\4CB8.tmp
"C:\Users\Admin\AppData\Local\Temp\4CB8.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2944
- C:\Users\Admin\AppData\Local\Temp\4D07.tmp
  "C:\Users\Admin\AppData\Local\Temp\4D07.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:1992

C:\Users\Admin\AppData\Local\Temp\4DA3.tmp
"C:\Users\Admin\AppData\Local\Temp\4DA3.tmp"
1⤵
PID:1540
- C:\Users\Admin\AppData\Local\Temp\4DF1.tmp
  "C:\Users\Admin\AppData\Local\Temp\4DF1.tmp"
  2⤵
  PID:3756

C:\Users\Admin\AppData\Local\Temp\4E8D.tmp
"C:\Users\Admin\AppData\Local\Temp\4E8D.tmp"
1⤵
PID:1888

C:\Users\Admin\AppData\Local\Temp\513D.tmp
"C:\Users\Admin\AppData\Local\Temp\513D.tmp"
1⤵
PID:1740

C:\Users\Admin\AppData\Local\Temp\50DF.tmp
"C:\Users\Admin\AppData\Local\Temp\50DF.tmp"
1⤵
PID:4484

C:\Users\Admin\AppData\Local\Temp\5091.tmp
"C:\Users\Admin\AppData\Local\Temp\5091.tmp"
1⤵
PID:1664

C:\Users\Admin\AppData\Local\Temp\53CD.tmp
"C:\Users\Admin\AppData\Local\Temp\53CD.tmp"
1⤵
PID:3668
- C:\Users\Admin\AppData\Local\Temp\6716.tmp
  "C:\Users\Admin\AppData\Local\Temp\6716.tmp"
  2⤵
  PID:4604
- - C:\Users\Admin\AppData\Local\Temp\6765.tmp
    "C:\Users\Admin\AppData\Local\Temp\6765.tmp"
    3⤵
    PID:4004
  - - C:\Users\Admin\AppData\Local\Temp\67B3.tmp
      "C:\Users\Admin\AppData\Local\Temp\67B3.tmp"
      4⤵
      PID:1104

C:\Users\Admin\AppData\Local\Temp\54B7.tmp
"C:\Users\Admin\AppData\Local\Temp\54B7.tmp"
1⤵
PID:3008
- C:\Users\Admin\AppData\Local\Temp\5505.tmp
  "C:\Users\Admin\AppData\Local\Temp\5505.tmp"
  2⤵
  PID:1244
- - C:\Users\Admin\AppData\Local\Temp\5554.tmp
    "C:\Users\Admin\AppData\Local\Temp\5554.tmp"
    3⤵
    PID:4712
  - - C:\Users\Admin\AppData\Local\Temp\7157.tmp
      "C:\Users\Admin\AppData\Local\Temp\7157.tmp"
      4⤵
      PID:4532
    - - C:\Users\Admin\AppData\Local\Temp\71A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71A6.tmp"
        5⤵
        
        PID:1104
      - C:\Users\Admin\AppData\Local\Temp\7203.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7203.tmp"
        6⤵
        
        PID:1504
        
        C:\Users\Admin\AppData\Local\Temp\7251.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7251.tmp"
        7⤵
        
        PID:684
        
        C:\Users\Admin\AppData\Local\Temp\7B0C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B0C.tmp"
        7⤵
        
        PID:4548
        
        C:\Users\Admin\AppData\Local\Temp\7B5A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B5A.tmp"
        8⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\7BA8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BA8.tmp"
        9⤵
        
        PID:1376
        
        C:\Users\Admin\AppData\Local\Temp\7BF6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BF6.tmp"
        10⤵
        
        PID:3584
        
        C:\Users\Admin\AppData\Local\Temp\850E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\850E.tmp"
        11⤵
        
        PID:3308
        
        C:\Users\Admin\AppData\Local\Temp\854D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\854D.tmp"
        12⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1888
        
        C:\Users\Admin\AppData\Local\Temp\4EDB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4EDB.tmp"
        13⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2536
        
        C:\Users\Admin\AppData\Local\Temp\BEBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BEBC.tmp"
        11⤵
        
        PID:4428
        
        C:\Users\Admin\AppData\Local\Temp\BF0A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF0A.tmp"
        12⤵
        
        PID:1524
        
        C:\Users\Admin\AppData\Local\Temp\BF49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF49.tmp"
        13⤵
        
        PID:2424
        
        C:\Users\Admin\AppData\Local\Temp\BE20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE20.tmp"
        10⤵
        
        PID:4544
        
        C:\Users\Admin\AppData\Local\Temp\BE6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE6E.tmp"
        11⤵
        
        PID:3584

C:\Users\Admin\AppData\Local\Temp\55F0.tmp
"C:\Users\Admin\AppData\Local\Temp\55F0.tmp"
1⤵
PID:3956
- C:\Users\Admin\AppData\Local\Temp\563E.tmp
  "C:\Users\Admin\AppData\Local\Temp\563E.tmp"
  2⤵
  PID:4064
- - C:\Users\Admin\AppData\Local\Temp\568C.tmp
    "C:\Users\Admin\AppData\Local\Temp\568C.tmp"
    3⤵
    PID:4728

C:\Users\Admin\AppData\Local\Temp\5728.tmp
"C:\Users\Admin\AppData\Local\Temp\5728.tmp"
1⤵
PID:5008
- C:\Users\Admin\AppData\Local\Temp\5776.tmp
  "C:\Users\Admin\AppData\Local\Temp\5776.tmp"
  2⤵
  PID:3664
- - C:\Users\Admin\AppData\Local\Temp\57C5.tmp
    "C:\Users\Admin\AppData\Local\Temp\57C5.tmp"
    3⤵
    PID:1856
  - - C:\Users\Admin\AppData\Local\Temp\5813.tmp
      "C:\Users\Admin\AppData\Local\Temp\5813.tmp"
      4⤵
      PID:1844
    - - C:\Users\Admin\AppData\Local\Temp\5861.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5861.tmp"
        5⤵
        
        PID:3052
  - - C:\Users\Admin\AppData\Local\Temp\6198.tmp
      "C:\Users\Admin\AppData\Local\Temp\6198.tmp"
      4⤵
      PID:3552
    - - C:\Users\Admin\AppData\Local\Temp\61E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\61E6.tmp"
        5⤵
        
        PID:3052
      - C:\Users\Admin\AppData\Local\Temp\7426.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7426.tmp"
        6⤵
        
        PID:1524
        
        C:\Users\Admin\AppData\Local\Temp\7474.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7474.tmp"
        7⤵
        
        PID:404
        
        C:\Users\Admin\AppData\Local\Temp\9078.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9078.tmp"
        7⤵
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\90C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\90C6.tmp"
        8⤵
        
        PID:2716
        
        C:\Users\Admin\AppData\Local\Temp\9114.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9114.tmp"
        9⤵
        
        PID:5056
        
        C:\Users\Admin\AppData\Local\Temp\9163.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9163.tmp"
        10⤵
        
        PID:3244
- C:\Users\Admin\AppData\Local\Temp\610C.tmp
  "C:\Users\Admin\AppData\Local\Temp\610C.tmp"
  2⤵
  PID:3664
- - C:\Users\Admin\AppData\Local\Temp\614A.tmp
    "C:\Users\Admin\AppData\Local\Temp\614A.tmp"
    3⤵
    PID:1856

C:\Users\Admin\AppData\Local\Temp\58AF.tmp
"C:\Users\Admin\AppData\Local\Temp\58AF.tmp"
1⤵
PID:1524
- C:\Users\Admin\AppData\Local\Temp\58FD.tmp
  "C:\Users\Admin\AppData\Local\Temp\58FD.tmp"
  2⤵
  PID:3756
- - C:\Users\Admin\AppData\Local\Temp\594B.tmp
    "C:\Users\Admin\AppData\Local\Temp\594B.tmp"
    3⤵
    PID:556
  - - C:\Users\Admin\AppData\Local\Temp\5999.tmp
      "C:\Users\Admin\AppData\Local\Temp\5999.tmp"
      4⤵
      PID:2512
- - C:\Users\Admin\AppData\Local\Temp\B788.tmp
    "C:\Users\Admin\AppData\Local\Temp\B788.tmp"
    3⤵
    PID:3168
  - - C:\Users\Admin\AppData\Local\Temp\B7D6.tmp
      "C:\Users\Admin\AppData\Local\Temp\B7D6.tmp"
      4⤵
      PID:2488
    - - C:\Users\Admin\AppData\Local\Temp\B824.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B824.tmp"
        5⤵
        
        PID:2884
- - C:\Users\Admin\AppData\Local\Temp\C062.tmp
    "C:\Users\Admin\AppData\Local\Temp\C062.tmp"
    3⤵
    PID:3840
  - - C:\Users\Admin\AppData\Local\Temp\C0B0.tmp
      "C:\Users\Admin\AppData\Local\Temp\C0B0.tmp"
      4⤵
      PID:2848
    - - C:\Users\Admin\AppData\Local\Temp\C0EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0EE.tmp"
        5⤵
        
        PID:4976
  - - C:\Users\Admin\AppData\Local\Temp\E290.tmp
      "C:\Users\Admin\AppData\Local\Temp\E290.tmp"
      4⤵
      PID:1080
    - - C:\Users\Admin\AppData\Local\Temp\E2DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E2DE.tmp"
        5⤵
        
        PID:1532
      - C:\Users\Admin\AppData\Local\Temp\E32C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E32C.tmp"
        6⤵
        
        PID:3816
        
        C:\Users\Admin\AppData\Local\Temp\7FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FA.tmp"
        7⤵
        
        PID:1952
        
        C:\Users\Admin\AppData\Local\Temp\848.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\848.tmp"
        8⤵
        
        PID:4748
        
        C:\Users\Admin\AppData\Local\Temp\896.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\896.tmp"
        9⤵
        
        PID:2404
    - - C:\Users\Admin\AppData\Local\Temp\FA4E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA4E.tmp"
        5⤵
        
        PID:4420
      - C:\Users\Admin\AppData\Local\Temp\FA9C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA9C.tmp"
        6⤵
        
        PID:332
        
        C:\Users\Admin\AppData\Local\Temp\FAEA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FAEA.tmp"
        7⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\FB38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB38.tmp"
        8⤵
        
        PID:4472
        
        C:\Users\Admin\AppData\Local\Temp\FB86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB86.tmp"
        9⤵
        
        PID:4312
        
        C:\Users\Admin\AppData\Local\Temp\64DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\64DF.tmp"
        10⤵
        
        PID:2864
        
        C:\Users\Admin\AppData\Local\Temp\652D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\652D.tmp"
        11⤵
        
        PID:4072
- C:\Users\Admin\AppData\Local\Temp\62D1.tmp
  "C:\Users\Admin\AppData\Local\Temp\62D1.tmp"
  2⤵
  PID:4428
- - C:\Users\Admin\AppData\Local\Temp\631F.tmp
    "C:\Users\Admin\AppData\Local\Temp\631F.tmp"
    3⤵
    PID:3884
  - - C:\Users\Admin\AppData\Local\Temp\636D.tmp
      "C:\Users\Admin\AppData\Local\Temp\636D.tmp"
      4⤵
      PID:3216
    - - C:\Users\Admin\AppData\Local\Temp\63BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\63BB.tmp"
        5⤵
        
        PID:3220
      - C:\Users\Admin\AppData\Local\Temp\6409.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6409.tmp"
        6⤵
        
        PID:2616
      - C:\Users\Admin\AppData\Local\Temp\6D60.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D60.tmp"
        6⤵
        
        PID:2616
        
        C:\Users\Admin\AppData\Local\Temp\6DAE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DAE.tmp"
        7⤵
        
        PID:1348
        
        C:\Users\Admin\AppData\Local\Temp\6DFC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DFC.tmp"
        8⤵
        
        PID:2252
        
        C:\Users\Admin\AppData\Local\Temp\6E4A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E4A.tmp"
        9⤵
        
        PID:644
        
        C:\Users\Admin\AppData\Local\Temp\6E98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E98.tmp"
        10⤵
        
        PID:1532
        
        C:\Users\Admin\AppData\Local\Temp\77A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77A1.tmp"
        11⤵
        
        PID:3556
        
        C:\Users\Admin\AppData\Local\Temp\77EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77EF.tmp"
        12⤵
        
        PID:2348
        
        C:\Users\Admin\AppData\Local\Temp\783D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\783D.tmp"
        13⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\9645.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9645.tmp"
        14⤵
        
        PID:1292
        
        C:\Users\Admin\AppData\Local\Temp\9693.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9693.tmp"
        15⤵
        
        PID:4004
        
        C:\Users\Admin\AppData\Local\Temp\96E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\96E1.tmp"
        16⤵
        
        PID:552
        
        C:\Users\Admin\AppData\Local\Temp\6F7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F7E.tmp"
        17⤵
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\6FCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6FCC.tmp"
        18⤵
        
        PID:888
        
        C:\Users\Admin\AppData\Local\Temp\701A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\701A.tmp"
        19⤵
        
        PID:1104
        
        C:\Users\Admin\AppData\Local\Temp\7068.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7068.tmp"
        20⤵
        
        PID:1284
        
        C:\Users\Admin\AppData\Local\Temp\846D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\846D.tmp"
        19⤵
        
        PID:1504
        
        C:\Users\Admin\AppData\Local\Temp\84BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\84BB.tmp"
        20⤵
        
        PID:3400
        
        C:\Users\Admin\AppData\Local\Temp\AF3B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF3B.tmp"
        15⤵
        
        PID:1244
        
        C:\Users\Admin\AppData\Local\Temp\AF89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF89.tmp"
        16⤵
        
        PID:552
        
        C:\Users\Admin\AppData\Local\Temp\AFD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AFD7.tmp"
        17⤵
        
        PID:1560
        
        C:\Users\Admin\AppData\Local\Temp\5331.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5331.tmp"
        18⤵
        
        PID:4376
        
        C:\Users\Admin\AppData\Local\Temp\DF83.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF83.tmp"
        7⤵
        
        PID:3392
        
        C:\Users\Admin\AppData\Local\Temp\DFD1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DFD1.tmp"
        8⤵
        
        PID:3244
        
        C:\Users\Admin\AppData\Local\Temp\E01F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E01F.tmp"
        9⤵
        
        PID:1304
        
        C:\Users\Admin\AppData\Local\Temp\4958.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4958.tmp"
        9⤵
        
        PID:2908
        
        C:\Users\Admin\AppData\Local\Temp\49A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49A6.tmp"
        10⤵
        
        PID:2032
  - - C:\Users\Admin\AppData\Local\Temp\1170.tmp
      "C:\Users\Admin\AppData\Local\Temp\1170.tmp"
      4⤵
      PID:3264
    - - C:\Users\Admin\AppData\Local\Temp\11BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\11BE.tmp"
        5⤵
        
        PID:4808
      - C:\Users\Admin\AppData\Local\Temp\121C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\121C.tmp"
        6⤵
        
        PID:2744
        
        C:\Users\Admin\AppData\Local\Temp\126A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\126A.tmp"
        7⤵
        
        PID:4060
        
        C:\Users\Admin\AppData\Local\Temp\12B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12B8.tmp"
        8⤵
        
        PID:3840
        
        C:\Users\Admin\AppData\Local\Temp\4FC1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FC1.tmp"
        9⤵
        
        PID:956
        
        C:\Users\Admin\AppData\Local\Temp\500F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\500F.tmp"
        10⤵
        
        PID:1504
        
        C:\Users\Admin\AppData\Local\Temp\505D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\505D.tmp"
        11⤵
        
        PID:3456
        
        C:\Users\Admin\AppData\Local\Temp\50AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50AB.tmp"
        12⤵
        
        PID:3528
        
        C:\Users\Admin\AppData\Local\Temp\50F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50F9.tmp"
        13⤵
        
        PID:3692
        
        C:\Users\Admin\AppData\Local\Temp\5148.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5148.tmp"
        14⤵
        
        PID:2484
        
        C:\Users\Admin\AppData\Local\Temp\71EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71EF.tmp"
        15⤵
        
        PID:4080
        
        C:\Users\Admin\AppData\Local\Temp\723D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\723D.tmp"
        16⤵
        
        PID:576
        
        C:\Users\Admin\AppData\Local\Temp\728B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\728B.tmp"
        17⤵
        
        PID:732
        
        C:\Users\Admin\AppData\Local\Temp\8642.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8642.tmp"
        16⤵
        
        PID:2280
        
        C:\Users\Admin\AppData\Local\Temp\7C6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C6E.tmp"
        14⤵
        
        PID:568
        
        C:\Users\Admin\AppData\Local\Temp\7CBD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CBD.tmp"
        15⤵
        
        PID:1100
        
        C:\Users\Admin\AppData\Local\Temp\7D0B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D0B.tmp"
        16⤵
        
        PID:3596
        
        C:\Users\Admin\AppData\Local\Temp\9100.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9100.tmp"
        13⤵
        
        PID:2280
        
        C:\Users\Admin\AppData\Local\Temp\914E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\914E.tmp"
        14⤵
        
        PID:376
        
        C:\Users\Admin\AppData\Local\Temp\919C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\919C.tmp"
        15⤵
        
        PID:644
        
        C:\Users\Admin\AppData\Local\Temp\776D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\776D.tmp"
        7⤵
        
        PID:556

C:\Users\Admin\AppData\Local\Temp\5A36.tmp
"C:\Users\Admin\AppData\Local\Temp\5A36.tmp"
1⤵
PID:3244
- C:\Users\Admin\AppData\Local\Temp\5A84.tmp
  "C:\Users\Admin\AppData\Local\Temp\5A84.tmp"
  2⤵
  PID:4472
- - C:\Users\Admin\AppData\Local\Temp\5AD2.tmp
    "C:\Users\Admin\AppData\Local\Temp\5AD2.tmp"
    3⤵
    PID:3704
  - - C:\Users\Admin\AppData\Local\Temp\4F97.tmp
      "C:\Users\Admin\AppData\Local\Temp\4F97.tmp"
      4⤵
      PID:3088
- C:\Users\Admin\AppData\Local\Temp\91B1.tmp
  "C:\Users\Admin\AppData\Local\Temp\91B1.tmp"
  2⤵
  PID:3048
- - C:\Users\Admin\AppData\Local\Temp\91FF.tmp
    "C:\Users\Admin\AppData\Local\Temp\91FF.tmp"
    3⤵
    PID:4488
  - - C:\Users\Admin\AppData\Local\Temp\924D.tmp
      "C:\Users\Admin\AppData\Local\Temp\924D.tmp"
      4⤵
      PID:2632

C:\Users\Admin\AppData\Local\Temp\5B6E.tmp
"C:\Users\Admin\AppData\Local\Temp\5B6E.tmp"
1⤵
PID:1432
- C:\Users\Admin\AppData\Local\Temp\5BBC.tmp
  "C:\Users\Admin\AppData\Local\Temp\5BBC.tmp"
  2⤵
  PID:4976
- - C:\Users\Admin\AppData\Local\Temp\5C0A.tmp
    "C:\Users\Admin\AppData\Local\Temp\5C0A.tmp"
    3⤵
    PID:3384
  - - C:\Users\Admin\AppData\Local\Temp\5C68.tmp
      "C:\Users\Admin\AppData\Local\Temp\5C68.tmp"
      4⤵
      PID:3304
    - - C:\Users\Admin\AppData\Local\Temp\5CB6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5CB6.tmp"
        5⤵
        
        PID:2404
      - C:\Users\Admin\AppData\Local\Temp\5D04.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D04.tmp"
        6⤵
        Suspicious use of WriteProcessMemory
        
        PID:1292
        
        C:\Users\Admin\AppData\Local\Temp\49BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49BB.tmp"
        7⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:240
        
        C:\Users\Admin\AppData\Local\Temp\E60A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E60A.tmp"
        7⤵
        
        PID:4628
        
        C:\Users\Admin\AppData\Local\Temp\E659.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E659.tmp"
        8⤵
        
        PID:4540
        
        C:\Users\Admin\AppData\Local\Temp\E6A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E6A7.tmp"
        9⤵
        
        PID:3456
        
        C:\Users\Admin\AppData\Local\Temp\E6F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E6F5.tmp"
        10⤵
        
        PID:3528
        
        C:\Users\Admin\AppData\Local\Temp\E743.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E743.tmp"
        11⤵
        
        PID:5004
        
        C:\Users\Admin\AppData\Local\Temp\E791.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E791.tmp"
        12⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\E7DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7DF.tmp"
        13⤵
        
        PID:1844
        
        C:\Users\Admin\AppData\Local\Temp\F368.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F368.tmp"
        11⤵
        
        PID:760
        
        C:\Users\Admin\AppData\Local\Temp\F3B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3B6.tmp"
        12⤵
        
        PID:1920
        
        C:\Users\Admin\AppData\Local\Temp\F405.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F405.tmp"
        13⤵
        
        PID:1100
        
        C:\Users\Admin\AppData\Local\Temp\45CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\45CE.tmp"
        12⤵
        
        PID:1148
        
        C:\Users\Admin\AppData\Local\Temp\461C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\461C.tmp"
        13⤵
        
        PID:376
        
        C:\Users\Admin\AppData\Local\Temp\5222.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5222.tmp"
        14⤵
        
        PID:1684
        
        C:\Users\Admin\AppData\Local\Temp\5270.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5270.tmp"
        15⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\52BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52BF.tmp"
        16⤵
        
        PID:1856
        
        C:\Users\Admin\AppData\Local\Temp\530D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\530D.tmp"
        17⤵
        
        PID:3768
        
        C:\Users\Admin\AppData\Local\Temp\F27E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F27E.tmp"
        8⤵
        
        PID:2920
        
        C:\Users\Admin\AppData\Local\Temp\F2CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2CC.tmp"
        9⤵
        
        PID:3456
        
        C:\Users\Admin\AppData\Local\Temp\F31A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F31A.tmp"
        10⤵
        
        PID:3528
        
        C:\Users\Admin\AppData\Local\Temp\BF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF2.tmp"
        10⤵
        
        PID:5004
        
        C:\Users\Admin\AppData\Local\Temp\C40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C40.tmp"
        11⤵
        
        PID:1844
        
        C:\Users\Admin\AppData\Local\Temp\C8E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8E.tmp"
        12⤵
        
        PID:1684
        
        C:\Users\Admin\AppData\Local\Temp\CDC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDC.tmp"
        13⤵
        
        PID:3644
        
        C:\Users\Admin\AppData\Local\Temp\FEE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEE2.tmp"
        9⤵
        
        PID:2052
        
        C:\Users\Admin\AppData\Local\Temp\FF30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF30.tmp"
        10⤵
        
        PID:3528
        
        C:\Users\Admin\AppData\Local\Temp\FF7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF7E.tmp"
        11⤵
        
        PID:1148
        
        C:\Users\Admin\AppData\Local\Temp\3A83.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A83.tmp"
        11⤵
        
        PID:4532
        
        C:\Users\Admin\AppData\Local\Temp\3AD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3AD2.tmp"
        12⤵
        
        PID:2052
        
        C:\Users\Admin\AppData\Local\Temp\3B20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B20.tmp"
        13⤵
        
        PID:1684
        
        C:\Users\Admin\AppData\Local\Temp\1827.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1827.tmp"
        10⤵
        
        PID:2900
        
        C:\Users\Admin\AppData\Local\Temp\1875.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1875.tmp"
        11⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\18C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\18C3.tmp"
        12⤵
        
        PID:4792
        
        C:\Users\Admin\AppData\Local\Temp\5E57.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E57.tmp"
        13⤵
        
        PID:1964
        
        C:\Users\Admin\AppData\Local\Temp\5EA5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5EA5.tmp"
        14⤵
        
        PID:2572
        
        C:\Users\Admin\AppData\Local\Temp\3BBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3BBC.tmp"
        12⤵
        
        PID:2388
        
        C:\Users\Admin\AppData\Local\Temp\3C0A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C0A.tmp"
        13⤵
        
        PID:3048
        
        C:\Users\Admin\AppData\Local\Temp\3C58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C58.tmp"
        14⤵
        
        PID:672
        
        C:\Users\Admin\AppData\Local\Temp\821C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\821C.tmp"
        13⤵
        
        PID:3552
- - C:\Users\Admin\AppData\Local\Temp\8993.tmp
    "C:\Users\Admin\AppData\Local\Temp\8993.tmp"
    3⤵
    PID:5000
  - - C:\Users\Admin\AppData\Local\Temp\89E1.tmp
      "C:\Users\Admin\AppData\Local\Temp\89E1.tmp"
      4⤵
      PID:2864
    - - C:\Users\Admin\AppData\Local\Temp\8A2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A2F.tmp"
        5⤵
        
        PID:3304
      - C:\Users\Admin\AppData\Local\Temp\8A7D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A7D.tmp"
        6⤵
        
        PID:2736
      - C:\Users\Admin\AppData\Local\Temp\C2E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C2E2.tmp"
        6⤵
        
        PID:1996
        
        C:\Users\Admin\AppData\Local\Temp\C331.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C331.tmp"
        7⤵
        
        PID:1592
- - C:\Users\Admin\AppData\Local\Temp\C13D.tmp
    "C:\Users\Admin\AppData\Local\Temp\C13D.tmp"
    3⤵
    PID:3564
  - - C:\Users\Admin\AppData\Local\Temp\C18B.tmp
      "C:\Users\Admin\AppData\Local\Temp\C18B.tmp"
      4⤵
      PID:4496

C:\Users\Admin\AppData\Local\Temp\5F27.tmp
"C:\Users\Admin\AppData\Local\Temp\5F27.tmp"
1⤵
PID:3976
- C:\Users\Admin\AppData\Local\Temp\5F85.tmp
  "C:\Users\Admin\AppData\Local\Temp\5F85.tmp"
  2⤵
  PID:4548
- - C:\Users\Admin\AppData\Local\Temp\5FD3.tmp
    "C:\Users\Admin\AppData\Local\Temp\5FD3.tmp"
    3⤵
    PID:3572
  - - C:\Users\Admin\AppData\Local\Temp\6021.tmp
      "C:\Users\Admin\AppData\Local\Temp\6021.tmp"
      4⤵
      PID:4728
    - - C:\Users\Admin\AppData\Local\Temp\606F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\606F.tmp"
        5⤵
        
        PID:3412
      - C:\Users\Admin\AppData\Local\Temp\60BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\60BD.tmp"
        6⤵
        
        PID:5008

C:\Users\Admin\AppData\Local\Temp\6448.tmp
"C:\Users\Admin\AppData\Local\Temp\6448.tmp"
1⤵
PID:3608
- C:\Users\Admin\AppData\Local\Temp\6496.tmp
  "C:\Users\Admin\AppData\Local\Temp\6496.tmp"
  2⤵
  PID:3716
- - C:\Users\Admin\AppData\Local\Temp\64F4.tmp
    "C:\Users\Admin\AppData\Local\Temp\64F4.tmp"
    3⤵
    PID:2488
  - - C:\Users\Admin\AppData\Local\Temp\6542.tmp
      "C:\Users\Admin\AppData\Local\Temp\6542.tmp"
      4⤵
      PID:4056
    - - C:\Users\Admin\AppData\Local\Temp\6590.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6590.tmp"
        5⤵
        
        PID:1740
      - C:\Users\Admin\AppData\Local\Temp\65DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\65DE.tmp"
        6⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\662C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\662C.tmp"
        7⤵
        
        PID:2864
        
        C:\Users\Admin\AppData\Local\Temp\C1C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C1C9.tmp"
        7⤵
        
        PID:224
        
        C:\Users\Admin\AppData\Local\Temp\C208.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C208.tmp"
        8⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\950C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\950C.tmp"
        8⤵
        
        PID:5052
      - C:\Users\Admin\AppData\Local\Temp\52D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52D3.tmp"
        6⤵
        
        PID:1560

C:\Users\Admin\AppData\Local\Temp\667A.tmp
"C:\Users\Admin\AppData\Local\Temp\667A.tmp"
1⤵
PID:1420
- C:\Users\Admin\AppData\Local\Temp\66C8.tmp
  "C:\Users\Admin\AppData\Local\Temp\66C8.tmp"
  2⤵
  PID:3668

C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\servicing\TrustedInstaller.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4996
- C:\Users\Admin\AppData\Local\Temp\4A57.tmp
  "C:\Users\Admin\AppData\Local\Temp\4A57.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:4792
- - C:\Users\Admin\AppData\Local\Temp\1911.tmp
    "C:\Users\Admin\AppData\Local\Temp\1911.tmp"
    3⤵
    PID:4712
  - - C:\Users\Admin\AppData\Local\Temp\195F.tmp
      "C:\Users\Admin\AppData\Local\Temp\195F.tmp"
      4⤵
      PID:3552
    - - C:\Users\Admin\AppData\Local\Temp\19AD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\19AD.tmp"
        5⤵
        
        PID:4428
      - C:\Users\Admin\AppData\Local\Temp\19FB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\19FB.tmp"
        6⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\1A49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A49.tmp"
        7⤵
        
        PID:2716

C:\Users\Admin\AppData\Local\Temp\684F.tmp
"C:\Users\Admin\AppData\Local\Temp\684F.tmp"
1⤵
PID:684
- C:\Users\Admin\AppData\Local\Temp\689D.tmp
  "C:\Users\Admin\AppData\Local\Temp\689D.tmp"
  2⤵
  PID:2920
- - C:\Users\Admin\AppData\Local\Temp\68EB.tmp
    "C:\Users\Admin\AppData\Local\Temp\68EB.tmp"
    3⤵
    PID:2428

C:\Users\Admin\AppData\Local\Temp\6939.tmp
"C:\Users\Admin\AppData\Local\Temp\6939.tmp"
1⤵
PID:3864
- C:\Users\Admin\AppData\Local\Temp\6987.tmp
  "C:\Users\Admin\AppData\Local\Temp\6987.tmp"
  2⤵
  PID:4904
- - C:\Users\Admin\AppData\Local\Temp\69D6.tmp
    "C:\Users\Admin\AppData\Local\Temp\69D6.tmp"
    3⤵
    PID:4752
  - - C:\Users\Admin\AppData\Local\Temp\6A24.tmp
      "C:\Users\Admin\AppData\Local\Temp\6A24.tmp"
      4⤵
      PID:2344

C:\Users\Admin\AppData\Local\Temp\6A72.tmp
"C:\Users\Admin\AppData\Local\Temp\6A72.tmp"
1⤵
PID:3620
- C:\Users\Admin\AppData\Local\Temp\6AC0.tmp
  "C:\Users\Admin\AppData\Local\Temp\6AC0.tmp"
  2⤵
  PID:1212
- - C:\Users\Admin\AppData\Local\Temp\6B0E.tmp
    "C:\Users\Admin\AppData\Local\Temp\6B0E.tmp"
    3⤵
    PID:4032
  - - C:\Users\Admin\AppData\Local\Temp\EB89.tmp
      "C:\Users\Admin\AppData\Local\Temp\EB89.tmp"
      4⤵
      PID:4668
    - - C:\Users\Admin\AppData\Local\Temp\EBD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EBD7.tmp"
        5⤵
        
        PID:3500
      - C:\Users\Admin\AppData\Local\Temp\EC25.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC25.tmp"
        6⤵
        
        PID:2036
        
        C:\Users\Admin\AppData\Local\Temp\EC73.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC73.tmp"
        7⤵
        
        PID:3596

C:\Users\Admin\AppData\Local\Temp\6B5C.tmp
"C:\Users\Admin\AppData\Local\Temp\6B5C.tmp"
1⤵
PID:2444
- C:\Users\Admin\AppData\Local\Temp\6BAA.tmp
  "C:\Users\Admin\AppData\Local\Temp\6BAA.tmp"
  2⤵
  PID:4564
- - C:\Users\Admin\AppData\Local\Temp\6BF8.tmp
    "C:\Users\Admin\AppData\Local\Temp\6BF8.tmp"
    3⤵
    PID:4624
  - - C:\Users\Admin\AppData\Local\Temp\6C47.tmp
      "C:\Users\Admin\AppData\Local\Temp\6C47.tmp"
      4⤵
      PID:2100
  - - C:\Users\Admin\AppData\Local\Temp\EDAC.tmp
      "C:\Users\Admin\AppData\Local\Temp\EDAC.tmp"
      4⤵
      PID:556
    - - C:\Users\Admin\AppData\Local\Temp\EDFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDFA.tmp"
        5⤵
        
        PID:2772
      - C:\Users\Admin\AppData\Local\Temp\EE38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE38.tmp"
        6⤵
        
        PID:3760
        
        C:\Users\Admin\AppData\Local\Temp\3582.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3582.tmp"
        7⤵
        
        PID:2512
        
        C:\Users\Admin\AppData\Local\Temp\35C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\35C1.tmp"
        8⤵
        
        PID:3564
        
        C:\Users\Admin\AppData\Local\Temp\360F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\360F.tmp"
        9⤵
        
        PID:332
  - - C:\Users\Admin\AppData\Local\Temp\625.tmp
      "C:\Users\Admin\AppData\Local\Temp\625.tmp"
      4⤵
      PID:656
    - - C:\Users\Admin\AppData\Local\Temp\673.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\673.tmp"
        5⤵
        
        PID:904
      - C:\Users\Admin\AppData\Local\Temp\6C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C1.tmp"
        6⤵
        
        PID:2948
        
        C:\Users\Admin\AppData\Local\Temp\710.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\710.tmp"
        7⤵
        
        PID:3924
        
        C:\Users\Admin\AppData\Local\Temp\75E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75E.tmp"
        8⤵
        
        PID:1532
        
        C:\Users\Admin\AppData\Local\Temp\7AC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AC.tmp"
        9⤵
        
        PID:3816
        
        C:\Users\Admin\AppData\Local\Temp\369B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\369B.tmp"
        10⤵
        
        PID:2848
        
        C:\Users\Admin\AppData\Local\Temp\36EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36EA.tmp"
        11⤵
        
        PID:4472
        
        C:\Users\Admin\AppData\Local\Temp\3738.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3738.tmp"
        12⤵
        
        PID:1896
        
        C:\Users\Admin\AppData\Local\Temp\59B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59B4.tmp"
        13⤵
        
        PID:4940
        
        C:\Users\Admin\AppData\Local\Temp\5A02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A02.tmp"
        14⤵
        
        PID:1432
        
        C:\Users\Admin\AppData\Local\Temp\65BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\65BA.tmp"
        15⤵
        
        PID:1104
        
        C:\Users\Admin\AppData\Local\Temp\79BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79BF.tmp"
        14⤵
        
        PID:1540
        
        C:\Users\Admin\AppData\Local\Temp\7A0D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A0D.tmp"
        15⤵
        
        PID:2092

C:\Users\Admin\AppData\Local\Temp\6CE3.tmp
"C:\Users\Admin\AppData\Local\Temp\6CE3.tmp"
1⤵
PID:3216
- C:\Users\Admin\AppData\Local\Temp\6D21.tmp
  "C:\Users\Admin\AppData\Local\Temp\6D21.tmp"
  2⤵
  PID:3220

C:\Users\Admin\AppData\Local\Temp\6EE6.tmp
"C:\Users\Admin\AppData\Local\Temp\6EE6.tmp"
1⤵
PID:3556
- C:\Users\Admin\AppData\Local\Temp\6F35.tmp
  "C:\Users\Admin\AppData\Local\Temp\6F35.tmp"
  2⤵
  PID:2348
- - C:\Users\Admin\AppData\Local\Temp\6F83.tmp
    "C:\Users\Admin\AppData\Local\Temp\6F83.tmp"
    3⤵
    PID:3384
  - - C:\Users\Admin\AppData\Local\Temp\6FD1.tmp
      "C:\Users\Admin\AppData\Local\Temp\6FD1.tmp"
      4⤵
      PID:332
    - - C:\Users\Admin\AppData\Local\Temp\701F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\701F.tmp"
        5⤵
        
        PID:4040
      - C:\Users\Admin\AppData\Local\Temp\706D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\706D.tmp"
        6⤵
        
        PID:3008
        
        C:\Users\Admin\AppData\Local\Temp\70BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\70BB.tmp"
        7⤵
        
        PID:1244
        
        C:\Users\Admin\AppData\Local\Temp\79D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79D3.tmp"
        8⤵
        
        PID:4712
        
        C:\Users\Admin\AppData\Local\Temp\7A21.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A21.tmp"
        9⤵
        
        PID:4532
        
        C:\Users\Admin\AppData\Local\Temp\7A70.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A70.tmp"
        10⤵
        
        PID:1104
        
        C:\Users\Admin\AppData\Local\Temp\7ABE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7ABE.tmp"
        11⤵
        
        PID:1504

C:\Users\Admin\AppData\Local\Temp\72EE.tmp
"C:\Users\Admin\AppData\Local\Temp\72EE.tmp"
1⤵
PID:2344
- C:\Users\Admin\AppData\Local\Temp\733C.tmp
  "C:\Users\Admin\AppData\Local\Temp\733C.tmp"
  2⤵
  PID:568
- - C:\Users\Admin\AppData\Local\Temp\738A.tmp
    "C:\Users\Admin\AppData\Local\Temp\738A.tmp"
    3⤵
    PID:3552
  - - C:\Users\Admin\AppData\Local\Temp\73D8.tmp
      "C:\Users\Admin\AppData\Local\Temp\73D8.tmp"
      4⤵
      PID:3052
    - - C:\Users\Admin\AppData\Local\Temp\6283.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6283.tmp"
        5⤵
        
        PID:1524
- C:\Users\Admin\AppData\Local\Temp\99A0.tmp
  "C:\Users\Admin\AppData\Local\Temp\99A0.tmp"
  2⤵
  PID:940
- - C:\Users\Admin\AppData\Local\Temp\99EE.tmp
    "C:\Users\Admin\AppData\Local\Temp\99EE.tmp"
    3⤵
    PID:4744
  - - C:\Users\Admin\AppData\Local\Temp\9A3C.tmp
      "C:\Users\Admin\AppData\Local\Temp\9A3C.tmp"
      4⤵
      PID:208
    - - C:\Users\Admin\AppData\Local\Temp\9A9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9A9A.tmp"
        5⤵
        
        PID:3664

C:\Users\Admin\AppData\Local\Temp\7501.tmp
"C:\Users\Admin\AppData\Local\Temp\7501.tmp"
1⤵
PID:4448
- C:\Users\Admin\AppData\Local\Temp\B565.tmp
  "C:\Users\Admin\AppData\Local\Temp\B565.tmp"
  2⤵
  PID:2076
- - C:\Users\Admin\AppData\Local\Temp\B5B3.tmp
    "C:\Users\Admin\AppData\Local\Temp\B5B3.tmp"
    3⤵
    PID:5016

C:\Users\Admin\AppData\Local\Temp\758E.tmp
"C:\Users\Admin\AppData\Local\Temp\758E.tmp"
1⤵
PID:4452
- C:\Users\Admin\AppData\Local\Temp\75CC.tmp
  "C:\Users\Admin\AppData\Local\Temp\75CC.tmp"
  2⤵
  PID:3220
- C:\Users\Admin\AppData\Local\Temp\7EB5.tmp
  "C:\Users\Admin\AppData\Local\Temp\7EB5.tmp"
  2⤵
  PID:3220
- - C:\Users\Admin\AppData\Local\Temp\7EF4.tmp
    "C:\Users\Admin\AppData\Local\Temp\7EF4.tmp"
    3⤵
    PID:4424

C:\Users\Admin\AppData\Local\Temp\7668.tmp
"C:\Users\Admin\AppData\Local\Temp\7668.tmp"
1⤵
PID:1348
- C:\Users\Admin\AppData\Local\Temp\76B6.tmp
  "C:\Users\Admin\AppData\Local\Temp\76B6.tmp"
  2⤵
  PID:2252
- - C:\Users\Admin\AppData\Local\Temp\7705.tmp
    "C:\Users\Admin\AppData\Local\Temp\7705.tmp"
    3⤵
    PID:1432
  - - C:\Users\Admin\AppData\Local\Temp\7753.tmp
      "C:\Users\Admin\AppData\Local\Temp\7753.tmp"
      4⤵
      PID:1532
- C:\Users\Admin\AppData\Local\Temp\7F90.tmp
  "C:\Users\Admin\AppData\Local\Temp\7F90.tmp"
  2⤵
  PID:2252
- - C:\Users\Admin\AppData\Local\Temp\7FDE.tmp
    "C:\Users\Admin\AppData\Local\Temp\7FDE.tmp"
    3⤵
    PID:1432
  - - C:\Users\Admin\AppData\Local\Temp\802C.tmp
      "C:\Users\Admin\AppData\Local\Temp\802C.tmp"
      4⤵
      PID:240
    - - C:\Users\Admin\AppData\Local\Temp\807A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\807A.tmp"
        5⤵
        
        PID:3556
      - C:\Users\Admin\AppData\Local\Temp\80C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\80C9.tmp"
        6⤵
        
        PID:332
        
        C:\Users\Admin\AppData\Local\Temp\8117.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8117.tmp"
        7⤵
        
        PID:1952

C:\Users\Admin\AppData\Local\Temp\788B.tmp
"C:\Users\Admin\AppData\Local\Temp\788B.tmp"
1⤵
PID:1072
- C:\Users\Admin\AppData\Local\Temp\78E9.tmp
  "C:\Users\Admin\AppData\Local\Temp\78E9.tmp"
  2⤵
  PID:4040
- - C:\Users\Admin\AppData\Local\Temp\7937.tmp
    "C:\Users\Admin\AppData\Local\Temp\7937.tmp"
    3⤵
    PID:3008
  - - C:\Users\Admin\AppData\Local\Temp\7985.tmp
      "C:\Users\Admin\AppData\Local\Temp\7985.tmp"
      4⤵
      PID:1244
    - - C:\Users\Admin\AppData\Local\Temp\7109.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7109.tmp"
        5⤵
        
        PID:4712
      - C:\Users\Admin\AppData\Local\Temp\55A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55A2.tmp"
        6⤵
        
        PID:3952

C:\Users\Admin\AppData\Local\Temp\7C92.tmp
"C:\Users\Admin\AppData\Local\Temp\7C92.tmp"
1⤵
PID:1888
- C:\Users\Admin\AppData\Local\Temp\7CE1.tmp
  "C:\Users\Admin\AppData\Local\Temp\7CE1.tmp"
  2⤵
  PID:556
- - C:\Users\Admin\AppData\Local\Temp\7D2F.tmp
    "C:\Users\Admin\AppData\Local\Temp\7D2F.tmp"
    3⤵
    PID:404
- C:\Users\Admin\AppData\Local\Temp\859B.tmp
  "C:\Users\Admin\AppData\Local\Temp\859B.tmp"
  2⤵
  PID:2772
- - C:\Users\Admin\AppData\Local\Temp\85E9.tmp
    "C:\Users\Admin\AppData\Local\Temp\85E9.tmp"
    3⤵
    PID:404
  - - C:\Users\Admin\AppData\Local\Temp\8637.tmp
      "C:\Users\Admin\AppData\Local\Temp\8637.tmp"
      4⤵
      PID:4648
    - - C:\Users\Admin\AppData\Local\Temp\8685.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8685.tmp"
        5⤵
        
        PID:3216
      - C:\Users\Admin\AppData\Local\Temp\86D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\86D3.tmp"
        6⤵
        
        PID:4036
        
        C:\Users\Admin\AppData\Local\Temp\8722.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8722.tmp"
        7⤵
        
        PID:3684
        
        C:\Users\Admin\AppData\Local\Temp\7E67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E67.tmp"
        7⤵
        
        PID:4452
  - - C:\Users\Admin\AppData\Local\Temp\7D7D.tmp
      "C:\Users\Admin\AppData\Local\Temp\7D7D.tmp"
      4⤵
      PID:4648
  - - C:\Users\Admin\AppData\Local\Temp\74B3.tmp
      "C:\Users\Admin\AppData\Local\Temp\74B3.tmp"
      4⤵
      PID:4648
    - - C:\Users\Admin\AppData\Local\Temp\54D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54D2.tmp"
        5⤵
        
        PID:2032
      - C:\Users\Admin\AppData\Local\Temp\5520.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5520.tmp"
        6⤵
        
        PID:4808
        
        C:\Users\Admin\AppData\Local\Temp\556E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\556E.tmp"
        7⤵
        
        PID:4812
        
        C:\Users\Admin\AppData\Local\Temp\55BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55BC.tmp"
        8⤵
        
        PID:1524
        
        C:\Users\Admin\AppData\Local\Temp\80A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\80A5.tmp"
        9⤵
        
        PID:896
        
        C:\Users\Admin\AppData\Local\Temp\6C23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C23.tmp"
        8⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\6C71.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C71.tmp"
        9⤵
        
        PID:2432
- - C:\Users\Admin\AppData\Local\Temp\9CFB.tmp
    "C:\Users\Admin\AppData\Local\Temp\9CFB.tmp"
    3⤵
    PID:1304
  - - C:\Users\Admin\AppData\Local\Temp\9D49.tmp
      "C:\Users\Admin\AppData\Local\Temp\9D49.tmp"
      4⤵
      PID:3688
    - - C:\Users\Admin\AppData\Local\Temp\9D98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D98.tmp"
        5⤵
        
        PID:2536
      - C:\Users\Admin\AppData\Local\Temp\9DE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DE6.tmp"
        6⤵
        
        PID:4452
        
        C:\Users\Admin\AppData\Local\Temp\9E34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E34.tmp"
        7⤵
        
        PID:1680
        
        C:\Users\Admin\AppData\Local\Temp\9E82.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E82.tmp"
        8⤵
        
        PID:4372
        
        C:\Users\Admin\AppData\Local\Temp\9ED0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9ED0.tmp"
        9⤵
        
        PID:5012
        
        C:\Users\Admin\AppData\Local\Temp\22E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\22E.tmp"
        8⤵
        
        PID:3956
        
        C:\Users\Admin\AppData\Local\Temp\27C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27C.tmp"
        9⤵
        
        PID:4588
        
        C:\Users\Admin\AppData\Local\Temp\2CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2CA.tmp"
        10⤵
        
        PID:968
      - C:\Users\Admin\AppData\Local\Temp\4F39.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F39.tmp"
        6⤵
        
        PID:3704
  - - C:\Users\Admin\AppData\Local\Temp\A9BD.tmp
      "C:\Users\Admin\AppData\Local\Temp\A9BD.tmp"
      4⤵
      PID:3688
    - - C:\Users\Admin\AppData\Local\Temp\AA0B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA0B.tmp"
        5⤵
        
        PID:2456
      - C:\Users\Admin\AppData\Local\Temp\AA59.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA59.tmp"
        6⤵
        
        PID:3844
        
        C:\Users\Admin\AppData\Local\Temp\AAA7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AAA7.tmp"
        7⤵
        
        PID:2932
        
        C:\Users\Admin\AppData\Local\Temp\AAF5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AAF5.tmp"
        8⤵
        
        PID:3596
        
        C:\Users\Admin\AppData\Local\Temp\AB44.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB44.tmp"
        9⤵
        
        PID:2032
        
        C:\Users\Admin\AppData\Local\Temp\4C7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C7A.tmp"
        7⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:5008

C:\Users\Admin\AppData\Local\Temp\7DCB.tmp
"C:\Users\Admin\AppData\Local\Temp\7DCB.tmp"
1⤵
PID:3216
- C:\Users\Admin\AppData\Local\Temp\7E19.tmp
  "C:\Users\Admin\AppData\Local\Temp\7E19.tmp"
  2⤵
  PID:4036

C:\Users\Admin\AppData\Local\Temp\8165.tmp
"C:\Users\Admin\AppData\Local\Temp\8165.tmp"
1⤵
PID:3084
- C:\Users\Admin\AppData\Local\Temp\81B3.tmp
  "C:\Users\Admin\AppData\Local\Temp\81B3.tmp"
  2⤵
  PID:4040
- - C:\Users\Admin\AppData\Local\Temp\8201.tmp
    "C:\Users\Admin\AppData\Local\Temp\8201.tmp"
    3⤵
    PID:1208
- - C:\Users\Admin\AppData\Local\Temp\8BB5.tmp
    "C:\Users\Admin\AppData\Local\Temp\8BB5.tmp"
    3⤵
    PID:1208
  - - C:\Users\Admin\AppData\Local\Temp\8C04.tmp
      "C:\Users\Admin\AppData\Local\Temp\8C04.tmp"
      4⤵
      PID:2284
  - - C:\Users\Admin\AppData\Local\Temp\C6DA.tmp
      "C:\Users\Admin\AppData\Local\Temp\C6DA.tmp"
      4⤵
      PID:2452
    - - C:\Users\Admin\AppData\Local\Temp\C728.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C728.tmp"
        5⤵
        
        PID:3768
      - C:\Users\Admin\AppData\Local\Temp\C776.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C776.tmp"
        6⤵
        
        PID:4820
        
        C:\Users\Admin\AppData\Local\Temp\C7C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C7C4.tmp"
        7⤵
        
        PID:3956
        
        C:\Users\Admin\AppData\Local\Temp\C803.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C803.tmp"
        8⤵
        
        PID:1404
        
        C:\Users\Admin\AppData\Local\Temp\D3EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D3EA.tmp"
        9⤵
        
        PID:4776
        
        C:\Users\Admin\AppData\Local\Temp\D438.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D438.tmp"
        10⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3836
        
        C:\Users\Admin\AppData\Local\Temp\D486.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D486.tmp"
        11⤵
        
        PID:2424
        
        C:\Users\Admin\AppData\Local\Temp\D4D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D4D4.tmp"
        12⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\56A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56A7.tmp"
        11⤵
        
        PID:1620
        
        C:\Users\Admin\AppData\Local\Temp\56F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56F5.tmp"
        12⤵
        
        PID:2948
        
        C:\Users\Admin\AppData\Local\Temp\B517.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B517.tmp"
        7⤵
        
        PID:4448
        
        C:\Users\Admin\AppData\Local\Temp\753F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\753F.tmp"
        8⤵
        
        PID:4036
      - C:\Users\Admin\AppData\Local\Temp\D2FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2FF.tmp"
        6⤵
        
        PID:4820
        
        C:\Users\Admin\AppData\Local\Temp\D34E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D34E.tmp"
        7⤵
        
        PID:3956
        
        C:\Users\Admin\AppData\Local\Temp\D39C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D39C.tmp"
        8⤵
        
        PID:1404
        
        C:\Users\Admin\AppData\Local\Temp\3CF4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CF4.tmp"
        9⤵
        
        PID:2000

C:\Users\Admin\AppData\Local\Temp\829D.tmp
"C:\Users\Admin\AppData\Local\Temp\829D.tmp"
1⤵
PID:4460
- C:\Users\Admin\AppData\Local\Temp\82EB.tmp
  "C:\Users\Admin\AppData\Local\Temp\82EB.tmp"
  2⤵
  PID:3456
- - C:\Users\Admin\AppData\Local\Temp\833A.tmp
    "C:\Users\Admin\AppData\Local\Temp\833A.tmp"
    3⤵
    PID:684
- - C:\Users\Admin\AppData\Local\Temp\98B6.tmp
    "C:\Users\Admin\AppData\Local\Temp\98B6.tmp"
    3⤵
    PID:684
  - - C:\Users\Admin\AppData\Local\Temp\9904.tmp
      "C:\Users\Admin\AppData\Local\Temp\9904.tmp"
      4⤵
      PID:3012
    - - C:\Users\Admin\AppData\Local\Temp\9952.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9952.tmp"
        5⤵
        
        PID:2344
  - - C:\Users\Admin\AppData\Local\Temp\8388.tmp
      "C:\Users\Admin\AppData\Local\Temp\8388.tmp"
      4⤵
      PID:1528
  - - C:\Users\Admin\AppData\Local\Temp\72A0.tmp
      "C:\Users\Admin\AppData\Local\Temp\72A0.tmp"
      4⤵
      PID:1788
  - - C:\Users\Admin\AppData\Local\Temp\4B41.tmp
      "C:\Users\Admin\AppData\Local\Temp\4B41.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:4824
    - - C:\Users\Admin\AppData\Local\Temp\DAA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DAA1.tmp"
        5⤵
        
        PID:4900
      - C:\Users\Admin\AppData\Local\Temp\DAEF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DAEF.tmp"
        6⤵
        
        PID:1560
        
        C:\Users\Admin\AppData\Local\Temp\DB3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB3D.tmp"
        7⤵
        
        PID:1652
- C:\Users\Admin\AppData\Local\Temp\8C90.tmp
  "C:\Users\Admin\AppData\Local\Temp\8C90.tmp"
  2⤵
  PID:868
- - C:\Users\Admin\AppData\Local\Temp\8CDE.tmp
    "C:\Users\Admin\AppData\Local\Temp\8CDE.tmp"
    3⤵
    PID:2920

C:\Users\Admin\AppData\Local\Temp\83D6.tmp
"C:\Users\Admin\AppData\Local\Temp\83D6.tmp"
1⤵
PID:4548
- C:\Users\Admin\AppData\Local\Temp\8424.tmp
  "C:\Users\Admin\AppData\Local\Temp\8424.tmp"
  2⤵
  PID:3664
- - C:\Users\Admin\AppData\Local\Temp\8472.tmp
    "C:\Users\Admin\AppData\Local\Temp\8472.tmp"
    3⤵
    PID:3300
  - - C:\Users\Admin\AppData\Local\Temp\84C0.tmp
      "C:\Users\Admin\AppData\Local\Temp\84C0.tmp"
      4⤵
      PID:3584
    - - C:\Users\Admin\AppData\Local\Temp\7C44.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C44.tmp"
        5⤵
        
        PID:3308

C:\Users\Admin\AppData\Local\Temp\8770.tmp
"C:\Users\Admin\AppData\Local\Temp\8770.tmp"
1⤵
PID:2932
- C:\Users\Admin\AppData\Local\Temp\87BE.tmp
  "C:\Users\Admin\AppData\Local\Temp\87BE.tmp"
  2⤵
  PID:3596
- - C:\Users\Admin\AppData\Local\Temp\880C.tmp
    "C:\Users\Admin\AppData\Local\Temp\880C.tmp"
    3⤵
    PID:4568
  - - C:\Users\Admin\AppData\Local\Temp\885A.tmp
      "C:\Users\Admin\AppData\Local\Temp\885A.tmp"
      4⤵
      PID:3704
    - - C:\Users\Admin\AppData\Local\Temp\88A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88A8.tmp"
        5⤵
        
        PID:1080
      - C:\Users\Admin\AppData\Local\Temp\88F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88F6.tmp"
        6⤵
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\A0E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A0E3.tmp"
        7⤵
        
        PID:240
        
        C:\Users\Admin\AppData\Local\Temp\A131.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A131.tmp"
        8⤵
        
        PID:4940
    - - C:\Users\Admin\AppData\Local\Temp\5B20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B20.tmp"
        5⤵
        
        PID:2572

C:\Users\Admin\AppData\Local\Temp\8ACB.tmp
"C:\Users\Admin\AppData\Local\Temp\8ACB.tmp"
1⤵
PID:1996
- C:\Users\Admin\AppData\Local\Temp\8B19.tmp
  "C:\Users\Admin\AppData\Local\Temp\8B19.tmp"
  2⤵
  PID:3148
- - C:\Users\Admin\AppData\Local\Temp\8B67.tmp
    "C:\Users\Admin\AppData\Local\Temp\8B67.tmp"
    3⤵
    PID:4040

C:\Users\Admin\AppData\Local\Temp\8DB9.tmp
"C:\Users\Admin\AppData\Local\Temp\8DB9.tmp"
1⤵
PID:5104
- C:\Users\Admin\AppData\Local\Temp\8E07.tmp
  "C:\Users\Admin\AppData\Local\Temp\8E07.tmp"
  2⤵
  PID:576
- - C:\Users\Admin\AppData\Local\Temp\8E55.tmp
    "C:\Users\Admin\AppData\Local\Temp\8E55.tmp"
    3⤵
    PID:992
  - - C:\Users\Admin\AppData\Local\Temp\8EA3.tmp
      "C:\Users\Admin\AppData\Local\Temp\8EA3.tmp"
      4⤵
      PID:1696
    - - C:\Users\Admin\AppData\Local\Temp\8EF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8EF2.tmp"
        5⤵
        
        PID:3768
  - - C:\Users\Admin\AppData\Local\Temp\B2E5.tmp
      "C:\Users\Admin\AppData\Local\Temp\B2E5.tmp"
      4⤵
      PID:4536
    - - C:\Users\Admin\AppData\Local\Temp\B333.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B333.tmp"
        5⤵
        
        PID:2992
      - C:\Users\Admin\AppData\Local\Temp\B381.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B381.tmp"
        6⤵
        
        PID:3664
        
        C:\Users\Admin\AppData\Local\Temp\B3CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B3CF.tmp"
        7⤵
        
        PID:2444
        
        C:\Users\Admin\AppData\Local\Temp\B41D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B41D.tmp"
        8⤵
        
        PID:672
        
        C:\Users\Admin\AppData\Local\Temp\B46B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B46B.tmp"
        9⤵
        
        PID:556
        
        C:\Users\Admin\AppData\Local\Temp\B4C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B4C9.tmp"
        10⤵
        
        PID:4820
        
        C:\Users\Admin\AppData\Local\Temp\754A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\754A.tmp"
        8⤵
        
        PID:4648
        
        C:\Users\Admin\AppData\Local\Temp\7598.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7598.tmp"
        9⤵
        
        PID:2932
        
        C:\Users\Admin\AppData\Local\Temp\75E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75E7.tmp"
        10⤵
        
        PID:4812
        
        C:\Users\Admin\AppData\Local\Temp\A74C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A74C.tmp"
        7⤵
        
        PID:1800
        
        C:\Users\Admin\AppData\Local\Temp\9AE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9AE8.tmp"
        7⤵
        
        PID:1800
        
        C:\Users\Admin\AppData\Local\Temp\CB8D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB8D.tmp"
        8⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3756
        
        C:\Users\Admin\AppData\Local\Temp\CBDB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBDB.tmp"
        9⤵
        
        PID:3816
        
        C:\Users\Admin\AppData\Local\Temp\CC29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC29.tmp"
        10⤵
        
        PID:2948
        
        C:\Users\Admin\AppData\Local\Temp\E37A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E37A.tmp"
        10⤵
        
        PID:5092
        
        C:\Users\Admin\AppData\Local\Temp\E3D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E3D8.tmp"
        11⤵
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\E436.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E436.tmp"
        12⤵
        
        PID:1472
        
        C:\Users\Admin\AppData\Local\Temp\E484.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E484.tmp"
        13⤵
        
        PID:2864
        
        C:\Users\Admin\AppData\Local\Temp\1519.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1519.tmp"
        13⤵
        
        PID:4004
        
        C:\Users\Admin\AppData\Local\Temp\1567.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1567.tmp"
        14⤵
        
        PID:1772
        
        C:\Users\Admin\AppData\Local\Temp\15B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15B6.tmp"
        15⤵
        
        PID:1996
        
        C:\Users\Admin\AppData\Local\Temp\1604.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1604.tmp"
        16⤵
        
        PID:2092
        
        C:\Users\Admin\AppData\Local\Temp\148D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\148D.tmp"
        12⤵
        
        PID:4940
        
        C:\Users\Admin\AppData\Local\Temp\14DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\14DB.tmp"
        13⤵
        
        PID:1472
        
        C:\Users\Admin\AppData\Local\Temp\20F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\20F1.tmp"
        13⤵
        
        PID:1472
        
        C:\Users\Admin\AppData\Local\Temp\213F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\213F.tmp"
        14⤵
        
        PID:4956
        
        C:\Users\Admin\AppData\Local\Temp\218D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\218D.tmp"
        15⤵
        
        PID:1432

C:\Users\Admin\AppData\Local\Temp\8F40.tmp
"C:\Users\Admin\AppData\Local\Temp\8F40.tmp"
1⤵
PID:2708
- C:\Users\Admin\AppData\Local\Temp\8F8E.tmp
  "C:\Users\Admin\AppData\Local\Temp\8F8E.tmp"
  2⤵
  PID:1572
- - C:\Users\Admin\AppData\Local\Temp\8FDC.tmp
    "C:\Users\Admin\AppData\Local\Temp\8FDC.tmp"
    3⤵
    PID:2512
  - - C:\Users\Admin\AppData\Local\Temp\902A.tmp
      "C:\Users\Admin\AppData\Local\Temp\902A.tmp"
      4⤵
      PID:1524
  - - C:\Users\Admin\AppData\Local\Temp\59E7.tmp
      "C:\Users\Admin\AppData\Local\Temp\59E7.tmp"
      4⤵
      PID:2076
  - - C:\Users\Admin\AppData\Local\Temp\CAF1.tmp
      "C:\Users\Admin\AppData\Local\Temp\CAF1.tmp"
      4⤵
      PID:3760
    - - C:\Users\Admin\AppData\Local\Temp\CB3F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB3F.tmp"
        5⤵
        
        PID:1800
- - C:\Users\Admin\AppData\Local\Temp\6E45.tmp
    "C:\Users\Admin\AppData\Local\Temp\6E45.tmp"
    3⤵
    PID:4356
  - - C:\Users\Admin\AppData\Local\Temp\6E94.tmp
      "C:\Users\Admin\AppData\Local\Temp\6E94.tmp"
      4⤵
      PID:5052
    - - C:\Users\Admin\AppData\Local\Temp\6EE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6EE2.tmp"
        5⤵
        
        PID:4312
      - C:\Users\Admin\AppData\Local\Temp\6F30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F30.tmp"
        6⤵
        
        PID:552
- C:\Users\Admin\AppData\Local\Temp\9BC3.tmp
  "C:\Users\Admin\AppData\Local\Temp\9BC3.tmp"
  2⤵
  PID:672
- - C:\Users\Admin\AppData\Local\Temp\9C11.tmp
    "C:\Users\Admin\AppData\Local\Temp\9C11.tmp"
    3⤵
    PID:2692
  - - C:\Users\Admin\AppData\Local\Temp\9C5F.tmp
      "C:\Users\Admin\AppData\Local\Temp\9C5F.tmp"
      4⤵
      PID:2100

C:\Users\Admin\AppData\Local\Temp\929B.tmp
"C:\Users\Admin\AppData\Local\Temp\929B.tmp"
1⤵
PID:4776
- C:\Users\Admin\AppData\Local\Temp\92E9.tmp
  "C:\Users\Admin\AppData\Local\Temp\92E9.tmp"
  2⤵
  PID:3500
- - C:\Users\Admin\AppData\Local\Temp\9337.tmp
    "C:\Users\Admin\AppData\Local\Temp\9337.tmp"
    3⤵
    PID:3608
  - - C:\Users\Admin\AppData\Local\Temp\9385.tmp
      "C:\Users\Admin\AppData\Local\Temp\9385.tmp"
      4⤵
      PID:4424
    - - C:\Users\Admin\AppData\Local\Temp\93D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\93D4.tmp"
        5⤵
        
        PID:1916
      - C:\Users\Admin\AppData\Local\Temp\407F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\407F.tmp"
        6⤵
        
        PID:556
        
        C:\Users\Admin\AppData\Local\Temp\40CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\40CD.tmp"
        7⤵
        
        PID:3608
        
        C:\Users\Admin\AppData\Local\Temp\411B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\411B.tmp"
        8⤵
        
        PID:2512
        
        C:\Users\Admin\AppData\Local\Temp\4169.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4169.tmp"
        9⤵
        
        PID:1532
        
        C:\Users\Admin\AppData\Local\Temp\41B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\41B7.tmp"
        10⤵
        
        PID:3052
        
        C:\Users\Admin\AppData\Local\Temp\4205.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4205.tmp"
        11⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\4D9E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D9E.tmp"
        11⤵
        
        PID:3304
        
        C:\Users\Admin\AppData\Local\Temp\4DEC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4DEC.tmp"
        12⤵
        
        PID:2348
        
        C:\Users\Admin\AppData\Local\Temp\4E3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E3A.tmp"
        13⤵
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\9016.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9016.tmp"
        9⤵
        
        PID:332
        
        C:\Users\Admin\AppData\Local\Temp\9064.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9064.tmp"
        10⤵
        
        PID:1964
        
        C:\Users\Admin\AppData\Local\Temp\90B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\90B2.tmp"
        11⤵
        
        PID:3528
    - - C:\Users\Admin\AppData\Local\Temp\7F42.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F42.tmp"
        5⤵
        
        PID:1348
      - C:\Users\Admin\AppData\Local\Temp\2788.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2788.tmp"
        6⤵
        
        PID:3216
        
        C:\Users\Admin\AppData\Local\Temp\27D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27D6.tmp"
        7⤵
        
        PID:3500
        
        C:\Users\Admin\AppData\Local\Temp\2824.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2824.tmp"
        8⤵
        
        PID:2032
        
        C:\Users\Admin\AppData\Local\Temp\2872.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2872.tmp"
        9⤵
        
        PID:4424
        
        C:\Users\Admin\AppData\Local\Temp\28C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28C1.tmp"
        10⤵
        
        PID:256
        
        C:\Users\Admin\AppData\Local\Temp\7460.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7460.tmp"
        8⤵
        
        PID:2520
        
        C:\Users\Admin\AppData\Local\Temp\74AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\74AE.tmp"
        9⤵
        
        PID:4624
        
        C:\Users\Admin\AppData\Local\Temp\5F42.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F42.tmp"
        7⤵
        
        PID:4216
        
        C:\Users\Admin\AppData\Local\Temp\5F90.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F90.tmp"
        8⤵
        
        PID:2332
        
        C:\Users\Admin\AppData\Local\Temp\5FDE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FDE.tmp"
        9⤵
        
        PID:2520
        
        C:\Users\Admin\AppData\Local\Temp\7E82.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E82.tmp"
        9⤵
        
        PID:1844
        
        C:\Users\Admin\AppData\Local\Temp\7ED0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7ED0.tmp"
        10⤵
        
        PID:1512
        
        C:\Users\Admin\AppData\Local\Temp\8875.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8875.tmp"
        9⤵
        
        PID:1844
        
        C:\Users\Admin\AppData\Local\Temp\88C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88C3.tmp"
        10⤵
        
        PID:1512

C:\Users\Admin\AppData\Local\Temp\9422.tmp
"C:\Users\Admin\AppData\Local\Temp\9422.tmp"
1⤵
PID:4056
- C:\Users\Admin\AppData\Local\Temp\9470.tmp
  "C:\Users\Admin\AppData\Local\Temp\9470.tmp"
  2⤵
  PID:888
- - C:\Users\Admin\AppData\Local\Temp\94BE.tmp
    "C:\Users\Admin\AppData\Local\Temp\94BE.tmp"
    3⤵
    PID:224

C:\Users\Admin\AppData\Local\Temp\955A.tmp
"C:\Users\Admin\AppData\Local\Temp\955A.tmp"
1⤵
PID:2348
- C:\Users\Admin\AppData\Local\Temp\95A8.tmp
  "C:\Users\Admin\AppData\Local\Temp\95A8.tmp"
  2⤵
  PID:376
- - C:\Users\Admin\AppData\Local\Temp\95F6.tmp
    "C:\Users\Admin\AppData\Local\Temp\95F6.tmp"
    3⤵
    PID:4356

C:\Users\Admin\AppData\Local\Temp\9B36.tmp
"C:\Users\Admin\AppData\Local\Temp\9B36.tmp"
1⤵
PID:4152
- C:\Users\Admin\AppData\Local\Temp\9B75.tmp
  "C:\Users\Admin\AppData\Local\Temp\9B75.tmp"
  2⤵
  PID:2708

C:\Users\Admin\AppData\Local\Temp\9F1E.tmp
"C:\Users\Admin\AppData\Local\Temp\9F1E.tmp"
1⤵
PID:3220
- C:\Users\Admin\AppData\Local\Temp\9F6C.tmp
  "C:\Users\Admin\AppData\Local\Temp\9F6C.tmp"
  2⤵
  PID:4568
- - C:\Users\Admin\AppData\Local\Temp\9FBA.tmp
    "C:\Users\Admin\AppData\Local\Temp\9FBA.tmp"
    3⤵
    PID:656
- C:\Users\Admin\AppData\Local\Temp\761A.tmp
  "C:\Users\Admin\AppData\Local\Temp\761A.tmp"
  2⤵
  PID:5012

C:\Users\Admin\AppData\Local\Temp\A009.tmp
"C:\Users\Admin\AppData\Local\Temp\A009.tmp"
1⤵
PID:3840
- C:\Users\Admin\AppData\Local\Temp\A057.tmp
  "C:\Users\Admin\AppData\Local\Temp\A057.tmp"
  2⤵
  PID:2252
- - C:\Users\Admin\AppData\Local\Temp\A0A5.tmp
    "C:\Users\Admin\AppData\Local\Temp\A0A5.tmp"
    3⤵
    PID:4768
  - - C:\Users\Admin\AppData\Local\Temp\8944.tmp
      "C:\Users\Admin\AppData\Local\Temp\8944.tmp"
      4⤵
      PID:4976
- - C:\Users\Admin\AppData\Local\Temp\9546.tmp
    "C:\Users\Admin\AppData\Local\Temp\9546.tmp"
    3⤵
    PID:2432
  - - C:\Users\Admin\AppData\Local\Temp\9594.tmp
      "C:\Users\Admin\AppData\Local\Temp\9594.tmp"
      4⤵
      PID:3232
    - - C:\Users\Admin\AppData\Local\Temp\95E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\95E2.tmp"
        5⤵
        
        PID:3532

C:\Users\Admin\AppData\Local\Temp\A180.tmp
"C:\Users\Admin\AppData\Local\Temp\A180.tmp"
1⤵
PID:1392
- C:\Users\Admin\AppData\Local\Temp\A1CE.tmp
  "C:\Users\Admin\AppData\Local\Temp\A1CE.tmp"
  2⤵
  PID:4964
- - C:\Users\Admin\AppData\Local\Temp\A21C.tmp
    "C:\Users\Admin\AppData\Local\Temp\A21C.tmp"
    3⤵
    PID:3668
  - - C:\Users\Admin\AppData\Local\Temp\A26A.tmp
      "C:\Users\Admin\AppData\Local\Temp\A26A.tmp"
      4⤵
      PID:756
    - - C:\Users\Admin\AppData\Local\Temp\A2B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A2B8.tmp"
        5⤵
        
        PID:1592
      - C:\Users\Admin\AppData\Local\Temp\A306.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A306.tmp"
        6⤵
        
        PID:4628
      - C:\Users\Admin\AppData\Local\Temp\C37F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C37F.tmp"
        6⤵
        
        PID:756
        
        C:\Users\Admin\AppData\Local\Temp\C3CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C3CD.tmp"
        7⤵
        
        PID:3972
        
        C:\Users\Admin\AppData\Local\Temp\C41B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C41B.tmp"
        8⤵
        
        PID:1652
    - - C:\Users\Admin\AppData\Local\Temp\BB22.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB22.tmp"
        5⤵
        
        PID:3972
      - C:\Users\Admin\AppData\Local\Temp\BB70.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB70.tmp"
        6⤵
        
        PID:2284
        
        C:\Users\Admin\AppData\Local\Temp\BBBE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBBE.tmp"
        7⤵
        
        PID:4064
        
        C:\Users\Admin\AppData\Local\Temp\8C52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C52.tmp"
        7⤵
        
        PID:4460

C:\Users\Admin\AppData\Local\Temp\A354.tmp
"C:\Users\Admin\AppData\Local\Temp\A354.tmp"
1⤵
PID:3856
- C:\Users\Admin\AppData\Local\Temp\A3A2.tmp
  "C:\Users\Admin\AppData\Local\Temp\A3A2.tmp"
  2⤵
  PID:3952
- - C:\Users\Admin\AppData\Local\Temp\A3F1.tmp
    "C:\Users\Admin\AppData\Local\Temp\A3F1.tmp"
    3⤵
    PID:1504
  - - C:\Users\Admin\AppData\Local\Temp\A43F.tmp
      "C:\Users\Admin\AppData\Local\Temp\A43F.tmp"
      4⤵
      PID:4540

C:\Users\Admin\AppData\Local\Temp\A48D.tmp
"C:\Users\Admin\AppData\Local\Temp\A48D.tmp"
1⤵
PID:2920
- C:\Users\Admin\AppData\Local\Temp\A4DB.tmp
  "C:\Users\Admin\AppData\Local\Temp\A4DB.tmp"
  2⤵
  PID:3788
- - C:\Users\Admin\AppData\Local\Temp\A529.tmp
    "C:\Users\Admin\AppData\Local\Temp\A529.tmp"
    3⤵
    PID:4548
  - - C:\Users\Admin\AppData\Local\Temp\A577.tmp
      "C:\Users\Admin\AppData\Local\Temp\A577.tmp"
      4⤵
      PID:2784
- C:\Users\Admin\AppData\Local\Temp\8D2C.tmp
  "C:\Users\Admin\AppData\Local\Temp\8D2C.tmp"
  2⤵
  PID:4124

C:\Users\Admin\AppData\Local\Temp\A5C5.tmp
"C:\Users\Admin\AppData\Local\Temp\A5C5.tmp"
1⤵
PID:4948
- C:\Users\Admin\AppData\Local\Temp\A613.tmp
  "C:\Users\Admin\AppData\Local\Temp\A613.tmp"
  2⤵
  PID:5064

C:\Users\Admin\AppData\Local\Temp\A662.tmp
"C:\Users\Admin\AppData\Local\Temp\A662.tmp"
1⤵
PID:3644
- C:\Users\Admin\AppData\Local\Temp\A6B0.tmp
  "C:\Users\Admin\AppData\Local\Temp\A6B0.tmp"
  2⤵
  PID:1964
- - C:\Users\Admin\AppData\Local\Temp\A6FE.tmp
    "C:\Users\Admin\AppData\Local\Temp\A6FE.tmp"
    3⤵
    PID:3664
- C:\Users\Admin\AppData\Local\Temp\D2A.tmp
  "C:\Users\Admin\AppData\Local\Temp\D2A.tmp"
  2⤵
  PID:4500
- - C:\Users\Admin\AppData\Local\Temp\D78.tmp
    "C:\Users\Admin\AppData\Local\Temp\D78.tmp"
    3⤵
    PID:4800
  - - C:\Users\Admin\AppData\Local\Temp\68C7.tmp
      "C:\Users\Admin\AppData\Local\Temp\68C7.tmp"
      4⤵
      PID:3048
    - - C:\Users\Admin\AppData\Local\Temp\6915.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6915.tmp"
        5⤵
        
        PID:4712
      - C:\Users\Admin\AppData\Local\Temp\6963.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6963.tmp"
        6⤵
        
        PID:4588
        
        C:\Users\Admin\AppData\Local\Temp\69B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\69B2.tmp"
        7⤵
        
        PID:3556
    - - C:\Users\Admin\AppData\Local\Temp\87E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\87E8.tmp"
        5⤵
        
        PID:2076
- - C:\Users\Admin\AppData\Local\Temp\2584.tmp
    "C:\Users\Admin\AppData\Local\Temp\2584.tmp"
    3⤵
    PID:1208
  - - C:\Users\Admin\AppData\Local\Temp\25D3.tmp
      "C:\Users\Admin\AppData\Local\Temp\25D3.tmp"
      4⤵
      PID:5056
    - - C:\Users\Admin\AppData\Local\Temp\2621.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2621.tmp"
        5⤵
        
        PID:3556

C:\Users\Admin\AppData\Local\Temp\A79A.tmp
"C:\Users\Admin\AppData\Local\Temp\A79A.tmp"
1⤵
PID:5108
- C:\Users\Admin\AppData\Local\Temp\A7E8.tmp
  "C:\Users\Admin\AppData\Local\Temp\A7E8.tmp"
  2⤵
  PID:2708
- - C:\Users\Admin\AppData\Local\Temp\A836.tmp
    "C:\Users\Admin\AppData\Local\Temp\A836.tmp"
    3⤵
    PID:4584

C:\Users\Admin\AppData\Local\Temp\A884.tmp
"C:\Users\Admin\AppData\Local\Temp\A884.tmp"
1⤵
PID:4592
- C:\Users\Admin\AppData\Local\Temp\A8D3.tmp
  "C:\Users\Admin\AppData\Local\Temp\A8D3.tmp"
  2⤵
  PID:2100
- - C:\Users\Admin\AppData\Local\Temp\A921.tmp
    "C:\Users\Admin\AppData\Local\Temp\A921.tmp"
    3⤵
    PID:2036
  - - C:\Users\Admin\AppData\Local\Temp\A96F.tmp
      "C:\Users\Admin\AppData\Local\Temp\A96F.tmp"
      4⤵
      PID:1304
    - - C:\Users\Admin\AppData\Local\Temp\E06D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E06D.tmp"
        5⤵
        
        PID:3596
      - C:\Users\Admin\AppData\Local\Temp\E0BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0BB.tmp"
        6⤵
        
        PID:2632
        
        C:\Users\Admin\AppData\Local\Temp\E109.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E109.tmp"
        7⤵
        
        PID:3664
        
        C:\Users\Admin\AppData\Local\Temp\E157.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E157.tmp"
        8⤵
        
        PID:4884
        
        C:\Users\Admin\AppData\Local\Temp\E1A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1A5.tmp"
        9⤵
        
        PID:656
        
        C:\Users\Admin\AppData\Local\Temp\E1F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1F4.tmp"
        10⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\E242.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E242.tmp"
        11⤵
        
        PID:3840
        
        C:\Users\Admin\AppData\Local\Temp\1306.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1306.tmp"
        12⤵
        
        PID:3052
        
        C:\Users\Admin\AppData\Local\Temp\1354.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1354.tmp"
        13⤵
        
        PID:3740
        
        C:\Users\Admin\AppData\Local\Temp\13A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\13A2.tmp"
        14⤵
        
        PID:2848
        
        C:\Users\Admin\AppData\Local\Temp\2006.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2006.tmp"
        15⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\2054.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2054.tmp"
        16⤵
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\20A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\20A2.tmp"
        17⤵
        
        PID:4940
        
        C:\Users\Admin\AppData\Local\Temp\432E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\432E.tmp"
        17⤵
        
        PID:1540
        
        C:\Users\Admin\AppData\Local\Temp\437C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\437C.tmp"
        18⤵
        
        PID:1472
        
        C:\Users\Admin\AppData\Local\Temp\43CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\43CA.tmp"
        19⤵
        
        PID:2284
        
        C:\Users\Admin\AppData\Local\Temp\1F6A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F6A.tmp"
        13⤵
        
        PID:3740
        
        C:\Users\Admin\AppData\Local\Temp\1FB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FB8.tmp"
        14⤵
        
        PID:2848
        
        C:\Users\Admin\AppData\Local\Temp\9769.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9769.tmp"
        9⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\97B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\97B7.tmp"
        10⤵
        
        PID:2404
      - C:\Users\Admin\AppData\Local\Temp\ECC1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ECC1.tmp"
        6⤵
        
        PID:3220
        
        C:\Users\Admin\AppData\Local\Temp\ED0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED0F.tmp"
        7⤵
        
        PID:4468
        
        C:\Users\Admin\AppData\Local\Temp\ED5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED5D.tmp"
        8⤵
        
        PID:4624
        
        C:\Users\Admin\AppData\Local\Temp\3F46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F46.tmp"
        9⤵
        
        PID:2932
        
        C:\Users\Admin\AppData\Local\Temp\3F94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F94.tmp"
        10⤵
        
        PID:4372
        
        C:\Users\Admin\AppData\Local\Temp\3FE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3FE2.tmp"
        11⤵
        
        PID:864
        
        C:\Users\Admin\AppData\Local\Temp\4031.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4031.tmp"
        12⤵
        
        PID:1916
        
        C:\Users\Admin\AppData\Local\Temp\4B2D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B2D.tmp"
        10⤵
        
        PID:3220
        
        C:\Users\Admin\AppData\Local\Temp\4B7B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B7B.tmp"
        11⤵
        
        PID:3760
        
        C:\Users\Admin\AppData\Local\Temp\4BC9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BC9.tmp"
        12⤵
        
        PID:3168
        
        C:\Users\Admin\AppData\Local\Temp\4C17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C17.tmp"
        13⤵
        
        PID:4056
  - - C:\Users\Admin\AppData\Local\Temp\5043.tmp
      "C:\Users\Admin\AppData\Local\Temp\5043.tmp"
      4⤵
      PID:1500
- - C:\Users\Admin\AppData\Local\Temp\9CAD.tmp
    "C:\Users\Admin\AppData\Local\Temp\9CAD.tmp"
    3⤵
    PID:2772
- - C:\Users\Admin\AppData\Local\Temp\6C95.tmp
    "C:\Users\Admin\AppData\Local\Temp\6C95.tmp"
    3⤵
    PID:2716

C:\Users\Admin\AppData\Local\Temp\AB92.tmp
"C:\Users\Admin\AppData\Local\Temp\AB92.tmp"
1⤵
PID:3168
- C:\Users\Admin\AppData\Local\Temp\ABE0.tmp
  "C:\Users\Admin\AppData\Local\Temp\ABE0.tmp"
  2⤵
  PID:2488
- - C:\Users\Admin\AppData\Local\Temp\AC2E.tmp
    "C:\Users\Admin\AppData\Local\Temp\AC2E.tmp"
    3⤵
    PID:2884
  - - C:\Users\Admin\AppData\Local\Temp\AC7C.tmp
      "C:\Users\Admin\AppData\Local\Temp\AC7C.tmp"
      4⤵
      PID:2948
  - - C:\Users\Admin\AppData\Local\Temp\B873.tmp
      "C:\Users\Admin\AppData\Local\Temp\B873.tmp"
      4⤵
      PID:2948
    - - C:\Users\Admin\AppData\Local\Temp\B8C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8C1.tmp"
        5⤵
        
        PID:4420
      - C:\Users\Admin\AppData\Local\Temp\B90F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B90F.tmp"
        6⤵
        
        PID:5092
    - - C:\Users\Admin\AppData\Local\Temp\ACCA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ACCA.tmp"
        5⤵
        
        PID:1284
    - - C:\Users\Admin\AppData\Local\Temp\CC78.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC78.tmp"
        5⤵
        
        PID:4768
      - C:\Users\Admin\AppData\Local\Temp\CCC6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCC6.tmp"
        6⤵
        
        PID:4940
        
        C:\Users\Admin\AppData\Local\Temp\CD33.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD33.tmp"
        7⤵
        
        PID:3260
        
        C:\Users\Admin\AppData\Local\Temp\58C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\58C9.tmp"
        8⤵
        
        PID:2848
        
        C:\Users\Admin\AppData\Local\Temp\5918.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5918.tmp"
        9⤵
        
        PID:1772
        
        C:\Users\Admin\AppData\Local\Temp\5966.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5966.tmp"
        10⤵
        
        PID:1896

C:\Users\Admin\AppData\Local\Temp\AD18.tmp
"C:\Users\Admin\AppData\Local\Temp\AD18.tmp"
1⤵
PID:888
- C:\Users\Admin\AppData\Local\Temp\AD66.tmp
  "C:\Users\Admin\AppData\Local\Temp\AD66.tmp"
  2⤵
  PID:224
- - C:\Users\Admin\AppData\Local\Temp\ADB5.tmp
    "C:\Users\Admin\AppData\Local\Temp\ADB5.tmp"
    3⤵
    PID:5052
  - - C:\Users\Admin\AppData\Local\Temp\C246.tmp
      "C:\Users\Admin\AppData\Local\Temp\C246.tmp"
      4⤵
      PID:2348
    - - C:\Users\Admin\AppData\Local\Temp\C294.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C294.tmp"
        5⤵
        
        PID:3304
      - C:\Users\Admin\AppData\Local\Temp\981.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\981.tmp"
        6⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1540
        
        C:\Users\Admin\AppData\Local\Temp\9CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9CF.tmp"
        7⤵
        
        PID:2284
        
        C:\Users\Admin\AppData\Local\Temp\A1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A1D.tmp"
        8⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\A6B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A6B.tmp"
        9⤵
        
        PID:1104
        
        C:\Users\Admin\AppData\Local\Temp\5A9E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A9E.tmp"
        10⤵
        
        PID:2092
        
        C:\Users\Admin\AppData\Local\Temp\4419.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4419.tmp"
        8⤵
        
        PID:1592
        
        C:\Users\Admin\AppData\Local\Temp\4467.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4467.tmp"
        9⤵
        
        PID:1528
        
        C:\Users\Admin\AppData\Local\Temp\44B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\44B5.tmp"
        10⤵
        
        PID:3400

C:\Users\Admin\AppData\Local\Temp\AE03.tmp
"C:\Users\Admin\AppData\Local\Temp\AE03.tmp"
1⤵
PID:2348
- C:\Users\Admin\AppData\Local\Temp\AE51.tmp
  "C:\Users\Admin\AppData\Local\Temp\AE51.tmp"
  2⤵
  PID:2864
- - C:\Users\Admin\AppData\Local\Temp\AE9F.tmp
    "C:\Users\Admin\AppData\Local\Temp\AE9F.tmp"
    3⤵
    PID:4936
  - - C:\Users\Admin\AppData\Local\Temp\AEED.tmp
      "C:\Users\Admin\AppData\Local\Temp\AEED.tmp"
      4⤵
      PID:1292
- - C:\Users\Admin\AppData\Local\Temp\E4D2.tmp
    "C:\Users\Admin\AppData\Local\Temp\E4D2.tmp"
    3⤵
    PID:4356
  - - C:\Users\Admin\AppData\Local\Temp\E520.tmp
      "C:\Users\Admin\AppData\Local\Temp\E520.tmp"
      4⤵
      PID:2348
    - - C:\Users\Admin\AppData\Local\Temp\E56E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E56E.tmp"
        5⤵
        
        PID:2092
      - C:\Users\Admin\AppData\Local\Temp\E5BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5BC.tmp"
        6⤵
        
        PID:1292
      - C:\Users\Admin\AppData\Local\Temp\1652.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1652.tmp"
        6⤵
        
        PID:4824
        
        C:\Users\Admin\AppData\Local\Temp\16A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16A0.tmp"
        7⤵
        
        PID:3400
        
        C:\Users\Admin\AppData\Local\Temp\16EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16EE.tmp"
        8⤵
        
        PID:4900
        
        C:\Users\Admin\AppData\Local\Temp\173C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\173C.tmp"
        9⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\178A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\178A.tmp"
        10⤵
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\17D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\17D8.tmp"
        11⤵
        
        PID:2052
        
        C:\Users\Admin\AppData\Local\Temp\5CD1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5CD1.tmp"
        11⤵
        
        PID:2052
        
        C:\Users\Admin\AppData\Local\Temp\5D1F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D1F.tmp"
        12⤵
        
        PID:576
        
        C:\Users\Admin\AppData\Local\Temp\5D6D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D6D.tmp"
        13⤵
        
        PID:3584
        
        C:\Users\Admin\AppData\Local\Temp\5DBB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DBB.tmp"
        14⤵
        
        PID:3300
        
        C:\Users\Admin\AppData\Local\Temp\7327.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7327.tmp"
        14⤵
        
        PID:4792
        
        C:\Users\Admin\AppData\Local\Temp\7366.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7366.tmp"
        15⤵
        
        PID:3868
        
        C:\Users\Admin\AppData\Local\Temp\73B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73B4.tmp"
        16⤵
        
        PID:940
        
        C:\Users\Admin\AppData\Local\Temp\875B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\875B.tmp"
        14⤵
        
        PID:1404

C:\Users\Admin\AppData\Local\Temp\B026.tmp
"C:\Users\Admin\AppData\Local\Temp\B026.tmp"
1⤵
PID:3692
- C:\Users\Admin\AppData\Local\Temp\B074.tmp
  "C:\Users\Admin\AppData\Local\Temp\B074.tmp"
  2⤵
  PID:4532
- - C:\Users\Admin\AppData\Local\Temp\B0C2.tmp
    "C:\Users\Admin\AppData\Local\Temp\B0C2.tmp"
    3⤵
    PID:1432
  - - C:\Users\Admin\AppData\Local\Temp\B110.tmp
      "C:\Users\Admin\AppData\Local\Temp\B110.tmp"
      4⤵
      PID:1788
  - - C:\Users\Admin\AppData\Local\Temp\21DB.tmp
      "C:\Users\Admin\AppData\Local\Temp\21DB.tmp"
      4⤵
      PID:3720
    - - C:\Users\Admin\AppData\Local\Temp\2219.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2219.tmp"
        5⤵
        
        PID:956
- C:\Users\Admin\AppData\Local\Temp\BC5B.tmp
  "C:\Users\Admin\AppData\Local\Temp\BC5B.tmp"
  2⤵
  PID:4532
- - C:\Users\Admin\AppData\Local\Temp\C553.tmp
    "C:\Users\Admin\AppData\Local\Temp\C553.tmp"
    3⤵
    PID:1068
  - - C:\Users\Admin\AppData\Local\Temp\C5A2.tmp
      "C:\Users\Admin\AppData\Local\Temp\C5A2.tmp"
      4⤵
      PID:1784
    - - C:\Users\Admin\AppData\Local\Temp\C5F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C5F0.tmp"
        5⤵
        
        PID:2540
      - C:\Users\Admin\AppData\Local\Temp\C63E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C63E.tmp"
        6⤵
        
        PID:4744
        
        C:\Users\Admin\AppData\Local\Temp\C68C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C68C.tmp"
        7⤵
        
        PID:1208
        
        C:\Users\Admin\AppData\Local\Temp\824F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\824F.tmp"
        8⤵
        
        PID:2284

C:\Users\Admin\AppData\Local\Temp\B1AC.tmp
"C:\Users\Admin\AppData\Local\Temp\B1AC.tmp"
1⤵
PID:1856
- C:\Users\Admin\AppData\Local\Temp\B1FA.tmp
  "C:\Users\Admin\AppData\Local\Temp\B1FA.tmp"
  2⤵
  PID:940
- - C:\Users\Admin\AppData\Local\Temp\B248.tmp
    "C:\Users\Admin\AppData\Local\Temp\B248.tmp"
    3⤵
    PID:996
  - - C:\Users\Admin\AppData\Local\Temp\B297.tmp
      "C:\Users\Admin\AppData\Local\Temp\B297.tmp"
      4⤵
      PID:992
  - - C:\Users\Admin\AppData\Local\Temp\F5.tmp
      "C:\Users\Admin\AppData\Local\Temp\F5.tmp"
      4⤵
      PID:4592
    - - C:\Users\Admin\AppData\Local\Temp\143.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\143.tmp"
        5⤵
        
        PID:5056
      - C:\Users\Admin\AppData\Local\Temp\191.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\191.tmp"
        6⤵
        
        PID:4376
        
        C:\Users\Admin\AppData\Local\Temp\1DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DF.tmp"
        7⤵
        
        PID:1680

C:\Users\Admin\AppData\Local\Temp\B602.tmp
"C:\Users\Admin\AppData\Local\Temp\B602.tmp"
1⤵
PID:2268
- C:\Users\Admin\AppData\Local\Temp\B650.tmp
  "C:\Users\Admin\AppData\Local\Temp\B650.tmp"
  2⤵
  PID:4872
- - C:\Users\Admin\AppData\Local\Temp\B69E.tmp
    "C:\Users\Admin\AppData\Local\Temp\B69E.tmp"
    3⤵
    PID:968
  - - C:\Users\Admin\AppData\Local\Temp\B6EC.tmp
      "C:\Users\Admin\AppData\Local\Temp\B6EC.tmp"
      4⤵
      PID:2932
    - - C:\Users\Admin\AppData\Local\Temp\B73A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B73A.tmp"
        5⤵
        
        PID:3756
      - C:\Users\Admin\AppData\Local\Temp\4E3F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E3F.tmp"
        6⤵
        
        PID:556
  - - C:\Users\Admin\AppData\Local\Temp\318.tmp
      "C:\Users\Admin\AppData\Local\Temp\318.tmp"
      4⤵
      PID:2432
    - - C:\Users\Admin\AppData\Local\Temp\366.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\366.tmp"
        5⤵
        
        PID:3788
      - C:\Users\Admin\AppData\Local\Temp\3B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B4.tmp"
        6⤵
        
        PID:2616
- - C:\Users\Admin\AppData\Local\Temp\C97A.tmp
    "C:\Users\Admin\AppData\Local\Temp\C97A.tmp"
    3⤵
    PID:1512
  - - C:\Users\Admin\AppData\Local\Temp\C9C8.tmp
      "C:\Users\Admin\AppData\Local\Temp\C9C8.tmp"
      4⤵
      PID:256

C:\Users\Admin\AppData\Local\Temp\B95D.tmp
"C:\Users\Admin\AppData\Local\Temp\B95D.tmp"
1⤵
PID:3384
- C:\Users\Admin\AppData\Local\Temp\B9AB.tmp
  "C:\Users\Admin\AppData\Local\Temp\B9AB.tmp"
  2⤵
  PID:4260

C:\Users\Admin\AppData\Local\Temp\B9F9.tmp
"C:\Users\Admin\AppData\Local\Temp\B9F9.tmp"
1⤵
PID:4312
- C:\Users\Admin\AppData\Local\Temp\BA38.tmp
  "C:\Users\Admin\AppData\Local\Temp\BA38.tmp"
  2⤵
  PID:1996
- - C:\Users\Admin\AppData\Local\Temp\BA86.tmp
    "C:\Users\Admin\AppData\Local\Temp\BA86.tmp"
    3⤵
    PID:3668
  - - C:\Users\Admin\AppData\Local\Temp\BAD4.tmp
      "C:\Users\Admin\AppData\Local\Temp\BAD4.tmp"
      4⤵
      PID:756
  - - C:\Users\Admin\AppData\Local\Temp\541B.tmp
      "C:\Users\Admin\AppData\Local\Temp\541B.tmp"
      4⤵
      PID:2052
- C:\Users\Admin\AppData\Local\Temp\FBD5.tmp
  "C:\Users\Admin\AppData\Local\Temp\FBD5.tmp"
  2⤵
  PID:4564
- - C:\Users\Admin\AppData\Local\Temp\FC23.tmp
    "C:\Users\Admin\AppData\Local\Temp\FC23.tmp"
    3⤵
    PID:4936
  - - C:\Users\Admin\AppData\Local\Temp\FC71.tmp
      "C:\Users\Admin\AppData\Local\Temp\FC71.tmp"
      4⤵
      PID:5008
    - - C:\Users\Admin\AppData\Local\Temp\FCBF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FCBF.tmp"
        5⤵
        
        PID:3972
      - C:\Users\Admin\AppData\Local\Temp\FD0D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD0D.tmp"
        6⤵
        
        PID:1244
        
        C:\Users\Admin\AppData\Local\Temp\FD5B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD5B.tmp"
        7⤵
        
        PID:3948
        
        C:\Users\Admin\AppData\Local\Temp\FDA9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDA9.tmp"
        8⤵
        
        PID:1292
        
        C:\Users\Admin\AppData\Local\Temp\FDF7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDF7.tmp"
        9⤵
        
        PID:3076
        
        C:\Users\Admin\AppData\Local\Temp\77FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77FA.tmp"
        9⤵
        
        PID:3608
        
        C:\Users\Admin\AppData\Local\Temp\7848.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7848.tmp"
        10⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\7896.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7896.tmp"
        11⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\8335.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8335.tmp"
        12⤵
        
        PID:3260
        
        C:\Users\Admin\AppData\Local\Temp\8383.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8383.tmp"
        13⤵
        
        PID:2848
        
        C:\Users\Admin\AppData\Local\Temp\83D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\83D1.tmp"
        14⤵
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\8CBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8CBA.tmp"
        10⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\8D08.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D08.tmp"
        11⤵
        
        PID:1448
        
        C:\Users\Admin\AppData\Local\Temp\8D57.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D57.tmp"
        12⤵
        
        PID:4592
        
        C:\Users\Admin\AppData\Local\Temp\8DA5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8DA5.tmp"
        13⤵
        
        PID:3076
        
        C:\Users\Admin\AppData\Local\Temp\8DF3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8DF3.tmp"
        14⤵
        
        PID:552

C:\Users\Admin\AppData\Local\Temp\BCF7.tmp
"C:\Users\Admin\AppData\Local\Temp\BCF7.tmp"
1⤵
PID:1788
- C:\Users\Admin\AppData\Local\Temp\BD45.tmp
  "C:\Users\Admin\AppData\Local\Temp\BD45.tmp"
  2⤵
  PID:1856
- - C:\Users\Admin\AppData\Local\Temp\BD93.tmp
    "C:\Users\Admin\AppData\Local\Temp\BD93.tmp"
    3⤵
    PID:4792
  - - C:\Users\Admin\AppData\Local\Temp\BDE1.tmp
      "C:\Users\Admin\AppData\Local\Temp\BDE1.tmp"
      4⤵
      PID:1376
  - - C:\Users\Admin\AppData\Local\Temp\4AA5.tmp
      "C:\Users\Admin\AppData\Local\Temp\4AA5.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:4532
- C:\Users\Admin\AppData\Local\Temp\B15E.tmp
  "C:\Users\Admin\AppData\Local\Temp\B15E.tmp"
  2⤵
  PID:2148

C:\Users\Admin\AppData\Local\Temp\BF87.tmp
"C:\Users\Admin\AppData\Local\Temp\BF87.tmp"
1⤵
PID:4452
- C:\Users\Admin\AppData\Local\Temp\BFD5.tmp
  "C:\Users\Admin\AppData\Local\Temp\BFD5.tmp"
  2⤵
  PID:3608
- - C:\Users\Admin\AppData\Local\Temp\C023.tmp
    "C:\Users\Admin\AppData\Local\Temp\C023.tmp"
    3⤵
    PID:3756
- - C:\Users\Admin\AppData\Local\Temp\1E22.tmp
    "C:\Users\Admin\AppData\Local\Temp\1E22.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:556
  - - C:\Users\Admin\AppData\Local\Temp\1E70.tmp
      "C:\Users\Admin\AppData\Local\Temp\1E70.tmp"
      4⤵
      PID:1080

C:\Users\Admin\AppData\Local\Temp\C469.tmp
"C:\Users\Admin\AppData\Local\Temp\C469.tmp"
1⤵
PID:4064
- C:\Users\Admin\AppData\Local\Temp\C4B7.tmp
  "C:\Users\Admin\AppData\Local\Temp\C4B7.tmp"
  2⤵
  PID:1920
- - C:\Users\Admin\AppData\Local\Temp\C505.tmp
    "C:\Users\Admin\AppData\Local\Temp\C505.tmp"
    3⤵
    PID:4532
  - - C:\Users\Admin\AppData\Local\Temp\BCA9.tmp
      "C:\Users\Admin\AppData\Local\Temp\BCA9.tmp"
      4⤵
      PID:2724
  - - C:\Users\Admin\AppData\Local\Temp\4AF3.tmp
      "C:\Users\Admin\AppData\Local\Temp\4AF3.tmp"
      4⤵
      PID:684
    - - C:\Users\Admin\AppData\Local\Temp\D12B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D12B.tmp"
        5⤵
        
        PID:1784
      - C:\Users\Admin\AppData\Local\Temp\D179.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D179.tmp"
        6⤵
        
        PID:3552
        
        C:\Users\Admin\AppData\Local\Temp\D1C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1C7.tmp"
        7⤵
        
        PID:4744
        
        C:\Users\Admin\AppData\Local\Temp\D215.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D215.tmp"
        8⤵
        
        PID:1208
        
        C:\Users\Admin\AppData\Local\Temp\D263.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D263.tmp"
        9⤵
        
        PID:404
        
        C:\Users\Admin\AppData\Local\Temp\D2B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2B1.tmp"
        10⤵
        
        PID:3768
- C:\Users\Admin\AppData\Local\Temp\BC0C.tmp
  "C:\Users\Admin\AppData\Local\Temp\BC0C.tmp"
  2⤵
  PID:3692

C:\Users\Admin\AppData\Local\Temp\C841.tmp
"C:\Users\Admin\AppData\Local\Temp\C841.tmp"
1⤵
PID:3684
- C:\Users\Admin\AppData\Local\Temp\C890.tmp
  "C:\Users\Admin\AppData\Local\Temp\C890.tmp"
  2⤵
  PID:3836
- - C:\Users\Admin\AppData\Local\Temp\C8DE.tmp
    "C:\Users\Admin\AppData\Local\Temp\C8DE.tmp"
    3⤵
    PID:2424
  - - C:\Users\Admin\AppData\Local\Temp\C92C.tmp
      "C:\Users\Admin\AppData\Local\Temp\C92C.tmp"
      4⤵
      PID:4872

C:\Users\Admin\AppData\Local\Temp\8D7B.tmp
"C:\Users\Admin\AppData\Local\Temp\8D7B.tmp"
1⤵
PID:4376
- C:\Users\Admin\AppData\Local\Temp\538E.tmp
  "C:\Users\Admin\AppData\Local\Temp\538E.tmp"
  2⤵
  PID:1652
- - C:\Users\Admin\AppData\Local\Temp\DB8B.tmp
    "C:\Users\Admin\AppData\Local\Temp\DB8B.tmp"
    3⤵
    PID:4064
  - - C:\Users\Admin\AppData\Local\Temp\DBD9.tmp
      "C:\Users\Admin\AppData\Local\Temp\DBD9.tmp"
      4⤵
      PID:1844
    - - C:\Users\Admin\AppData\Local\Temp\DC27.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC27.tmp"
        5⤵
        
        PID:568
      - C:\Users\Admin\AppData\Local\Temp\DC75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC75.tmp"
        6⤵
        
        PID:972
        
        C:\Users\Admin\AppData\Local\Temp\DCC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DCC3.tmp"
        7⤵
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\DD12.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD12.tmp"
        8⤵
        
        PID:1856
        
        C:\Users\Admin\AppData\Local\Temp\DD60.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD60.tmp"
        9⤵
        
        PID:4412
        
        C:\Users\Admin\AppData\Local\Temp\E918.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E918.tmp"
        8⤵
        
        PID:1856
        
        C:\Users\Admin\AppData\Local\Temp\E966.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E966.tmp"
        9⤵
        
        PID:4412
        
        C:\Users\Admin\AppData\Local\Temp\E9B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9B4.tmp"
        10⤵
        
        PID:4392
        
        C:\Users\Admin\AppData\Local\Temp\EA02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA02.tmp"
        11⤵
        
        PID:3048
        
        C:\Users\Admin\AppData\Local\Temp\EA50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA50.tmp"
        12⤵
        
        PID:4208
        
        C:\Users\Admin\AppData\Local\Temp\F58B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F58B.tmp"
        9⤵
        
        PID:4412
        
        C:\Users\Admin\AppData\Local\Temp\F5D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5D9.tmp"
        10⤵
        
        PID:2716
        
        C:\Users\Admin\AppData\Local\Temp\F627.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F627.tmp"
        11⤵
        
        PID:4216
        
        C:\Users\Admin\AppData\Local\Temp\F676.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F676.tmp"
        12⤵
        
        PID:2520
        
        C:\Users\Admin\AppData\Local\Temp\1A98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A98.tmp"
        11⤵
        
        PID:1068
        
        C:\Users\Admin\AppData\Local\Temp\1AE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AE6.tmp"
        12⤵
        
        PID:2520
        
        C:\Users\Admin\AppData\Local\Temp\1B34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B34.tmp"
        13⤵
        
        PID:2128
        
        C:\Users\Admin\AppData\Local\Temp\5445.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5445.tmp"
        14⤵
        
        PID:1512
        
        C:\Users\Admin\AppData\Local\Temp\602C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\602C.tmp"
        13⤵
        
        PID:1512
        
        C:\Users\Admin\AppData\Local\Temp\607A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\607A.tmp"
        14⤵
        
        PID:4648
        
        C:\Users\Admin\AppData\Local\Temp\60E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\60E8.tmp"
        15⤵
        
        PID:3816
        
        C:\Users\Admin\AppData\Local\Temp\7F1E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F1E.tmp"
        14⤵
        
        PID:4532
    - - C:\Users\Admin\AppData\Local\Temp\E82D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E82D.tmp"
        5⤵
        
        PID:568
      - C:\Users\Admin\AppData\Local\Temp\E87B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E87B.tmp"
        6⤵
        
        PID:4500
        
        C:\Users\Admin\AppData\Local\Temp\E8CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E8CA.tmp"
        7⤵
        
        PID:4800
  - - C:\Users\Admin\AppData\Local\Temp\2381.tmp
      "C:\Users\Admin\AppData\Local\Temp\2381.tmp"
      4⤵
      PID:576
    - - C:\Users\Admin\AppData\Local\Temp\23CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23CF.tmp"
        5⤵
        
        PID:684
      - C:\Users\Admin\AppData\Local\Temp\244C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\244C.tmp"
        6⤵
        
        PID:504
    - - C:\Users\Admin\AppData\Local\Temp\2FC5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2FC5.tmp"
        5⤵
        
        PID:2488
      - C:\Users\Admin\AppData\Local\Temp\3014.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3014.tmp"
        6⤵
        
        PID:3584
        
        C:\Users\Admin\AppData\Local\Temp\3062.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3062.tmp"
        7⤵
        
        PID:972

C:\Users\Admin\AppData\Local\Temp\56DA.tmp
"C:\Users\Admin\AppData\Local\Temp\56DA.tmp"
1⤵
PID:3412

C:\Users\Admin\AppData\Local\Temp\5469.tmp
"C:\Users\Admin\AppData\Local\Temp\5469.tmp"
1⤵
PID:1868

C:\Users\Admin\AppData\Local\Temp\4FF5.tmp
"C:\Users\Admin\AppData\Local\Temp\4FF5.tmp"
1⤵
PID:2036

C:\Users\Admin\AppData\Local\Temp\4D55.tmp
"C:\Users\Admin\AppData\Local\Temp\4D55.tmp"
1⤵
PID:1212

C:\Users\Admin\AppData\Local\Temp\4C2C.tmp
"C:\Users\Admin\AppData\Local\Temp\4C2C.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3844
- C:\Users\Admin\AppData\Local\Temp\7BE2.tmp
  "C:\Users\Admin\AppData\Local\Temp\7BE2.tmp"
  2⤵
  PID:1788

C:\Users\Admin\AppData\Local\Temp\4BDE.tmp
"C:\Users\Admin\AppData\Local\Temp\4BDE.tmp"
1⤵
PID:3836

C:\Users\Admin\AppData\Local\Temp\4B90.tmp
"C:\Users\Admin\AppData\Local\Temp\4B90.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:760

C:\Users\Admin\AppData\Local\Temp\CA07.tmp
"C:\Users\Admin\AppData\Local\Temp\CA07.tmp"
1⤵
PID:4424
- C:\Users\Admin\AppData\Local\Temp\CA55.tmp
  "C:\Users\Admin\AppData\Local\Temp\CA55.tmp"
  2⤵
  PID:4884
- - C:\Users\Admin\AppData\Local\Temp\CAA3.tmp
    "C:\Users\Admin\AppData\Local\Temp\CAA3.tmp"
    3⤵
    PID:2512
  - - C:\Users\Admin\AppData\Local\Temp\D6A9.tmp
      "C:\Users\Admin\AppData\Local\Temp\D6A9.tmp"
      4⤵
      PID:3760
    - - C:\Users\Admin\AppData\Local\Temp\D6F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6F7.tmp"
        5⤵
        
        PID:4060
      - C:\Users\Admin\AppData\Local\Temp\D745.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D745.tmp"
        6⤵
        
        PID:3252
        
        C:\Users\Admin\AppData\Local\Temp\D793.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D793.tmp"
        7⤵
        
        PID:4056
        
        C:\Users\Admin\AppData\Local\Temp\D7E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7E1.tmp"
        8⤵
        
        PID:240
        
        C:\Users\Admin\AppData\Local\Temp\D830.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D830.tmp"
        9⤵
        
        PID:4748
        
        C:\Users\Admin\AppData\Local\Temp\D87E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D87E.tmp"
        10⤵
        
        PID:2404
        
        C:\Users\Admin\AppData\Local\Temp\D8DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D8DB.tmp"
        11⤵
        
        PID:4564
        
        C:\Users\Admin\AppData\Local\Temp\D92A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D92A.tmp"
        12⤵
        
        PID:1448
        
        C:\Users\Admin\AppData\Local\Temp\F05B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F05B.tmp"
        11⤵
        
        PID:1896
        
        C:\Users\Admin\AppData\Local\Temp\F0A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0A9.tmp"
        12⤵
        
        PID:1448
        
        C:\Users\Admin\AppData\Local\Temp\F0F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0F7.tmp"
        13⤵
        
        PID:2348
        
        C:\Users\Admin\AppData\Local\Temp\F145.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F145.tmp"
        14⤵
        
        PID:3948
        
        C:\Users\Admin\AppData\Local\Temp\3786.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3786.tmp"
        12⤵
        
        PID:4564
        
        C:\Users\Admin\AppData\Local\Temp\37D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37D4.tmp"
        13⤵
        
        PID:4936
        
        C:\Users\Admin\AppData\Local\Temp\3822.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3822.tmp"
        14⤵
        
        PID:4592
        
        C:\Users\Admin\AppData\Local\Temp\3870.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3870.tmp"
        15⤵
        
        PID:3972
        
        C:\Users\Admin\AppData\Local\Temp\38BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\38BE.tmp"
        16⤵
        
        PID:756
        
        C:\Users\Admin\AppData\Local\Temp\390C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\390C.tmp"
        17⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\395B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\395B.tmp"
        18⤵
        
        PID:4456
        
        C:\Users\Admin\AppData\Local\Temp\2AA5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2AA5.tmp"
        7⤵
        
        PID:3924
        
        C:\Users\Admin\AppData\Local\Temp\2AF3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2AF3.tmp"
        8⤵
        
        PID:5000
        
        C:\Users\Admin\AppData\Local\Temp\2B41.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B41.tmp"
        9⤵
        
        PID:3052
    - - C:\Users\Admin\AppData\Local\Temp\EE86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE86.tmp"
        5⤵
        
        PID:3924
      - C:\Users\Admin\AppData\Local\Temp\EED4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EED4.tmp"
        6⤵
        
        PID:2848
        
        C:\Users\Admin\AppData\Local\Temp\EF23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF23.tmp"
        7⤵
        
        PID:4056
        
        C:\Users\Admin\AppData\Local\Temp\EF71.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF71.tmp"
        8⤵
        
        PID:1392
        
        C:\Users\Admin\AppData\Local\Temp\EFBF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFBF.tmp"
        9⤵
        
        PID:4748
        
        C:\Users\Admin\AppData\Local\Temp\F00D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F00D.tmp"
        10⤵
        
        PID:2404
        
        C:\Users\Admin\AppData\Local\Temp\8E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E4.tmp"
        11⤵
        
        PID:2484
        
        C:\Users\Admin\AppData\Local\Temp\932.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\932.tmp"
        12⤵
        
        PID:3304
        
        C:\Users\Admin\AppData\Local\Temp\5196.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5196.tmp"
        12⤵
        
        PID:1148
        
        C:\Users\Admin\AppData\Local\Temp\51D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\51D4.tmp"
        13⤵
        
        PID:376
        
        C:\Users\Admin\AppData\Local\Temp\86CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\86CF.tmp"
        14⤵
        
        PID:972
        
        C:\Users\Admin\AppData\Local\Temp\4C66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C66.tmp"
        8⤵
        
        PID:3564
        
        C:\Users\Admin\AppData\Local\Temp\4CB4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4CB4.tmp"
        9⤵
        
        PID:3740
        
        C:\Users\Admin\AppData\Local\Temp\4D02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D02.tmp"
        10⤵
        
        PID:1532
        
        C:\Users\Admin\AppData\Local\Temp\13F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\13F0.tmp"
        7⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\143F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\143F.tmp"
        8⤵
        
        PID:4768

C:\Users\Admin\AppData\Local\Temp\CD81.tmp
"C:\Users\Admin\AppData\Local\Temp\CD81.tmp"
1⤵
PID:4964
- C:\Users\Admin\AppData\Local\Temp\CDCF.tmp
  "C:\Users\Admin\AppData\Local\Temp\CDCF.tmp"
  2⤵
  PID:376
- - C:\Users\Admin\AppData\Local\Temp\CE1D.tmp
    "C:\Users\Admin\AppData\Local\Temp\CE1D.tmp"
    3⤵
    PID:2092

C:\Users\Admin\AppData\Local\Temp\CE6C.tmp
"C:\Users\Admin\AppData\Local\Temp\CE6C.tmp"
1⤵
PID:3148
- C:\Users\Admin\AppData\Local\Temp\CEBA.tmp
  "C:\Users\Admin\AppData\Local\Temp\CEBA.tmp"
  2⤵
  PID:4040
- - C:\Users\Admin\AppData\Local\Temp\CF08.tmp
    "C:\Users\Admin\AppData\Local\Temp\CF08.tmp"
    3⤵
    PID:1592
  - - C:\Users\Admin\AppData\Local\Temp\CF56.tmp
      "C:\Users\Admin\AppData\Local\Temp\CF56.tmp"
      4⤵
      PID:756
    - - C:\Users\Admin\AppData\Local\Temp\CFA4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFA4.tmp"
        5⤵
        
        PID:1104
      - C:\Users\Admin\AppData\Local\Temp\CFF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFF2.tmp"
        6⤵
        
        PID:3528
      - C:\Users\Admin\AppData\Local\Temp\AB9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB9.tmp"
        6⤵
        
        PID:3692
        
        C:\Users\Admin\AppData\Local\Temp\B07.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B07.tmp"
        7⤵
        
        PID:1560
        
        C:\Users\Admin\AppData\Local\Temp\B55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B55.tmp"
        8⤵
        
        PID:1492
        
        C:\Users\Admin\AppData\Local\Temp\BA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA3.tmp"
        9⤵
        
        PID:3456
        
        C:\Users\Admin\AppData\Local\Temp\4541.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4541.tmp"
        9⤵
        
        PID:4852
        
        C:\Users\Admin\AppData\Local\Temp\5B3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B3A.tmp"
        8⤵
        
        PID:4456
        
        C:\Users\Admin\AppData\Local\Temp\5B89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B89.tmp"
        9⤵
        
        PID:4748
        
        C:\Users\Admin\AppData\Local\Temp\5BD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5BD7.tmp"
        10⤵
        
        PID:1492
        
        C:\Users\Admin\AppData\Local\Temp\5C25.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C25.tmp"
        11⤵
        
        PID:2540
- C:\Users\Admin\AppData\Local\Temp\2D16.tmp
  "C:\Users\Admin\AppData\Local\Temp\2D16.tmp"
  2⤵
  PID:3972
- - C:\Users\Admin\AppData\Local\Temp\2D64.tmp
    "C:\Users\Admin\AppData\Local\Temp\2D64.tmp"
    3⤵
    PID:756
  - - C:\Users\Admin\AppData\Local\Temp\2DC2.tmp
      "C:\Users\Admin\AppData\Local\Temp\2DC2.tmp"
      4⤵
      PID:4520
    - - C:\Users\Admin\AppData\Local\Temp\2E10.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E10.tmp"
        5⤵
        
        PID:2844
      - C:\Users\Admin\AppData\Local\Temp\2E5E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E5E.tmp"
        6⤵
        
        PID:904
        
        C:\Users\Admin\AppData\Local\Temp\6656.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6656.tmp"
        7⤵
        
        PID:4232
        
        C:\Users\Admin\AppData\Local\Temp\66A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\66A4.tmp"
        8⤵
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\66F2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\66F2.tmp"
        9⤵
        
        PID:1484
        
        C:\Users\Admin\AppData\Local\Temp\6741.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6741.tmp"
        10⤵
        
        PID:1784
        
        C:\Users\Admin\AppData\Local\Temp\8E8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E8F.tmp"
        7⤵
        
        PID:1284
        
        C:\Users\Admin\AppData\Local\Temp\8EDD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8EDD.tmp"
        8⤵
        
        PID:1920
        
        C:\Users\Admin\AppData\Local\Temp\8F2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F2B.tmp"
        9⤵
        
        PID:4540
        
        C:\Users\Admin\AppData\Local\Temp\8F79.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F79.tmp"
        10⤵
        
        PID:2540
      - C:\Users\Admin\AppData\Local\Temp\7A9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A9A.tmp"
        6⤵
        
        PID:684
        
        C:\Users\Admin\AppData\Local\Temp\7AE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AE8.tmp"
        7⤵
        
        PID:3084
        
        C:\Users\Admin\AppData\Local\Temp\7B46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B46.tmp"
        8⤵
        
        PID:4748

C:\Users\Admin\AppData\Local\Temp\D040.tmp
"C:\Users\Admin\AppData\Local\Temp\D040.tmp"
1⤵
PID:1492
- C:\Users\Admin\AppData\Local\Temp\D08E.tmp
  "C:\Users\Admin\AppData\Local\Temp\D08E.tmp"
  2⤵
  PID:4896
- - C:\Users\Admin\AppData\Local\Temp\D0DD.tmp
    "C:\Users\Admin\AppData\Local\Temp\D0DD.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:684

C:\Users\Admin\AppData\Local\Temp\D522.tmp
"C:\Users\Admin\AppData\Local\Temp\D522.tmp"
1⤵
PID:1512
- C:\Users\Admin\AppData\Local\Temp\D570.tmp
  "C:\Users\Admin\AppData\Local\Temp\D570.tmp"
  2⤵
  PID:256
- - C:\Users\Admin\AppData\Local\Temp\D5BF.tmp
    "C:\Users\Admin\AppData\Local\Temp\D5BF.tmp"
    3⤵
    PID:2276
  - - C:\Users\Admin\AppData\Local\Temp\D60D.tmp
      "C:\Users\Admin\AppData\Local\Temp\D60D.tmp"
      4⤵
      PID:3308
    - - C:\Users\Admin\AppData\Local\Temp\D65B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D65B.tmp"
        5⤵
        
        PID:2512

C:\Users\Admin\AppData\Local\Temp\D968.tmp
"C:\Users\Admin\AppData\Local\Temp\D968.tmp"
1⤵
PID:2484
- C:\Users\Admin\AppData\Local\Temp\D9B6.tmp
  "C:\Users\Admin\AppData\Local\Temp\D9B6.tmp"
  2⤵
  PID:3276

C:\Users\Admin\AppData\Local\Temp\DA04.tmp
"C:\Users\Admin\AppData\Local\Temp\DA04.tmp"
1⤵
PID:1244
- C:\Users\Admin\AppData\Local\Temp\DA52.tmp
  "C:\Users\Admin\AppData\Local\Temp\DA52.tmp"
  2⤵
  PID:4824

C:\Users\Admin\AppData\Local\Temp\DDAE.tmp
"C:\Users\Admin\AppData\Local\Temp\DDAE.tmp"
1⤵
PID:4392
- C:\Users\Admin\AppData\Local\Temp\DDFC.tmp
  "C:\Users\Admin\AppData\Local\Temp\DDFC.tmp"
  2⤵
  PID:4584
- - C:\Users\Admin\AppData\Local\Temp\DE4A.tmp
    "C:\Users\Admin\AppData\Local\Temp\DE4A.tmp"
    3⤵
    PID:4208
  - - C:\Users\Admin\AppData\Local\Temp\DE98.tmp
      "C:\Users\Admin\AppData\Local\Temp\DE98.tmp"
      4⤵
      PID:2328
  - - C:\Users\Admin\AppData\Local\Temp\EA9E.tmp
      "C:\Users\Admin\AppData\Local\Temp\EA9E.tmp"
      4⤵
      PID:3556
    - - C:\Users\Admin\AppData\Local\Temp\EAEC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EAEC.tmp"
        5⤵
        
        PID:2100
      - C:\Users\Admin\AppData\Local\Temp\EB3B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB3B.tmp"
        6⤵
        
        PID:4032
      - C:\Users\Admin\AppData\Local\Temp\8131.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8131.tmp"
        6⤵
        
        PID:2704
        
        C:\Users\Admin\AppData\Local\Temp\817F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\817F.tmp"
        7⤵
        
        PID:3836
    - - C:\Users\Admin\AppData\Local\Temp\266F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\266F.tmp"
        5⤵
        
        PID:2716
      - C:\Users\Admin\AppData\Local\Temp\26BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\26BD.tmp"
        6⤵
        
        PID:836
        
        C:\Users\Admin\AppData\Local\Temp\26FB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\26FB.tmp"
        7⤵
        
        PID:4188
        
        C:\Users\Admin\AppData\Local\Temp\273A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\273A.tmp"
        8⤵
        
        PID:1348
      - C:\Users\Admin\AppData\Local\Temp\8A97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A97.tmp"
        6⤵
        
        PID:3220
        
        C:\Users\Admin\AppData\Local\Temp\8AE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8AE6.tmp"
        7⤵
        
        PID:4124
        
        C:\Users\Admin\AppData\Local\Temp\8B34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B34.tmp"
        8⤵
        
        PID:3884

C:\Users\Admin\AppData\Local\Temp\DEE6.tmp
"C:\Users\Admin\AppData\Local\Temp\DEE6.tmp"
1⤵
PID:1524
- C:\Users\Admin\AppData\Local\Temp\DF34.tmp
  "C:\Users\Admin\AppData\Local\Temp\DF34.tmp"
  2⤵
  PID:2616
- - C:\Users\Admin\AppData\Local\Temp\402.tmp
    "C:\Users\Admin\AppData\Local\Temp\402.tmp"
    3⤵
    PID:4452
  - - C:\Users\Admin\AppData\Local\Temp\450.tmp
      "C:\Users\Admin\AppData\Local\Temp\450.tmp"
      4⤵
      PID:2932
    - - C:\Users\Admin\AppData\Local\Temp\49F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49F.tmp"
        5⤵
        
        PID:5108
      - C:\Users\Admin\AppData\Local\Temp\4ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4ED.tmp"
        6⤵
        
        PID:256
        
        C:\Users\Admin\AppData\Local\Temp\53B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53B.tmp"
        7⤵
        
        PID:2884
        
        C:\Users\Admin\AppData\Local\Temp\589.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\589.tmp"
        8⤵
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\5D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D7.tmp"
        9⤵
        
        PID:4624
        
        C:\Users\Admin\AppData\Local\Temp\290F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\290F.tmp"
        7⤵
        
        PID:1800
        
        C:\Users\Admin\AppData\Local\Temp\295D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\295D.tmp"
        8⤵
        
        PID:4448
        
        C:\Users\Admin\AppData\Local\Temp\29BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\29BB.tmp"
        9⤵
        
        PID:3704
        
        C:\Users\Admin\AppData\Local\Temp\2A09.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A09.tmp"
        10⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\2A57.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A57.tmp"
        11⤵
        
        PID:3252
        
        C:\Users\Admin\AppData\Local\Temp\5791.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5791.tmp"
        11⤵
        
        PID:3924
        
        C:\Users\Admin\AppData\Local\Temp\57DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57DF.tmp"
        12⤵
        
        PID:5000
        
        C:\Users\Admin\AppData\Local\Temp\582D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\582D.tmp"
        13⤵
        
        PID:332
        
        C:\Users\Admin\AppData\Local\Temp\587B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\587B.tmp"
        14⤵
        
        PID:3260
        
        C:\Users\Admin\AppData\Local\Temp\7932.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7932.tmp"
        15⤵
        
        PID:2848
        
        C:\Users\Admin\AppData\Local\Temp\82A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82A8.tmp"
        12⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\6184.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6184.tmp"
        9⤵
        
        PID:656
        
        C:\Users\Admin\AppData\Local\Temp\61D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\61D2.tmp"
        10⤵
        
        PID:896
        
        C:\Users\Admin\AppData\Local\Temp\6220.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6220.tmp"
        11⤵
        
        PID:968
      - C:\Users\Admin\AppData\Local\Temp\1D47.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D47.tmp"
        6⤵
        
        PID:3220
        
        C:\Users\Admin\AppData\Local\Temp\1D95.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D95.tmp"
        7⤵
        
        PID:4468
        
        C:\Users\Admin\AppData\Local\Temp\1DE3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DE3.tmp"
        8⤵
        
        PID:3608
- C:\Users\Admin\AppData\Local\Temp\EFF.tmp
  "C:\Users\Admin\AppData\Local\Temp\EFF.tmp"
  2⤵
  PID:5104
- - C:\Users\Admin\AppData\Local\Temp\F4D.tmp
    "C:\Users\Admin\AppData\Local\Temp\F4D.tmp"
    3⤵
    PID:940
  - - C:\Users\Admin\AppData\Local\Temp\F9B.tmp
      "C:\Users\Admin\AppData\Local\Temp\F9B.tmp"
      4⤵
      PID:644
    - - C:\Users\Admin\AppData\Local\Temp\FE9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE9.tmp"
        5⤵
        
        PID:4668
      - C:\Users\Admin\AppData\Local\Temp\1037.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1037.tmp"
        6⤵
        
        PID:4744
        
        C:\Users\Admin\AppData\Local\Temp\1085.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1085.tmp"
        7⤵
        
        PID:2436
        
        C:\Users\Admin\AppData\Local\Temp\10D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\10D4.tmp"
        8⤵
        
        PID:2112
        
        C:\Users\Admin\AppData\Local\Temp\1122.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1122.tmp"
        9⤵
        
        PID:3884
    - - C:\Users\Admin\AppData\Local\Temp\48CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\48CC.tmp"
        5⤵
        
        PID:3156
  - - C:\Users\Admin\AppData\Local\Temp\3D91.tmp
      "C:\Users\Admin\AppData\Local\Temp\3D91.tmp"
      4⤵
      PID:2632
    - - C:\Users\Admin\AppData\Local\Temp\3DCF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3DCF.tmp"
        5⤵
        
        PID:3900
      - C:\Users\Admin\AppData\Local\Temp\3E1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E1D.tmp"
        6⤵
        
        PID:2036
- - C:\Users\Admin\AppData\Local\Temp\3275.tmp
    "C:\Users\Admin\AppData\Local\Temp\3275.tmp"
    3⤵
    PID:836
  - - C:\Users\Admin\AppData\Local\Temp\32C3.tmp
      "C:\Users\Admin\AppData\Local\Temp\32C3.tmp"
      4⤵
      PID:4188

C:\Users\Admin\AppData\Local\Temp\F194.tmp
"C:\Users\Admin\AppData\Local\Temp\F194.tmp"
1⤵
PID:1292
- C:\Users\Admin\AppData\Local\Temp\F1E2.tmp
  "C:\Users\Admin\AppData\Local\Temp\F1E2.tmp"
  2⤵
  PID:3076
- - C:\Users\Admin\AppData\Local\Temp\F230.tmp
    "C:\Users\Admin\AppData\Local\Temp\F230.tmp"
    3⤵
    PID:4628
- - C:\Users\Admin\AppData\Local\Temp\FE46.tmp
    "C:\Users\Admin\AppData\Local\Temp\FE46.tmp"
    3⤵
    PID:4628
  - - C:\Users\Admin\AppData\Local\Temp\FE94.tmp
      "C:\Users\Admin\AppData\Local\Temp\FE94.tmp"
      4⤵
      PID:2920

C:\Users\Admin\AppData\Local\Temp\F453.tmp
"C:\Users\Admin\AppData\Local\Temp\F453.tmp"
1⤵
PID:1784
- C:\Users\Admin\AppData\Local\Temp\F4A1.tmp
  "C:\Users\Admin\AppData\Local\Temp\F4A1.tmp"
  2⤵
  PID:4500
- - C:\Users\Admin\AppData\Local\Temp\F4EF.tmp
    "C:\Users\Admin\AppData\Local\Temp\F4EF.tmp"
    3⤵
    PID:4800
  - - C:\Users\Admin\AppData\Local\Temp\F53D.tmp
      "C:\Users\Admin\AppData\Local\Temp\F53D.tmp"
      4⤵
      PID:1856
  - - C:\Users\Admin\AppData\Local\Temp\DC6.tmp
      "C:\Users\Admin\AppData\Local\Temp\DC6.tmp"
      4⤵
      PID:1856
    - - C:\Users\Admin\AppData\Local\Temp\E14.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E14.tmp"
        5⤵
        
        PID:3768
      - C:\Users\Admin\AppData\Local\Temp\E63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E63.tmp"
        6⤵
        
        PID:2328
        
        C:\Users\Admin\AppData\Local\Temp\EB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB1.tmp"
        7⤵
        
        PID:1524
        
        C:\Users\Admin\AppData\Local\Temp\560A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\560A.tmp"
        8⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\5658.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5658.tmp"
        9⤵
        
        PID:3836
        
        C:\Users\Admin\AppData\Local\Temp\4793.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4793.tmp"
        7⤵
        
        PID:3688
        
        C:\Users\Admin\AppData\Local\Temp\47E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47E1.tmp"
        8⤵
        
        PID:3012
        
        C:\Users\Admin\AppData\Local\Temp\482F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\482F.tmp"
        9⤵
        
        PID:3556
        
        C:\Users\Admin\AppData\Local\Temp\6A00.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A00.tmp"
        10⤵
        
        PID:644
        
        C:\Users\Admin\AppData\Local\Temp\6A3E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A3E.tmp"
        11⤵
        
        PID:3156
        
        C:\Users\Admin\AppData\Local\Temp\91EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\91EA.tmp"
        11⤵
        
        PID:3584
        
        C:\Users\Admin\AppData\Local\Temp\9239.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9239.tmp"
        12⤵
        
        PID:4604
        
        C:\Users\Admin\AppData\Local\Temp\9287.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9287.tmp"
        13⤵
        
        PID:3384
      - C:\Users\Admin\AppData\Local\Temp\535B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\535B.tmp"
        6⤵
        
        PID:4216
        
        C:\Users\Admin\AppData\Local\Temp\53A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53A9.tmp"
        7⤵
        
        PID:3384
        
        C:\Users\Admin\AppData\Local\Temp\92D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\92D5.tmp"
        8⤵
        
        PID:4588
        
        C:\Users\Admin\AppData\Local\Temp\9323.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9323.tmp"
        9⤵
        
        PID:2000
        
        C:\Users\Admin\AppData\Local\Temp\9371.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9371.tmp"
        10⤵
        
        PID:2332

C:\Users\Admin\AppData\Local\Temp\F6C4.tmp
"C:\Users\Admin\AppData\Local\Temp\F6C4.tmp"
1⤵
PID:3532
- C:\Users\Admin\AppData\Local\Temp\F712.tmp
  "C:\Users\Admin\AppData\Local\Temp\F712.tmp"
  2⤵
  PID:4632
- - C:\Users\Admin\AppData\Local\Temp\F760.tmp
    "C:\Users\Admin\AppData\Local\Temp\F760.tmp"
    3⤵
    PID:2076
  - - C:\Users\Admin\AppData\Local\Temp\F7AE.tmp
      "C:\Users\Admin\AppData\Local\Temp\F7AE.tmp"
      4⤵
      PID:2436

C:\Users\Admin\AppData\Local\Temp\F83B.tmp
"C:\Users\Admin\AppData\Local\Temp\F83B.tmp"
1⤵
PID:256
- C:\Users\Admin\AppData\Local\Temp\F879.tmp
  "C:\Users\Admin\AppData\Local\Temp\F879.tmp"
  2⤵
  PID:2692
- - C:\Users\Admin\AppData\Local\Temp\F8C7.tmp
    "C:\Users\Admin\AppData\Local\Temp\F8C7.tmp"
    3⤵
    PID:4448
  - - C:\Users\Admin\AppData\Local\Temp\F915.tmp
      "C:\Users\Admin\AppData\Local\Temp\F915.tmp"
      4⤵
      Executes dropped EXE
      PID:3704
    - - C:\Users\Admin\AppData\Local\Temp\F964.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F964.tmp"
        5⤵
        
        PID:2512
      - C:\Users\Admin\AppData\Local\Temp\F9B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9B2.tmp"
        6⤵
        
        PID:4120
        
        C:\Users\Admin\AppData\Local\Temp\FA00.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA00.tmp"
        7⤵
        
        PID:1080
        
        C:\Users\Admin\AppData\Local\Temp\1EBE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1EBE.tmp"
        8⤵
        
        PID:5000
        
        C:\Users\Admin\AppData\Local\Temp\1F0C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F0C.tmp"
        9⤵
        
        PID:3052
        
        C:\Users\Admin\AppData\Local\Temp\2B8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B8F.tmp"
        10⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\2BDD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2BDD.tmp"
        11⤵
        
        PID:3008
        
        C:\Users\Admin\AppData\Local\Temp\2C2C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C2C.tmp"
        12⤵
        
        PID:2736
        
        C:\Users\Admin\AppData\Local\Temp\2C7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C7A.tmp"
        13⤵
        
        PID:3444
        
        C:\Users\Admin\AppData\Local\Temp\2CC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2CC8.tmp"
        14⤵
        
        PID:3148
        
        C:\Users\Admin\AppData\Local\Temp\42A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42A2.tmp"
        12⤵
        
        PID:3276
        
        C:\Users\Admin\AppData\Local\Temp\42F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42F0.tmp"
        13⤵
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\4ED7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4ED7.tmp"
        14⤵
        
        PID:1540
        
        C:\Users\Admin\AppData\Local\Temp\4F25.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F25.tmp"
        15⤵
        
        PID:4824

C:\Users\Admin\AppData\Local\Temp\F7FC.tmp
"C:\Users\Admin\AppData\Local\Temp\F7FC.tmp"
1⤵
PID:2112

C:\Users\Admin\AppData\Local\Temp\FFCC.tmp
"C:\Users\Admin\AppData\Local\Temp\FFCC.tmp"
1⤵
PID:2540
- C:\Users\Admin\AppData\Local\Temp\1A.tmp
  "C:\Users\Admin\AppData\Local\Temp\1A.tmp"
  2⤵
  PID:1100
- - C:\Users\Admin\AppData\Local\Temp\68.tmp
    "C:\Users\Admin\AppData\Local\Temp\68.tmp"
    3⤵
    PID:1784
  - - C:\Users\Admin\AppData\Local\Temp\A7.tmp
      "C:\Users\Admin\AppData\Local\Temp\A7.tmp"
      4⤵
      PID:996
- - C:\Users\Admin\AppData\Local\Temp\46A9.tmp
    "C:\Users\Admin\AppData\Local\Temp\46A9.tmp"
    3⤵
    PID:504
  - - C:\Users\Admin\AppData\Local\Temp\46F7.tmp
      "C:\Users\Admin\AppData\Local\Temp\46F7.tmp"
      4⤵
      PID:4712
    - - C:\Users\Admin\AppData\Local\Temp\4745.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4745.tmp"
        5⤵
        
        PID:2328

C:\Users\Admin\AppData\Local\Temp\1B72.tmp
"C:\Users\Admin\AppData\Local\Temp\1B72.tmp"
1⤵
PID:4548
- C:\Users\Admin\AppData\Local\Temp\1BC0.tmp
  "C:\Users\Admin\AppData\Local\Temp\1BC0.tmp"
  2⤵
  PID:1380

C:\Users\Admin\AppData\Local\Temp\1C0F.tmp
"C:\Users\Admin\AppData\Local\Temp\1C0F.tmp"
1⤵
PID:4632
- C:\Users\Admin\AppData\Local\Temp\1C5D.tmp
  "C:\Users\Admin\AppData\Local\Temp\1C5D.tmp"
  2⤵
  PID:4452
- - C:\Users\Admin\AppData\Local\Temp\1CAB.tmp
    "C:\Users\Admin\AppData\Local\Temp\1CAB.tmp"
    3⤵
    PID:2932
  - - C:\Users\Admin\AppData\Local\Temp\1CF9.tmp
      "C:\Users\Admin\AppData\Local\Temp\1CF9.tmp"
      4⤵
      PID:5108
  - - C:\Users\Admin\AppData\Local\Temp\3498.tmp
      "C:\Users\Admin\AppData\Local\Temp\3498.tmp"
      4⤵
      PID:3264
    - - C:\Users\Admin\AppData\Local\Temp\34E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\34E6.tmp"
        5⤵
        
        PID:3220
      - C:\Users\Admin\AppData\Local\Temp\3534.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3534.tmp"
        6⤵
        
        PID:3760
- - C:\Users\Admin\AppData\Local\Temp\3EBA.tmp
    "C:\Users\Admin\AppData\Local\Temp\3EBA.tmp"
    3⤵
    PID:256
  - - C:\Users\Admin\AppData\Local\Temp\3EF8.tmp
      "C:\Users\Admin\AppData\Local\Temp\3EF8.tmp"
      4⤵
      PID:4624

C:\Users\Admin\AppData\Local\Temp\2268.tmp
"C:\Users\Admin\AppData\Local\Temp\2268.tmp"
1⤵
PID:904
- C:\Users\Admin\AppData\Local\Temp\22A6.tmp
  "C:\Users\Admin\AppData\Local\Temp\22A6.tmp"
  2⤵
  PID:216
- - C:\Users\Admin\AppData\Local\Temp\7DA7.tmp
    "C:\Users\Admin\AppData\Local\Temp\7DA7.tmp"
    3⤵
    PID:836
  - - C:\Users\Admin\AppData\Local\Temp\7DF5.tmp
      "C:\Users\Admin\AppData\Local\Temp\7DF5.tmp"
      4⤵
      PID:1856
- C:\Users\Admin\AppData\Local\Temp\2E9D.tmp
  "C:\Users\Admin\AppData\Local\Temp\2E9D.tmp"
  2⤵
  PID:4628
- - C:\Users\Admin\AppData\Local\Temp\2EEB.tmp
    "C:\Users\Admin\AppData\Local\Temp\2EEB.tmp"
    3⤵
    PID:3692
  - - C:\Users\Admin\AppData\Local\Temp\2F39.tmp
      "C:\Users\Admin\AppData\Local\Temp\2F39.tmp"
      4⤵
      PID:5004
    - - C:\Users\Admin\AppData\Local\Temp\67DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\67DD.tmp"
        5⤵
        
        PID:996
      - C:\Users\Admin\AppData\Local\Temp\682B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\682B.tmp"
        6⤵
        
        PID:3668

C:\Users\Admin\AppData\Local\Temp\22F4.tmp
"C:\Users\Admin\AppData\Local\Temp\22F4.tmp"
1⤵
PID:3692
- C:\Users\Admin\AppData\Local\Temp\2342.tmp
  "C:\Users\Admin\AppData\Local\Temp\2342.tmp"
  2⤵
  PID:4064

C:\Users\Admin\AppData\Local\Temp\249A.tmp
"C:\Users\Admin\AppData\Local\Temp\249A.tmp"
1⤵
PID:972
- C:\Users\Admin\AppData\Local\Temp\24E8.tmp
  "C:\Users\Admin\AppData\Local\Temp\24E8.tmp"
  2⤵
  PID:3300
- - C:\Users\Admin\AppData\Local\Temp\2536.tmp
    "C:\Users\Admin\AppData\Local\Temp\2536.tmp"
    3⤵
    PID:4500
- C:\Users\Admin\AppData\Local\Temp\30B0.tmp
  "C:\Users\Admin\AppData\Local\Temp\30B0.tmp"
  2⤵
  PID:3668
- - C:\Users\Admin\AppData\Local\Temp\30FE.tmp
    "C:\Users\Admin\AppData\Local\Temp\30FE.tmp"
    3⤵
    PID:4500
  - - C:\Users\Admin\AppData\Local\Temp\313C.tmp
      "C:\Users\Admin\AppData\Local\Temp\313C.tmp"
      4⤵
      PID:1208
    - - C:\Users\Admin\AppData\Local\Temp\318B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\318B.tmp"
        5⤵
        
        PID:5056
      - C:\Users\Admin\AppData\Local\Temp\31D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\31D9.tmp"
        6⤵
        
        PID:3556

C:\Users\Admin\AppData\Local\Temp\335F.tmp
"C:\Users\Admin\AppData\Local\Temp\335F.tmp"
1⤵
PID:2616
- C:\Users\Admin\AppData\Local\Temp\33AD.tmp
  "C:\Users\Admin\AppData\Local\Temp\33AD.tmp"
  2⤵
  PID:4744
- - C:\Users\Admin\AppData\Local\Temp\33FC.tmp
    "C:\Users\Admin\AppData\Local\Temp\33FC.tmp"
    3⤵
    PID:2692
- - C:\Users\Admin\AppData\Local\Temp\4A43.tmp
    "C:\Users\Admin\AppData\Local\Temp\4A43.tmp"
    3⤵
    PID:2276
  - - C:\Users\Admin\AppData\Local\Temp\4A91.tmp
      "C:\Users\Admin\AppData\Local\Temp\4A91.tmp"
      4⤵
      PID:4624
    - - C:\Users\Admin\AppData\Local\Temp\4ADF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4ADF.tmp"
        5⤵
        
        PID:2932

C:\Users\Admin\AppData\Local\Temp\39A9.tmp
"C:\Users\Admin\AppData\Local\Temp\39A9.tmp"
1⤵
PID:4232
- C:\Users\Admin\AppData\Local\Temp\39F7.tmp
  "C:\Users\Admin\AppData\Local\Temp\39F7.tmp"
  2⤵
  PID:1788
- - C:\Users\Admin\AppData\Local\Temp\3A35.tmp
    "C:\Users\Admin\AppData\Local\Temp\3A35.tmp"
    3⤵
    PID:3528

C:\Users\Admin\AppData\Local\Temp\62BC.tmp
"C:\Users\Admin\AppData\Local\Temp\62BC.tmp"
1⤵
PID:1916
- C:\Users\Admin\AppData\Local\Temp\630A.tmp
  "C:\Users\Admin\AppData\Local\Temp\630A.tmp"
  2⤵
  PID:3704
- - C:\Users\Admin\AppData\Local\Temp\6359.tmp
    "C:\Users\Admin\AppData\Local\Temp\6359.tmp"
    3⤵
    PID:1072

C:\Users\Admin\AppData\Local\Temp\63F5.tmp
"C:\Users\Admin\AppData\Local\Temp\63F5.tmp"
1⤵
PID:3084
- C:\Users\Admin\AppData\Local\Temp\6443.tmp
  "C:\Users\Admin\AppData\Local\Temp\6443.tmp"
  2⤵
  PID:5052

C:\Users\Admin\AppData\Local\Temp\6AEA.tmp
"C:\Users\Admin\AppData\Local\Temp\6AEA.tmp"
1⤵
PID:2036
- C:\Users\Admin\AppData\Local\Temp\6B38.tmp
  "C:\Users\Admin\AppData\Local\Temp\6B38.tmp"
  2⤵
  PID:2884
- - C:\Users\Admin\AppData\Local\Temp\6B86.tmp
    "C:\Users\Admin\AppData\Local\Temp\6B86.tmp"
    3⤵
    PID:4468

C:\Users\Admin\AppData\Local\Temp\6D0D.tmp
"C:\Users\Admin\AppData\Local\Temp\6D0D.tmp"
1⤵
PID:3884
- C:\Users\Admin\AppData\Local\Temp\6D5B.tmp
  "C:\Users\Admin\AppData\Local\Temp\6D5B.tmp"
  2⤵
  PID:2772
- - C:\Users\Admin\AppData\Local\Temp\6DA9.tmp
    "C:\Users\Admin\AppData\Local\Temp\6DA9.tmp"
    3⤵
    PID:3608
- - C:\Users\Admin\AppData\Local\Temp\8BD0.tmp
    "C:\Users\Admin\AppData\Local\Temp\8BD0.tmp"
    3⤵
    PID:1352
  - - C:\Users\Admin\AppData\Local\Temp\8C1E.tmp
      "C:\Users\Admin\AppData\Local\Temp\8C1E.tmp"
      4⤵
      PID:3276

C:\Users\Admin\AppData\Local\Temp\7105.tmp
"C:\Users\Admin\AppData\Local\Temp\7105.tmp"
1⤵
PID:1492
- C:\Users\Admin\AppData\Local\Temp\7153.tmp
  "C:\Users\Admin\AppData\Local\Temp\7153.tmp"
  2⤵
  PID:2540

C:\Users\Admin\AppData\Local\Temp\7683.tmp
"C:\Users\Admin\AppData\Local\Temp\7683.tmp"
1⤵
PID:2456
- C:\Users\Admin\AppData\Local\Temp\76D1.tmp
  "C:\Users\Admin\AppData\Local\Temp\76D1.tmp"
  2⤵
  PID:4912

C:\Users\Admin\AppData\Local\Temp\7FBA.tmp
"C:\Users\Admin\AppData\Local\Temp\7FBA.tmp"
1⤵
PID:4468
- C:\Users\Admin\AppData\Local\Temp\8008.tmp
  "C:\Users\Admin\AppData\Local\Temp\8008.tmp"
  2⤵
  PID:656

C:\Users\Admin\AppData\Local\Temp\8558.tmp
"C:\Users\Admin\AppData\Local\Temp\8558.tmp"
1⤵
PID:3564
- C:\Users\Admin\AppData\Local\Temp\85A6.tmp
  "C:\Users\Admin\AppData\Local\Temp\85A6.tmp"
  2⤵
  PID:2484

C:\Users\Admin\AppData\Local\Temp\895F.tmp
"C:\Users\Admin\AppData\Local\Temp\895F.tmp"
1⤵
PID:828
- C:\Users\Admin\AppData\Local\Temp\89AD.tmp
  "C:\Users\Admin\AppData\Local\Temp\89AD.tmp"
  2⤵
  PID:436
- - C:\Users\Admin\AppData\Local\Temp\89FB.tmp
    "C:\Users\Admin\AppData\Local\Temp\89FB.tmp"
    3⤵
    PID:4448

C:\Users\Admin\AppData\Local\Temp\940D.tmp
"C:\Users\Admin\AppData\Local\Temp\940D.tmp"
1⤵
PID:2444
- C:\Users\Admin\AppData\Local\Temp\945B.tmp
  "C:\Users\Admin\AppData\Local\Temp\945B.tmp"
  2⤵
  PID:2032
- - C:\Users\Admin\AppData\Local\Temp\94AA.tmp
    "C:\Users\Admin\AppData\Local\Temp\94AA.tmp"
    3⤵
    PID:2384

C:\Users\Admin\AppData\Local\Temp\967E.tmp
"C:\Users\Admin\AppData\Local\Temp\967E.tmp"
1⤵
PID:1524
- C:\Users\Admin\AppData\Local\Temp\96CC.tmp
  "C:\Users\Admin\AppData\Local\Temp\96CC.tmp"
  2⤵
  PID:896

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\495D.tmp

Filesize
486KB

MD5
f8e7abd25779124045e8a025762d9fe5

SHA1
6132b68d9cbf9f7d39f8962edff2025ee66d460f

SHA256
28f3b3dfafa61d9aec22d509c360885418b01ebcad456ace5722d6a60e2152df

SHA512
9287f277192e2a7ad7a6f5403fd93b2d50dd3915d5d32d886ec52287d872cfc2e19fad904ebf4ecf5e109e4a3954e1c7cd061e2bd536b244697b98339cd1c2a1

Download Submit
C:\Users\Admin\AppData\Local\Temp\49BB.tmp

Filesize
486KB

MD5
8fcfb6add6d23ff914df1bebd01f5c13

SHA1
ffc7a57adccef90d881fbf1b2955682a5bba88b9

SHA256
ecd0633fe5ad40333a064ca390a6c19808f3efff80888facac9deb3486f0ecc8

SHA512
360c356215dcaef3af977a92b988e1918b363578deee7abc1351e27678a114e04b3b2669595d6300f64f98768905562fc026007b3810a6753dc51cde65a58ef2

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A09.tmp

Filesize
486KB

MD5
13db748b1de91dc14863570ba9c78fb8

SHA1
f1d9dcfe9a48431c8ff555dacf06106c59187310

SHA256
907039ea3cd8567f0e6ddb274977c56a180ec0d9acb3b0de36371f71525ea4d0

SHA512
df78d7c01b9a38c4d456b0bd59dbe6eddf7122b7a439f1eade1b179acd4344b9f140b8b5a231d39c2e4490837c1ded3409bb30d3fecd6b1b7c1de616a3fb416c

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A57.tmp

Filesize
486KB

MD5
3755b983cc8286a5c92cef901dda8af7

SHA1
3e1e9413c9d9c3845bca6a811c02dd982afd889d

SHA256
13a83e70ff5d96a297d18b151d7f9f627c44bb67b29683df50c1f0a942ccb876

SHA512
6182fd8f6f927388c9b128337bd7c252d87fdddb20aacab3acc0696e4c973ecc00d24a8323048f66cb3d4ef1acaad73a37a0bc8da6f0181c687c3390de08d87e

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A57.tmp

Filesize
381KB

MD5
9835cda00f10d952776314ec407822c7

SHA1
1174946aefd282d117dcb69eb7a087652aedc6b7

SHA256
aaac1a01ae66b1d656418704cb4dc990ec8185171097b6416c1973634deaddb6

SHA512
a8c1b506400208ada1329c35a111cc056a59b00238db20640e8d30b08c673fae5e5b7020d8db0974b2ae8b696cd08d94a960d2a877b8b10b110648ca421d414b

Download Submit
C:\Users\Admin\AppData\Local\Temp\4AA5.tmp

Filesize
381KB

MD5
4d302aa2548caf6e0f0b20c2fbf0cff6

SHA1
ffec931404555a77d519e8efe2e0e494a4ea8b3e

SHA256
91736644f1c76f49068d3f7c2a7df3ba7c77e4e16b302b5f13130aaf4c4f780a

SHA512
1d1951da7d2f433b30ce27d82cfde4bdf90eb33bd8f84e6a013c2e8b533b9f25396ec7b20fd0f79673187310c22acc7cc079dfa9fcb310c6c65298908ddb451b

Download Submit
C:\Users\Admin\AppData\Local\Temp\4AA5.tmp

Filesize
92KB

MD5
9508f0a03b873df2e238b9ed667ec563

SHA1
c65f85f219b0ce6a6f8779d37ddf67b57f6ca061

SHA256
ce014192893b902d3a2959cb4ab7cfc333569ca89e8c05acf662f041db39d6dc

SHA512
fda1afa5f3e667cb9bcd78d40aad10ade25831ce7165e97031c90259e2384bc1853df671e7f1013073eca871673559e95f662a638d9e5e2fbbe9f1fd482309a5

Download Submit
C:\Users\Admin\AppData\Local\Temp\4AF3.tmp

Filesize
486KB

MD5
382d5bd43bd33b06546cb315a23173db

SHA1
bf36f69cd4fbe1a145fed62cc13c6f133919258b

SHA256
c6fe878b268083a224ca7851df5cbd0d80a8db6bb12bc215763d7662b1815e8d

SHA512
6c00084e3719e026f44b8a4a944909051f5e643089d71628bd92ef1ea2dd50f12a32e1922334cdf081b3cbaa66d2882f98cd77b7712cb8283470cced9d65108f

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B41.tmp

Filesize
486KB

MD5
d0c65ab77a9a710aa81d073facec488a

SHA1
edbe61b6c5d6b59a7ac8af36a0366fce50defc2e

SHA256
38d7e1437e829fd4c63296703ce089f472e9a99821fe78a55b4f27d39cb04072

SHA512
860f5a2aa4b3167efae27bbc0b993c5dcca2ca1c20899dcd20fe03ff0279053497e7329c80b3ac991875910c2b28527862703eced035fab63abac7e845190dec

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C7A.tmp

Filesize
486KB

MD5
c15493b4466ca0941cb8bb9dc9e66fc7

SHA1
2f7b14e47b1ea81a249b726d8b605fb9eda5496f

SHA256
166f4c3b4881cbb2b7760cdfc590357304b07a44b981b78060cb8eb192d59803

SHA512
ac26ddea86c493c590bc80c1f929b8ee5668aa61f6b13d0b57457eacc8d0e43fef21877ac2d688c39bf84dc661d6e5dce094cee6a6a8d0edb2ea69006f6faeb8

Download Submit
C:\Users\Admin\AppData\Local\Temp\4CB8.tmp

Filesize
486KB

MD5
ef354c212c64d6a46705e4368522ca85

SHA1
8e30a685e65a7c31a091c402a515fc15bc58a210

SHA256
3be8d44da881a023078772f74e7120dcb6c5d95f2c6657f98ee044a07ab8fcc4

SHA512
7219ee67ef1013a4a6be4cc5aacd3f1e7bf8f2c21a879b99ea2111905e89b32c2a5f4ba05c8601bd7f8a23dbe67ac4ed4c0d7c88097b1876e8071f8394e499b4

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D55.tmp

Filesize
486KB

MD5
669ac3e2af6d829e5e974827b279ccd7

SHA1
817b2809aa24ef91575e44dbe328c2818d4af333

SHA256
697c914c06ea2e10a79bb307439772810febaf54ae073e325909d0437b4a6425

SHA512
2986ef5078c7c6a1d41e0c45cdc6478c87e0d3f3084256f2e422bb6064df3037c157db743f562c59a837cf9ea8f36fee148b71b77e237d2b4781969e4d0df66b

Download Submit
C:\Users\Admin\AppData\Local\Temp\4DA3.tmp

Filesize
486KB

MD5
e4f21fa5e7dfc02e18295583ca1d35d6

SHA1
7507cdb45d7ed8d2d87ad43bd753f0cf98068cf2

SHA256
ec0d94a933e4921245f69c1eb5c521a57e8c2a9fc328fdf3bd99e1f406bb6a91

SHA512
80320b62af67a3edb43d12c97f9f822a7e7b62b138a0b6ef20f795fe2c2ed44bbbf84c15d436ce77725e17cccf1fc22f1c2b7ac4271db09be2940b70b43425ea

Download Submit
C:\Users\Admin\AppData\Local\Temp\4E3F.tmp

Filesize
486KB

MD5
f98bc802244dc8c3606b603318bddbda

SHA1
7258577f6379d21229311d3b507fadac1a492b42

SHA256
edc03b659a483916a945c169276dc7e546ecdad0c1f1d5805e97a7e3d0cc7362

SHA512
724713e899f078f8d28ca0a34de8ecd467fdaded5c35cd11dfd0ec7edcafa17e3424507483b1cede1f2dc8679e6b93e7bcdbdf2a644b8c9d5c06b56fc93056a3

Download Submit
C:\Users\Admin\AppData\Local\Temp\4E8D.tmp

Filesize
486KB

MD5
4ebbeb93fa5f2d0d464a0edf7dc85c07

SHA1
22ab91a9a19824e11a4ec791842d6894264ead99

SHA256
f02e9e9e74d9a87a972008a2c1f7635cd02aac5964cf00f08314b7477c4d73da

SHA512
4b33427d2eaa040e1d07a0c29d3e99d07a5063e49646ce5b9526df85465103a8c5a1d362491262c12f2b3caa71427e9cb78915ea127673de6c11bacb8979e9b7

Download Submit
C:\Users\Admin\AppData\Local\Temp\4FF5.tmp

Filesize
486KB

MD5
3d198e95a21c24fa85858c2451ec2553

SHA1
b54185cde05d8e9eb2950481538ed63590d899b1

SHA256
294d6d5e056fe4997ccae768ead9707ea6799c4eec05223c4826a40b8cc5aae9

SHA512
9454bc68d88b9d52ae1d51c8565a2cb061ba3f46e9e745e4ba0904d5b18f3cd7c57589fc0752f03ddf6831d1f2d68d3a2e955ed654a2eb9870a76c95a3920035

Download Submit
C:\Users\Admin\AppData\Local\Temp\538E.tmp

Filesize
486KB

MD5
c12e550feb866190db1c40e154a9ca04

SHA1
d3ed10701d3b18c64e14a0b35c257bf3918309dc

SHA256
d5f4646091b7b821cc6afa4c2a0de65057d2b814b6b01ec3be0592f1ff80933c

SHA512
4143af9fb290a9dd6b78a7c07ca780be26b92f7bb0a4eb802e6c549c156c228f0d5eebdee9b85c48389193c8212118c59863dc9096052f25511e7a797c88c3ce

Download Submit
C:\Users\Admin\AppData\Local\Temp\53CD.tmp

Filesize
486KB

MD5
031fde4a49469cac8a52ec57ed142f0e

SHA1
0950563243c2605ac3a11dfb931a15ffe6cfd3f4

SHA256
cd2aa9a892577b6bad70ae0595552bd39505874d2de3c70808a8134d07697dbd

SHA512
879eef134f4d40ce51cdda069005b9aa4f7c1e6917ffd981bed32a67fa67a790b77feabd3977c17622c6ec45bc1fc0d89271ca55cf73bca33a67e3d28eb7ae7c

Download Submit
C:\Users\Admin\AppData\Local\Temp\5469.tmp

Filesize
486KB

MD5
e285a2526219f5b11e4c1784e77298f1

SHA1
ce41f2d05159697d6dc3a7cabb733ec5e29867e7

SHA256
329d891d9101a0ece1fe8fbcf07c51e21169099a1fd337447cda21db3139909c

SHA512
b044b50e7a0884414d716b5570b1b40afdc928ee8e545268990d7ba51123305dcc77189867e23fc1dd199031d2c1ba7fab8619530716b01ffd904a20c2ceefad

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads