10df68ab2dc51c401f6e8e99c9a07f56ed3ba0989be1967fab3867379edabb49

Analysis

max time kernel
150s
max time network
154s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
10/01/2024, 05:59

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

2024-01-09_a1d849dec66eb09af9b864aeeee4b3d3_mafia.exe
Size

486KB
MD5

a1d849dec66eb09af9b864aeeee4b3d3
SHA1

40d51f96e8fc8f71c89b72a1b87b3465fd4aae4f
SHA256

10df68ab2dc51c401f6e8e99c9a07f56ed3ba0989be1967fab3867379edabb49
SHA512

99cb5b4e6d0fe082f3e9972dcfe332ed2ec588c754ff55c91d9c08065468db43ddb0d5df9f50d31485d33f6eb4938874add8fa598e3af4cd0b17ec2f380726ae
SSDEEP

12288:/U5rCOTeiDRuSxYP+XTHlt326fxMlqzNZ:/UQOJDRukYPot3X1zN

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
4216	3C4D.tmp
3792	3CAB.tmp
2428	6BF8.tmp
2452	829D.tmp
3076	3E8F.tmp
2572	3EDE.tmp
1496	3F5B.tmp
1960	3FA9.tmp
1532	3FF7.tmp
3960	4045.tmp
4252	4093.tmp
4140	40F1.tmp
1448	413F.tmp
4324	419D.tmp
1376	41EB.tmp
3220	4239.tmp
1404	4287.tmp
3936	42D5.tmp
512	4323.tmp
4656	8637.tmp
3188	43C0.tmp
4480	440E.tmp
1892	445C.tmp
2584	A3A2.tmp
1772	BEAC.tmp
2280	4546.tmp
3324	4594.tmp
3728	45E2.tmp
4560	4631.tmp
1604	467F.tmp
4500	46CD.tmp
5060	471B.tmp
4368	4769.tmp
2388	B640.tmp
5084	5331.tmp
452	4853.tmp
3740	A901.tmp
556	48F0.tmp
4552	493E.tmp
2300	498C.tmp
3436	49DA.tmp
3000	4A28.tmp
2712	4A76.tmp
1792	4AC4.tmp
1668	BA76.tmp
3816	4B61.tmp
1648	6225.tmp
4556	6292.tmp
4768	4C4B.tmp
1936	B8F0.tmp
3508	7ABE.tmp
3404	6467.tmp
2228	4D84.tmp
2444	4DD2.tmp
3660	8F8E.tmp
1128	4E6E.tmp
2780	4EBC.tmp
228	902A.tmp
3028	BDC2.tmp
1828	4F97.tmp
1200	WaaSMedicAgent.exe
1056	BE5E.tmp
2172	A43F.tmp
3244	BF97.tmp

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2244 wrote to memory of 4216	2244	8A4E.tmp	459
PID 2244 wrote to memory of 4216	2244	8A4E.tmp	459
PID 2244 wrote to memory of 4216	2244	8A4E.tmp	459
PID 4216 wrote to memory of 3792	4216	3C4D.tmp	458
PID 4216 wrote to memory of 3792	4216	3C4D.tmp	458
PID 4216 wrote to memory of 3792	4216	3C4D.tmp	458
PID 3792 wrote to memory of 2428	3792	3CAB.tmp	114
PID 3792 wrote to memory of 2428	3792	3CAB.tmp	114
PID 3792 wrote to memory of 2428	3792	3CAB.tmp	114
PID 2428 wrote to memory of 2452	2428	6BF8.tmp	173
PID 2428 wrote to memory of 2452	2428	6BF8.tmp	173
PID 2428 wrote to memory of 2452	2428	6BF8.tmp	173
PID 2452 wrote to memory of 3076	2452	829D.tmp	457
PID 2452 wrote to memory of 3076	2452	829D.tmp	457
PID 2452 wrote to memory of 3076	2452	829D.tmp	457
PID 3076 wrote to memory of 2572	3076	3E8F.tmp	456
PID 3076 wrote to memory of 2572	3076	3E8F.tmp	456
PID 3076 wrote to memory of 2572	3076	3E8F.tmp	456
PID 2572 wrote to memory of 1496	2572	3EDE.tmp	454
PID 2572 wrote to memory of 1496	2572	3EDE.tmp	454
PID 2572 wrote to memory of 1496	2572	3EDE.tmp	454
PID 1496 wrote to memory of 1960	1496	3F5B.tmp	452
PID 1496 wrote to memory of 1960	1496	3F5B.tmp	452
PID 1496 wrote to memory of 1960	1496	3F5B.tmp	452
PID 1960 wrote to memory of 1532	1960	3FA9.tmp	451
PID 1960 wrote to memory of 1532	1960	3FA9.tmp	451
PID 1960 wrote to memory of 1532	1960	3FA9.tmp	451
PID 1532 wrote to memory of 3960	1532	3FF7.tmp	449
PID 1532 wrote to memory of 3960	1532	3FF7.tmp	449
PID 1532 wrote to memory of 3960	1532	3FF7.tmp	449
PID 3960 wrote to memory of 4252	3960	4045.tmp	446
PID 3960 wrote to memory of 4252	3960	4045.tmp	446
PID 3960 wrote to memory of 4252	3960	4045.tmp	446
PID 4252 wrote to memory of 4140	4252	4093.tmp	21
PID 4252 wrote to memory of 4140	4252	4093.tmp	21
PID 4252 wrote to memory of 4140	4252	4093.tmp	21
PID 4140 wrote to memory of 1448	4140	40F1.tmp	445
PID 4140 wrote to memory of 1448	4140	40F1.tmp	445
PID 4140 wrote to memory of 1448	4140	40F1.tmp	445
PID 1448 wrote to memory of 4324	1448	413F.tmp	443
PID 1448 wrote to memory of 4324	1448	413F.tmp	443
PID 1448 wrote to memory of 4324	1448	413F.tmp	443
PID 4324 wrote to memory of 1376	4324	419D.tmp	442
PID 4324 wrote to memory of 1376	4324	419D.tmp	442
PID 4324 wrote to memory of 1376	4324	419D.tmp	442
PID 1376 wrote to memory of 3220	1376	41EB.tmp	441
PID 1376 wrote to memory of 3220	1376	41EB.tmp	441
PID 1376 wrote to memory of 3220	1376	41EB.tmp	441
PID 3220 wrote to memory of 1404	3220	4239.tmp	439
PID 3220 wrote to memory of 1404	3220	4239.tmp	439
PID 3220 wrote to memory of 1404	3220	4239.tmp	439
PID 1404 wrote to memory of 3936	1404	4287.tmp	438
PID 1404 wrote to memory of 3936	1404	4287.tmp	438
PID 1404 wrote to memory of 3936	1404	4287.tmp	438
PID 3936 wrote to memory of 512	3936	42D5.tmp	437
PID 3936 wrote to memory of 512	3936	42D5.tmp	437
PID 3936 wrote to memory of 512	3936	42D5.tmp	437
PID 512 wrote to memory of 4656	512	4323.tmp	182
PID 512 wrote to memory of 4656	512	4323.tmp	182
PID 512 wrote to memory of 4656	512	4323.tmp	182
PID 4656 wrote to memory of 3188	4656	8637.tmp	433
PID 4656 wrote to memory of 3188	4656	8637.tmp	433
PID 4656 wrote to memory of 3188	4656	8637.tmp	433
PID 3188 wrote to memory of 4480	3188	43C0.tmp	431

C:\Users\Admin\AppData\Local\Temp\2024-01-09_a1d849dec66eb09af9b864aeeee4b3d3_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-09_a1d849dec66eb09af9b864aeeee4b3d3_mafia.exe"
1⤵
PID:2244

C:\Users\Admin\AppData\Local\Temp\3D09.tmp
"C:\Users\Admin\AppData\Local\Temp\3D09.tmp"
1⤵
PID:2428
- C:\Users\Admin\AppData\Local\Temp\3E41.tmp
  "C:\Users\Admin\AppData\Local\Temp\3E41.tmp"
  2⤵
  PID:2452

C:\Users\Admin\AppData\Local\Temp\40F1.tmp
"C:\Users\Admin\AppData\Local\Temp\40F1.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4140
- C:\Users\Admin\AppData\Local\Temp\413F.tmp
  "C:\Users\Admin\AppData\Local\Temp\413F.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:1448

C:\Users\Admin\AppData\Local\Temp\4371.tmp
"C:\Users\Admin\AppData\Local\Temp\4371.tmp"
1⤵
PID:4656

C:\Users\Admin\AppData\Local\Temp\44AA.tmp
"C:\Users\Admin\AppData\Local\Temp\44AA.tmp"
1⤵
PID:2584

C:\Users\Admin\AppData\Local\Temp\47B7.tmp
"C:\Users\Admin\AppData\Local\Temp\47B7.tmp"
1⤵
PID:2388
- C:\Users\Admin\AppData\Local\Temp\4805.tmp
  "C:\Users\Admin\AppData\Local\Temp\4805.tmp"
  2⤵
  PID:5084

C:\Users\Admin\AppData\Local\Temp\48A2.tmp
"C:\Users\Admin\AppData\Local\Temp\48A2.tmp"
1⤵
PID:3740
- C:\Users\Admin\AppData\Local\Temp\48F0.tmp
  "C:\Users\Admin\AppData\Local\Temp\48F0.tmp"
  2⤵
  - Executes dropped EXE
  PID:556
- - C:\Users\Admin\AppData\Local\Temp\493E.tmp
    "C:\Users\Admin\AppData\Local\Temp\493E.tmp"
    3⤵
    - Executes dropped EXE
    PID:4552
  - - C:\Users\Admin\AppData\Local\Temp\498C.tmp
      "C:\Users\Admin\AppData\Local\Temp\498C.tmp"
      4⤵
      Executes dropped EXE
      PID:2300
    - - C:\Users\Admin\AppData\Local\Temp\49DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49DA.tmp"
        5⤵
        Executes dropped EXE
        
        PID:3436
      - C:\Users\Admin\AppData\Local\Temp\4A28.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A28.tmp"
        6⤵
        Executes dropped EXE
        
        PID:3000

C:\Users\Admin\AppData\Local\Temp\4A76.tmp
"C:\Users\Admin\AppData\Local\Temp\4A76.tmp"
1⤵
- Executes dropped EXE
PID:2712
- C:\Users\Admin\AppData\Local\Temp\4AC4.tmp
  "C:\Users\Admin\AppData\Local\Temp\4AC4.tmp"
  2⤵
  - Executes dropped EXE
  PID:1792
- - C:\Users\Admin\AppData\Local\Temp\4B13.tmp
    "C:\Users\Admin\AppData\Local\Temp\4B13.tmp"
    3⤵
    PID:1668

C:\Users\Admin\AppData\Local\Temp\4BAF.tmp
"C:\Users\Admin\AppData\Local\Temp\4BAF.tmp"
1⤵
PID:1648
- C:\Users\Admin\AppData\Local\Temp\4BFD.tmp
  "C:\Users\Admin\AppData\Local\Temp\4BFD.tmp"
  2⤵
  PID:4556
- - C:\Users\Admin\AppData\Local\Temp\62E0.tmp
    "C:\Users\Admin\AppData\Local\Temp\62E0.tmp"
    3⤵
    PID:4768
  - - C:\Users\Admin\AppData\Local\Temp\632E.tmp
      "C:\Users\Admin\AppData\Local\Temp\632E.tmp"
      4⤵
      PID:1936
    - - C:\Users\Admin\AppData\Local\Temp\637D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\637D.tmp"
        5⤵
        
        PID:5088
      - C:\Users\Admin\AppData\Local\Temp\63CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\63CB.tmp"
        6⤵
        
        PID:3604
    - - C:\Users\Admin\AppData\Local\Temp\8B19.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B19.tmp"
        5⤵
        
        PID:3756
      - C:\Users\Admin\AppData\Local\Temp\8B67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B67.tmp"
        6⤵
        
        PID:1964
        
        C:\Users\Admin\AppData\Local\Temp\8BB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8BB5.tmp"
        7⤵
        
        PID:4824
        
        C:\Users\Admin\AppData\Local\Temp\8C04.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C04.tmp"
        8⤵
        
        PID:3444
        
        C:\Users\Admin\AppData\Local\Temp\8C52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C52.tmp"
        9⤵
        
        PID:208
        
        C:\Users\Admin\AppData\Local\Temp\8CA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8CA0.tmp"
        10⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\B277.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B277.tmp"
        11⤵
        
        PID:2528
        
        C:\Users\Admin\AppData\Local\Temp\B2C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B2C5.tmp"
        12⤵
        
        PID:3868
        
        C:\Users\Admin\AppData\Local\Temp\B314.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B314.tmp"
        13⤵
        
        PID:1864
        
        C:\Users\Admin\AppData\Local\Temp\B362.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B362.tmp"
        14⤵
        
        PID:3604
        
        C:\Users\Admin\AppData\Local\Temp\B3A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B3A0.tmp"
        15⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\B3DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B3DF.tmp"
        16⤵
        
        PID:1844
        
        C:\Users\Admin\AppData\Local\Temp\B42D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B42D.tmp"
        17⤵
        
        PID:1532

C:\Users\Admin\AppData\Local\Temp\4C99.tmp
"C:\Users\Admin\AppData\Local\Temp\4C99.tmp"
1⤵
PID:1936
- C:\Users\Admin\AppData\Local\Temp\4CE7.tmp
  "C:\Users\Admin\AppData\Local\Temp\4CE7.tmp"
  2⤵
  PID:3508
- - C:\Users\Admin\AppData\Local\Temp\4D35.tmp
    "C:\Users\Admin\AppData\Local\Temp\4D35.tmp"
    3⤵
    PID:3404

C:\Users\Admin\AppData\Local\Temp\4DD2.tmp
"C:\Users\Admin\AppData\Local\Temp\4DD2.tmp"
1⤵
- Executes dropped EXE
PID:2444
- C:\Users\Admin\AppData\Local\Temp\4E20.tmp
  "C:\Users\Admin\AppData\Local\Temp\4E20.tmp"
  2⤵
  PID:3660

C:\Users\Admin\AppData\Local\Temp\4EBC.tmp
"C:\Users\Admin\AppData\Local\Temp\4EBC.tmp"
1⤵
- Executes dropped EXE
PID:2780
- C:\Users\Admin\AppData\Local\Temp\4F0A.tmp
  "C:\Users\Admin\AppData\Local\Temp\4F0A.tmp"
  2⤵
  PID:228
- - C:\Users\Admin\AppData\Local\Temp\4F58.tmp
    "C:\Users\Admin\AppData\Local\Temp\4F58.tmp"
    3⤵
    PID:3028

C:\Users\Admin\AppData\Local\Temp\4F97.tmp
"C:\Users\Admin\AppData\Local\Temp\4F97.tmp"
1⤵
- Executes dropped EXE
PID:1828
- C:\Users\Admin\AppData\Local\Temp\4FE5.tmp
  "C:\Users\Admin\AppData\Local\Temp\4FE5.tmp"
  2⤵
  PID:1200
- - C:\Users\Admin\AppData\Local\Temp\5043.tmp
    "C:\Users\Admin\AppData\Local\Temp\5043.tmp"
    3⤵
    PID:1056
  - - C:\Users\Admin\AppData\Local\Temp\50A0.tmp
      "C:\Users\Admin\AppData\Local\Temp\50A0.tmp"
      4⤵
      PID:2172
    - - C:\Users\Admin\AppData\Local\Temp\50EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50EF.tmp"
        5⤵
        
        PID:3244
      - C:\Users\Admin\AppData\Local\Temp\513D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\513D.tmp"
        6⤵
        
        PID:3984
    - - C:\Users\Admin\AppData\Local\Temp\A48D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A48D.tmp"
        5⤵
        
        PID:1212
      - C:\Users\Admin\AppData\Local\Temp\A4DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A4DB.tmp"
        6⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\A529.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A529.tmp"
        7⤵
        
        PID:3772
        
        C:\Users\Admin\AppData\Local\Temp\A577.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A577.tmp"
        8⤵
        
        PID:2972
        
        C:\Users\Admin\AppData\Local\Temp\A5C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A5C5.tmp"
        9⤵
        
        PID:1408
        
        C:\Users\Admin\AppData\Local\Temp\A613.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A613.tmp"
        10⤵
        
        PID:3664

C:\Users\Admin\AppData\Local\Temp\518B.tmp
"C:\Users\Admin\AppData\Local\Temp\518B.tmp"
1⤵
PID:3664
- C:\Users\Admin\AppData\Local\Temp\7FEE.tmp
  "C:\Users\Admin\AppData\Local\Temp\7FEE.tmp"
  2⤵
  PID:1784
- - C:\Users\Admin\AppData\Local\Temp\803C.tmp
    "C:\Users\Admin\AppData\Local\Temp\803C.tmp"
    3⤵
    PID:1116
- C:\Users\Admin\AppData\Local\Temp\A662.tmp
  "C:\Users\Admin\AppData\Local\Temp\A662.tmp"
  2⤵
  PID:2216
- - C:\Users\Admin\AppData\Local\Temp\A6B0.tmp
    "C:\Users\Admin\AppData\Local\Temp\A6B0.tmp"
    3⤵
    PID:2244
  - - C:\Users\Admin\AppData\Local\Temp\A6FE.tmp
      "C:\Users\Admin\AppData\Local\Temp\A6FE.tmp"
      4⤵
      PID:548
    - - C:\Users\Admin\AppData\Local\Temp\A74C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A74C.tmp"
        5⤵
        
        PID:1452
      - C:\Users\Admin\AppData\Local\Temp\A79A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A79A.tmp"
        6⤵
        
        PID:1760
        
        C:\Users\Admin\AppData\Local\Temp\A7E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A7E8.tmp"
        7⤵
        
        PID:1264
        
        C:\Users\Admin\AppData\Local\Temp\A836.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A836.tmp"
        8⤵
        
        PID:2768
        
        C:\Users\Admin\AppData\Local\Temp\A875.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A875.tmp"
        9⤵
        
        PID:1740
        
        C:\Users\Admin\AppData\Local\Temp\A8C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A8C3.tmp"
        10⤵
        
        PID:4032
        
        C:\Users\Admin\AppData\Local\Temp\8165.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8165.tmp"
        8⤵
        
        PID:3652
    - - C:\Users\Admin\AppData\Local\Temp\760B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\760B.tmp"
        5⤵
        
        PID:1760
    - - C:\Users\Admin\AppData\Local\Temp\52E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52E3.tmp"
        5⤵
        
        PID:4924

C:\Users\Admin\AppData\Local\Temp\5246.tmp
"C:\Users\Admin\AppData\Local\Temp\5246.tmp"
1⤵
PID:1116
- C:\Users\Admin\AppData\Local\Temp\5294.tmp
  "C:\Users\Admin\AppData\Local\Temp\5294.tmp"
  2⤵
  PID:548

C:\Users\Admin\AppData\Local\Temp\5331.tmp
"C:\Users\Admin\AppData\Local\Temp\5331.tmp"
1⤵
- Executes dropped EXE
PID:5084
- C:\Users\Admin\AppData\Local\Temp\537F.tmp
  "C:\Users\Admin\AppData\Local\Temp\537F.tmp"
  2⤵
  PID:3024
- - C:\Users\Admin\AppData\Local\Temp\53CD.tmp
    "C:\Users\Admin\AppData\Local\Temp\53CD.tmp"
    3⤵
    PID:1504
  - - C:\Users\Admin\AppData\Local\Temp\541B.tmp
      "C:\Users\Admin\AppData\Local\Temp\541B.tmp"
      4⤵
      PID:2772
- - C:\Users\Admin\AppData\Local\Temp\5F37.tmp
    "C:\Users\Admin\AppData\Local\Temp\5F37.tmp"
    3⤵
    PID:1504
  - - C:\Users\Admin\AppData\Local\Temp\5F85.tmp
      "C:\Users\Admin\AppData\Local\Temp\5F85.tmp"
      4⤵
      PID:2772
    - - C:\Users\Admin\AppData\Local\Temp\5FD3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FD3.tmp"
        5⤵
        
        PID:4460
      - C:\Users\Admin\AppData\Local\Temp\6021.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6021.tmp"
        6⤵
        
        PID:3440
        
        C:\Users\Admin\AppData\Local\Temp\606F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\606F.tmp"
        7⤵
        
        PID:4632
- C:\Users\Admin\AppData\Local\Temp\4853.tmp
  "C:\Users\Admin\AppData\Local\Temp\4853.tmp"
  2⤵
  - Executes dropped EXE
  PID:452

C:\Users\Admin\AppData\Local\Temp\5469.tmp
"C:\Users\Admin\AppData\Local\Temp\5469.tmp"
1⤵
PID:4460

C:\Users\Admin\AppData\Local\Temp\5505.tmp
"C:\Users\Admin\AppData\Local\Temp\5505.tmp"
1⤵
PID:2452
- C:\Users\Admin\AppData\Local\Temp\5544.tmp
  "C:\Users\Admin\AppData\Local\Temp\5544.tmp"
  2⤵
  PID:3076
- - C:\Users\Admin\AppData\Local\Temp\5592.tmp
    "C:\Users\Admin\AppData\Local\Temp\5592.tmp"
    3⤵
    PID:4052

C:\Users\Admin\AppData\Local\Temp\55E0.tmp
"C:\Users\Admin\AppData\Local\Temp\55E0.tmp"
1⤵
PID:4088
- C:\Users\Admin\AppData\Local\Temp\562E.tmp
  "C:\Users\Admin\AppData\Local\Temp\562E.tmp"
  2⤵
  PID:1684
- - C:\Users\Admin\AppData\Local\Temp\568C.tmp
    "C:\Users\Admin\AppData\Local\Temp\568C.tmp"
    3⤵
    PID:1540
  - - C:\Users\Admin\AppData\Local\Temp\56DA.tmp
      "C:\Users\Admin\AppData\Local\Temp\56DA.tmp"
      4⤵
      PID:4804

C:\Users\Admin\AppData\Local\Temp\5719.tmp
"C:\Users\Admin\AppData\Local\Temp\5719.tmp"
1⤵
PID:1724
- C:\Users\Admin\AppData\Local\Temp\5767.tmp
  "C:\Users\Admin\AppData\Local\Temp\5767.tmp"
  2⤵
  PID:4352

C:\Users\Admin\AppData\Local\Temp\5803.tmp
"C:\Users\Admin\AppData\Local\Temp\5803.tmp"
1⤵
PID:1472
- C:\Users\Admin\AppData\Local\Temp\5851.tmp
  "C:\Users\Admin\AppData\Local\Temp\5851.tmp"
  2⤵
  PID:3508
- - C:\Users\Admin\AppData\Local\Temp\589F.tmp
    "C:\Users\Admin\AppData\Local\Temp\589F.tmp"
    3⤵
    PID:3872
  - - C:\Users\Admin\AppData\Local\Temp\58ED.tmp
      "C:\Users\Admin\AppData\Local\Temp\58ED.tmp"
      4⤵
      PID:4884
- - C:\Users\Admin\AppData\Local\Temp\7B0C.tmp
    "C:\Users\Admin\AppData\Local\Temp\7B0C.tmp"
    3⤵
    PID:3736
  - - C:\Users\Admin\AppData\Local\Temp\7B5A.tmp
      "C:\Users\Admin\AppData\Local\Temp\7B5A.tmp"
      4⤵
      PID:3936
    - - C:\Users\Admin\AppData\Local\Temp\7BA8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BA8.tmp"
        5⤵
        
        PID:1432

C:\Users\Admin\AppData\Local\Temp\593C.tmp
"C:\Users\Admin\AppData\Local\Temp\593C.tmp"
1⤵
PID:3492
- C:\Users\Admin\AppData\Local\Temp\598A.tmp
  "C:\Users\Admin\AppData\Local\Temp\598A.tmp"
  2⤵
  PID:4656

C:\Users\Admin\AppData\Local\Temp\5A26.tmp
"C:\Users\Admin\AppData\Local\Temp\5A26.tmp"
1⤵
PID:2336
- C:\Users\Admin\AppData\Local\Temp\5A64.tmp
  "C:\Users\Admin\AppData\Local\Temp\5A64.tmp"
  2⤵
  PID:4072
- - C:\Users\Admin\AppData\Local\Temp\5AB3.tmp
    "C:\Users\Admin\AppData\Local\Temp\5AB3.tmp"
    3⤵
    PID:4376
- - C:\Users\Admin\AppData\Local\Temp\87BE.tmp
    "C:\Users\Admin\AppData\Local\Temp\87BE.tmp"
    3⤵
    PID:4792
  - - C:\Users\Admin\AppData\Local\Temp\880C.tmp
      "C:\Users\Admin\AppData\Local\Temp\880C.tmp"
      4⤵
      PID:4572
    - - C:\Users\Admin\AppData\Local\Temp\885A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\885A.tmp"
        5⤵
        
        PID:4476
      - C:\Users\Admin\AppData\Local\Temp\88A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88A8.tmp"
        6⤵
        
        PID:3524
      - C:\Users\Admin\AppData\Local\Temp\738A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\738A.tmp"
        6⤵
        
        PID:2348
- - C:\Users\Admin\AppData\Local\Temp\90C6.tmp
    "C:\Users\Admin\AppData\Local\Temp\90C6.tmp"
    3⤵
    PID:3244
  - - C:\Users\Admin\AppData\Local\Temp\9114.tmp
      "C:\Users\Admin\AppData\Local\Temp\9114.tmp"
      4⤵
      PID:4036
    - - C:\Users\Admin\AppData\Local\Temp\9163.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9163.tmp"
        5⤵
        
        PID:4996

C:\Users\Admin\AppData\Local\Temp\5B01.tmp
"C:\Users\Admin\AppData\Local\Temp\5B01.tmp"
1⤵
PID:4780
- C:\Users\Admin\AppData\Local\Temp\5B4F.tmp
  "C:\Users\Admin\AppData\Local\Temp\5B4F.tmp"
  2⤵
  PID:3636
- - C:\Users\Admin\AppData\Local\Temp\5B9D.tmp
    "C:\Users\Admin\AppData\Local\Temp\5B9D.tmp"
    3⤵
    PID:4996
  - - C:\Users\Admin\AppData\Local\Temp\91B1.tmp
      "C:\Users\Admin\AppData\Local\Temp\91B1.tmp"
      4⤵
      PID:3772
    - - C:\Users\Admin\AppData\Local\Temp\91EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\91EF.tmp"
        5⤵
        
        PID:2972
      - C:\Users\Admin\AppData\Local\Temp\923D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\923D.tmp"
        6⤵
        
        PID:2628
- - C:\Users\Admin\AppData\Local\Temp\9B07.tmp
    "C:\Users\Admin\AppData\Local\Temp\9B07.tmp"
    3⤵
    PID:4464
  - - C:\Users\Admin\AppData\Local\Temp\9B55.tmp
      "C:\Users\Admin\AppData\Local\Temp\9B55.tmp"
      4⤵
      PID:2240
    - - C:\Users\Admin\AppData\Local\Temp\9B94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9B94.tmp"
        5⤵
        
        PID:4500
      - C:\Users\Admin\AppData\Local\Temp\9BE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9BE2.tmp"
        6⤵
        
        PID:5116

C:\Users\Admin\AppData\Local\Temp\5BEB.tmp
"C:\Users\Admin\AppData\Local\Temp\5BEB.tmp"
1⤵
PID:4980
- C:\Users\Admin\AppData\Local\Temp\5C2A.tmp
  "C:\Users\Admin\AppData\Local\Temp\5C2A.tmp"
  2⤵
  PID:1008

C:\Users\Admin\AppData\Local\Temp\5C78.tmp
"C:\Users\Admin\AppData\Local\Temp\5C78.tmp"
1⤵
PID:4700

C:\Users\Admin\AppData\Local\Temp\5D43.tmp
"C:\Users\Admin\AppData\Local\Temp\5D43.tmp"
1⤵
PID:4500
- C:\Users\Admin\AppData\Local\Temp\8983.tmp
  "C:\Users\Admin\AppData\Local\Temp\8983.tmp"
  2⤵
  PID:2920
- - C:\Users\Admin\AppData\Local\Temp\89D1.tmp
    "C:\Users\Admin\AppData\Local\Temp\89D1.tmp"
    3⤵
    PID:4496
  - - C:\Users\Admin\AppData\Local\Temp\8A10.tmp
      "C:\Users\Admin\AppData\Local\Temp\8A10.tmp"
      4⤵
      PID:2784

C:\Users\Admin\AppData\Local\Temp\5DCF.tmp
"C:\Users\Admin\AppData\Local\Temp\5DCF.tmp"
1⤵
PID:4440
- C:\Users\Admin\AppData\Local\Temp\5E0E.tmp
  "C:\Users\Admin\AppData\Local\Temp\5E0E.tmp"
  2⤵
  PID:1728

C:\Users\Admin\AppData\Local\Temp\5E5C.tmp
"C:\Users\Admin\AppData\Local\Temp\5E5C.tmp"
1⤵
PID:4800
- C:\Users\Admin\AppData\Local\Temp\5EAA.tmp
  "C:\Users\Admin\AppData\Local\Temp\5EAA.tmp"
  2⤵
  PID:1356

C:\Users\Admin\AppData\Local\Temp\60BD.tmp
"C:\Users\Admin\AppData\Local\Temp\60BD.tmp"
1⤵
PID:2008
- C:\Users\Admin\AppData\Local\Temp\610C.tmp
  "C:\Users\Admin\AppData\Local\Temp\610C.tmp"
  2⤵
  PID:2572
- - C:\Users\Admin\AppData\Local\Temp\615A.tmp
    "C:\Users\Admin\AppData\Local\Temp\615A.tmp"
    3⤵
    PID:1532
  - - C:\Users\Admin\AppData\Local\Temp\4045.tmp
      "C:\Users\Admin\AppData\Local\Temp\4045.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:3960
- - C:\Users\Admin\AppData\Local\Temp\3F5B.tmp
    "C:\Users\Admin\AppData\Local\Temp\3F5B.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:1496

C:\Users\Admin\AppData\Local\Temp\6198.tmp
"C:\Users\Admin\AppData\Local\Temp\6198.tmp"
1⤵
PID:1668
- C:\Users\Admin\AppData\Local\Temp\61E6.tmp
  "C:\Users\Admin\AppData\Local\Temp\61E6.tmp"
  2⤵
  PID:3816
- - C:\Users\Admin\AppData\Local\Temp\6225.tmp
    "C:\Users\Admin\AppData\Local\Temp\6225.tmp"
    3⤵
    - Executes dropped EXE
    PID:1648
  - - C:\Users\Admin\AppData\Local\Temp\6292.tmp
      "C:\Users\Admin\AppData\Local\Temp\6292.tmp"
      4⤵
      Executes dropped EXE
      PID:4556
    - - C:\Users\Admin\AppData\Local\Temp\4C4B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C4B.tmp"
        5⤵
        Executes dropped EXE
        
        PID:4768

C:\Users\Admin\AppData\Local\Temp\6419.tmp
"C:\Users\Admin\AppData\Local\Temp\6419.tmp"
1⤵
PID:2976
- C:\Users\Admin\AppData\Local\Temp\6467.tmp
  "C:\Users\Admin\AppData\Local\Temp\6467.tmp"
  2⤵
  - Executes dropped EXE
  PID:3404
- - C:\Users\Admin\AppData\Local\Temp\64B5.tmp
    "C:\Users\Admin\AppData\Local\Temp\64B5.tmp"
    3⤵
    PID:2688
  - - C:\Users\Admin\AppData\Local\Temp\6503.tmp
      "C:\Users\Admin\AppData\Local\Temp\6503.tmp"
      4⤵
      PID:924
- - C:\Users\Admin\AppData\Local\Temp\4D84.tmp
    "C:\Users\Admin\AppData\Local\Temp\4D84.tmp"
    3⤵
    - Executes dropped EXE
    PID:2228

C:\Users\Admin\AppData\Local\Temp\6551.tmp
"C:\Users\Admin\AppData\Local\Temp\6551.tmp"
1⤵
PID:5104
- C:\Users\Admin\AppData\Local\Temp\659F.tmp
  "C:\Users\Admin\AppData\Local\Temp\659F.tmp"
  2⤵
  PID:4448
- - C:\Users\Admin\AppData\Local\Temp\65EE.tmp
    "C:\Users\Admin\AppData\Local\Temp\65EE.tmp"
    3⤵
    PID:4244

C:\Users\Admin\AppData\Local\Temp\663C.tmp
"C:\Users\Admin\AppData\Local\Temp\663C.tmp"
1⤵
PID:1120
- C:\Users\Admin\AppData\Local\Temp\667A.tmp
  "C:\Users\Admin\AppData\Local\Temp\667A.tmp"
  2⤵
  PID:3316

C:\Users\Admin\AppData\Local\Temp\66C8.tmp
"C:\Users\Admin\AppData\Local\Temp\66C8.tmp"
1⤵
PID:4572
- C:\Users\Admin\AppData\Local\Temp\6716.tmp
  "C:\Users\Admin\AppData\Local\Temp\6716.tmp"
  2⤵
  PID:1772

C:\Users\Admin\AppData\Local\Temp\67B3.tmp
"C:\Users\Admin\AppData\Local\Temp\67B3.tmp"
1⤵
PID:3728
- C:\Users\Admin\AppData\Local\Temp\6801.tmp
  "C:\Users\Admin\AppData\Local\Temp\6801.tmp"
  2⤵
  PID:4396

C:\Users\Admin\AppData\Local\Temp\689D.tmp
"C:\Users\Admin\AppData\Local\Temp\689D.tmp"
1⤵
PID:3140
- C:\Users\Admin\AppData\Local\Temp\68EB.tmp
  "C:\Users\Admin\AppData\Local\Temp\68EB.tmp"
  2⤵
  PID:4700
- - C:\Users\Admin\AppData\Local\Temp\6939.tmp
    "C:\Users\Admin\AppData\Local\Temp\6939.tmp"
    3⤵
    PID:2784
  - - C:\Users\Admin\AppData\Local\Temp\6987.tmp
      "C:\Users\Admin\AppData\Local\Temp\6987.tmp"
      4⤵
      PID:2244
    - - C:\Users\Admin\AppData\Local\Temp\8A8D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A8D.tmp"
        5⤵
        
        PID:4924
      - C:\Users\Admin\AppData\Local\Temp\8ACB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8ACB.tmp"
        6⤵
        
        PID:1936
  - - C:\Users\Admin\AppData\Local\Temp\8A4E.tmp
      "C:\Users\Admin\AppData\Local\Temp\8A4E.tmp"
      4⤵
      Suspicious use of WriteProcessMemory
      PID:2244
    - - C:\Users\Admin\AppData\Local\Temp\69D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\69D6.tmp"
        5⤵
        
        PID:4216
      - C:\Users\Admin\AppData\Local\Temp\3CAB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CAB.tmp"
        6⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3792
    - - C:\Users\Admin\AppData\Local\Temp\3C4D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C4D.tmp"
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4216
- - C:\Users\Admin\AppData\Local\Temp\9318.tmp
    "C:\Users\Admin\AppData\Local\Temp\9318.tmp"
    3⤵
    PID:4292
  - - C:\Users\Admin\AppData\Local\Temp\9366.tmp
      "C:\Users\Admin\AppData\Local\Temp\9366.tmp"
      4⤵
      PID:712
    - - C:\Users\Admin\AppData\Local\Temp\93B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\93B4.tmp"
        5⤵
        
        PID:4216
      - C:\Users\Admin\AppData\Local\Temp\9402.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9402.tmp"
        6⤵
        
        PID:1624

C:\Users\Admin\AppData\Local\Temp\6A24.tmp
"C:\Users\Admin\AppData\Local\Temp\6A24.tmp"
1⤵
PID:1624
- C:\Users\Admin\AppData\Local\Temp\6A72.tmp
  "C:\Users\Admin\AppData\Local\Temp\6A72.tmp"
  2⤵
  PID:1548
- C:\Users\Admin\AppData\Local\Temp\9451.tmp
  "C:\Users\Admin\AppData\Local\Temp\9451.tmp"
  2⤵
  PID:4864
- - C:\Users\Admin\AppData\Local\Temp\949F.tmp
    "C:\Users\Admin\AppData\Local\Temp\949F.tmp"
    3⤵
    PID:3432
  - - C:\Users\Admin\AppData\Local\Temp\94ED.tmp
      "C:\Users\Admin\AppData\Local\Temp\94ED.tmp"
      4⤵
      PID:2360

C:\Users\Admin\AppData\Local\Temp\6B0E.tmp
"C:\Users\Admin\AppData\Local\Temp\6B0E.tmp"
1⤵
PID:3740
- C:\Users\Admin\AppData\Local\Temp\6B5C.tmp
  "C:\Users\Admin\AppData\Local\Temp\6B5C.tmp"
  2⤵
  PID:2612
- - C:\Users\Admin\AppData\Local\Temp\6BAA.tmp
    "C:\Users\Admin\AppData\Local\Temp\6BAA.tmp"
    3⤵
    PID:4668

C:\Users\Admin\AppData\Local\Temp\6BF8.tmp
"C:\Users\Admin\AppData\Local\Temp\6BF8.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2428
- C:\Users\Admin\AppData\Local\Temp\6C47.tmp
  "C:\Users\Admin\AppData\Local\Temp\6C47.tmp"
  2⤵
  PID:1788
- - C:\Users\Admin\AppData\Local\Temp\6C95.tmp
    "C:\Users\Admin\AppData\Local\Temp\6C95.tmp"
    3⤵
    PID:1628

C:\Users\Admin\AppData\Local\Temp\6CE3.tmp
"C:\Users\Admin\AppData\Local\Temp\6CE3.tmp"
1⤵
PID:2652
- C:\Users\Admin\AppData\Local\Temp\6D31.tmp
  "C:\Users\Admin\AppData\Local\Temp\6D31.tmp"
  2⤵
  PID:3076
- - C:\Users\Admin\AppData\Local\Temp\6D7F.tmp
    "C:\Users\Admin\AppData\Local\Temp\6D7F.tmp"
    3⤵
    PID:3308
- - C:\Users\Admin\AppData\Local\Temp\3EDE.tmp
    "C:\Users\Admin\AppData\Local\Temp\3EDE.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:2572

C:\Users\Admin\AppData\Local\Temp\6DCD.tmp
"C:\Users\Admin\AppData\Local\Temp\6DCD.tmp"
1⤵
PID:5004
- C:\Users\Admin\AppData\Local\Temp\6E1B.tmp
  "C:\Users\Admin\AppData\Local\Temp\6E1B.tmp"
  2⤵
  PID:4932
- - C:\Users\Admin\AppData\Local\Temp\6E69.tmp
    "C:\Users\Admin\AppData\Local\Temp\6E69.tmp"
    3⤵
    PID:1508
- C:\Users\Admin\AppData\Local\Temp\83D6.tmp
  "C:\Users\Admin\AppData\Local\Temp\83D6.tmp"
  2⤵
  PID:2724
- - C:\Users\Admin\AppData\Local\Temp\8424.tmp
    "C:\Users\Admin\AppData\Local\Temp\8424.tmp"
    3⤵
    PID:1952
  - - C:\Users\Admin\AppData\Local\Temp\8472.tmp
      "C:\Users\Admin\AppData\Local\Temp\8472.tmp"
      4⤵
      PID:3868
    - - C:\Users\Admin\AppData\Local\Temp\9829.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9829.tmp"
        5⤵
        
        PID:5016
      - C:\Users\Admin\AppData\Local\Temp\9877.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9877.tmp"
        6⤵
        
        PID:3736
        
        C:\Users\Admin\AppData\Local\Temp\98C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\98C5.tmp"
        7⤵
        
        PID:2060
        
        C:\Users\Admin\AppData\Local\Temp\9913.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9913.tmp"
        8⤵
        
        PID:3472
- - C:\Users\Admin\AppData\Local\Temp\7985.tmp
    "C:\Users\Admin\AppData\Local\Temp\7985.tmp"
    3⤵
    PID:3584

C:\Users\Admin\AppData\Local\Temp\6F06.tmp
"C:\Users\Admin\AppData\Local\Temp\6F06.tmp"
1⤵
PID:4288
- C:\Users\Admin\AppData\Local\Temp\6F54.tmp
  "C:\Users\Admin\AppData\Local\Temp\6F54.tmp"
  2⤵
  PID:1716
- - C:\Users\Admin\AppData\Local\Temp\6FA2.tmp
    "C:\Users\Admin\AppData\Local\Temp\6FA2.tmp"
    3⤵
    PID:1108
  - - C:\Users\Admin\AppData\Local\Temp\6FF0.tmp
      "C:\Users\Admin\AppData\Local\Temp\6FF0.tmp"
      4⤵
      PID:2052

C:\Users\Admin\AppData\Local\Temp\708C.tmp
"C:\Users\Admin\AppData\Local\Temp\708C.tmp"
1⤵
PID:1432
- C:\Users\Admin\AppData\Local\Temp\70DA.tmp
  "C:\Users\Admin\AppData\Local\Temp\70DA.tmp"
  2⤵
  PID:3504
- - C:\Users\Admin\AppData\Local\Temp\7129.tmp
    "C:\Users\Admin\AppData\Local\Temp\7129.tmp"
    3⤵
    PID:3924
  - - C:\Users\Admin\AppData\Local\Temp\7177.tmp
      "C:\Users\Admin\AppData\Local\Temp\7177.tmp"
      4⤵
      PID:4468
    - - C:\Users\Admin\AppData\Local\Temp\71C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71C5.tmp"
        5⤵
        
        PID:2324
- C:\Users\Admin\AppData\Local\Temp\7BF6.tmp
  "C:\Users\Admin\AppData\Local\Temp\7BF6.tmp"
  2⤵
  PID:3660
- - C:\Users\Admin\AppData\Local\Temp\7C44.tmp
    "C:\Users\Admin\AppData\Local\Temp\7C44.tmp"
    3⤵
    PID:1128
  - - C:\Users\Admin\AppData\Local\Temp\7C92.tmp
      "C:\Users\Admin\AppData\Local\Temp\7C92.tmp"
      4⤵
      PID:2864
    - - C:\Users\Admin\AppData\Local\Temp\7CE1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CE1.tmp"
        5⤵
        
        PID:212
      - C:\Users\Admin\AppData\Local\Temp\7D2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D2F.tmp"
        6⤵
        
        PID:3328
- - C:\Users\Admin\AppData\Local\Temp\8FDC.tmp
    "C:\Users\Admin\AppData\Local\Temp\8FDC.tmp"
    3⤵
    PID:4244
  - - C:\Users\Admin\AppData\Local\Temp\902A.tmp
      "C:\Users\Admin\AppData\Local\Temp\902A.tmp"
      4⤵
      Executes dropped EXE
      PID:228
    - - C:\Users\Admin\AppData\Local\Temp\9078.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9078.tmp"
        5⤵
        
        PID:4072
    - - C:\Users\Admin\AppData\Local\Temp\8770.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8770.tmp"
        5⤵
        
        PID:4072

C:\Users\Admin\AppData\Local\Temp\7203.tmp
"C:\Users\Admin\AppData\Local\Temp\7203.tmp"
1⤵
PID:3328
- C:\Users\Admin\AppData\Local\Temp\7251.tmp
  "C:\Users\Admin\AppData\Local\Temp\7251.tmp"
  2⤵
  PID:3304
- - C:\Users\Admin\AppData\Local\Temp\72A0.tmp
    "C:\Users\Admin\AppData\Local\Temp\72A0.tmp"
    3⤵
    PID:2332
- C:\Users\Admin\AppData\Local\Temp\7D7D.tmp
  "C:\Users\Admin\AppData\Local\Temp\7D7D.tmp"
  2⤵
  PID:3116
- - C:\Users\Admin\AppData\Local\Temp\7DCB.tmp
    "C:\Users\Admin\AppData\Local\Temp\7DCB.tmp"
    3⤵
    PID:3880
  - - C:\Users\Admin\AppData\Local\Temp\7E19.tmp
      "C:\Users\Admin\AppData\Local\Temp\7E19.tmp"
      4⤵
      PID:3668
    - - C:\Users\Admin\AppData\Local\Temp\7E67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E67.tmp"
        5⤵
        
        PID:4980

C:\Users\Admin\AppData\Local\Temp\72EE.tmp
"C:\Users\Admin\AppData\Local\Temp\72EE.tmp"
1⤵
PID:4264
- C:\Users\Admin\AppData\Local\Temp\733C.tmp
  "C:\Users\Admin\AppData\Local\Temp\733C.tmp"
  2⤵
  PID:4476

C:\Windows\System32\WaaSMedicAgent.exe
C:\Windows\System32\WaaSMedicAgent.exe 44163e74adfa6c022a9cac439b56cf47 AbOF6UMjrUGke801C9lBdw.0.1.0.0.0
1⤵
- Executes dropped EXE
PID:1200

C:\Users\Admin\AppData\Local\Temp\73D8.tmp
"C:\Users\Admin\AppData\Local\Temp\73D8.tmp"
1⤵
PID:2240
- C:\Users\Admin\AppData\Local\Temp\7426.tmp
  "C:\Users\Admin\AppData\Local\Temp\7426.tmp"
  2⤵
  PID:2920

C:\Users\Admin\AppData\Local\Temp\74C2.tmp
"C:\Users\Admin\AppData\Local\Temp\74C2.tmp"
1⤵
PID:3252
- C:\Users\Admin\AppData\Local\Temp\7511.tmp
  "C:\Users\Admin\AppData\Local\Temp\7511.tmp"
  2⤵
  PID:4292
- - C:\Users\Admin\AppData\Local\Temp\755F.tmp
    "C:\Users\Admin\AppData\Local\Temp\755F.tmp"
    3⤵
    PID:996
  - - C:\Users\Admin\AppData\Local\Temp\75AD.tmp
      "C:\Users\Admin\AppData\Local\Temp\75AD.tmp"
      4⤵
      PID:548
  - - C:\Users\Admin\AppData\Local\Temp\B6DC.tmp
      "C:\Users\Admin\AppData\Local\Temp\B6DC.tmp"
      4⤵
      PID:1176
    - - C:\Users\Admin\AppData\Local\Temp\B72A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B72A.tmp"
        5⤵
        
        PID:1996
      - C:\Users\Admin\AppData\Local\Temp\B769.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B769.tmp"
        6⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\B7B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7B7.tmp"
        7⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\B805.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B805.tmp"
        8⤵
        
        PID:1116
        
        C:\Users\Admin\AppData\Local\Temp\6AC0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6AC0.tmp"
        8⤵
        
        PID:452

C:\Users\Admin\AppData\Local\Temp\7659.tmp
"C:\Users\Admin\AppData\Local\Temp\7659.tmp"
1⤵
PID:1356
- C:\Users\Admin\AppData\Local\Temp\76A7.tmp
  "C:\Users\Admin\AppData\Local\Temp\76A7.tmp"
  2⤵
  PID:2768
- - C:\Users\Admin\AppData\Local\Temp\76F5.tmp
    "C:\Users\Admin\AppData\Local\Temp\76F5.tmp"
    3⤵
    PID:1740
- C:\Users\Admin\AppData\Local\Temp\5EF8.tmp
  "C:\Users\Admin\AppData\Local\Temp\5EF8.tmp"
  2⤵
  PID:3024

C:\Users\Admin\AppData\Local\Temp\7791.tmp
"C:\Users\Admin\AppData\Local\Temp\7791.tmp"
1⤵
PID:5036
- C:\Users\Admin\AppData\Local\Temp\77DF.tmp
  "C:\Users\Admin\AppData\Local\Temp\77DF.tmp"
  2⤵
  PID:4460
- - C:\Users\Admin\AppData\Local\Temp\783D.tmp
    "C:\Users\Admin\AppData\Local\Temp\783D.tmp"
    3⤵
    PID:2484
  - - C:\Users\Admin\AppData\Local\Temp\788B.tmp
      "C:\Users\Admin\AppData\Local\Temp\788B.tmp"
      4⤵
      PID:1684
    - - C:\Users\Admin\AppData\Local\Temp\78E9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78E9.tmp"
        5⤵
        
        PID:4804
      - C:\Users\Admin\AppData\Local\Temp\7937.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7937.tmp"
        6⤵
        
        PID:2724
      - C:\Users\Admin\AppData\Local\Temp\96A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\96A2.tmp"
        6⤵
        
        PID:1668
        
        C:\Users\Admin\AppData\Local\Temp\96F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\96F0.tmp"
        7⤵
        
        PID:3640
        
        C:\Users\Admin\AppData\Local\Temp\973F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\973F.tmp"
        8⤵
        
        PID:3460
        
        C:\Users\Admin\AppData\Local\Temp\978D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\978D.tmp"
        9⤵
        
        PID:1952
        
        C:\Users\Admin\AppData\Local\Temp\97DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\97DB.tmp"
        10⤵
        
        PID:3868
        
        C:\Users\Admin\AppData\Local\Temp\84C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\84C0.tmp"
        11⤵
        
        PID:5016
- C:\Users\Admin\AppData\Local\Temp\8CEE.tmp
  "C:\Users\Admin\AppData\Local\Temp\8CEE.tmp"
  2⤵
  PID:4460
- - C:\Users\Admin\AppData\Local\Temp\8D3C.tmp
    "C:\Users\Admin\AppData\Local\Temp\8D3C.tmp"
    3⤵
    PID:1724
  - - C:\Users\Admin\AppData\Local\Temp\A9EC.tmp
      "C:\Users\Admin\AppData\Local\Temp\A9EC.tmp"
      4⤵
      PID:3656
    - - C:\Users\Admin\AppData\Local\Temp\AA3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA3A.tmp"
        5⤵
        
        PID:1684
      - C:\Users\Admin\AppData\Local\Temp\AA88.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA88.tmp"
        6⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\AAD6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AAD6.tmp"
        7⤵
        
        PID:1472
        
        C:\Users\Admin\AppData\Local\Temp\AB24.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB24.tmp"
        8⤵
        
        PID:3684
        
        C:\Users\Admin\AppData\Local\Temp\AB72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB72.tmp"
        9⤵
        
        PID:1404
        
        C:\Users\Admin\AppData\Local\Temp\ABC1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABC1.tmp"
        10⤵
        
        PID:3604
        
        C:\Users\Admin\AppData\Local\Temp\AC0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC0F.tmp"
        11⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\AC5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC5D.tmp"
        12⤵
        
        PID:1844
        
        C:\Users\Admin\AppData\Local\Temp\ACAB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ACAB.tmp"
        13⤵
        
        PID:4352
        
        C:\Users\Admin\AppData\Local\Temp\ACF9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ACF9.tmp"
        14⤵
        
        PID:4376
        
        C:\Users\Admin\AppData\Local\Temp\AD47.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD47.tmp"
        15⤵
        
        PID:3880
        
        C:\Users\Admin\AppData\Local\Temp\AD95.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD95.tmp"
        16⤵
        
        PID:1772
        
        C:\Users\Admin\AppData\Local\Temp\ADE3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ADE3.tmp"
        17⤵
        
        PID:1712
        
        C:\Users\Admin\AppData\Local\Temp\AE32.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE32.tmp"
        18⤵
        
        PID:3024
        
        C:\Users\Admin\AppData\Local\Temp\AE80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE80.tmp"
        19⤵
        
        PID:3524
        
        C:\Users\Admin\AppData\Local\Temp\AECE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AECE.tmp"
        20⤵
        
        PID:4980
        
        C:\Users\Admin\AppData\Local\Temp\AF1C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF1C.tmp"
        21⤵
        
        PID:4024
        
        C:\Users\Admin\AppData\Local\Temp\AF6A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF6A.tmp"
        22⤵
        
        PID:2920
        
        C:\Users\Admin\AppData\Local\Temp\AFB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AFB8.tmp"
        23⤵
        
        PID:1996
        
        C:\Users\Admin\AppData\Local\Temp\B006.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B006.tmp"
        24⤵
        
        PID:1600
        
        C:\Users\Admin\AppData\Local\Temp\B054.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B054.tmp"
        25⤵
        
        PID:1116
        
        C:\Users\Admin\AppData\Local\Temp\B0A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B0A3.tmp"
        26⤵
        
        PID:4048
        
        C:\Users\Admin\AppData\Local\Temp\B0F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B0F1.tmp"
        27⤵
        
        PID:452
        
        C:\Users\Admin\AppData\Local\Temp\B13F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B13F.tmp"
        28⤵
        
        PID:4144
        
        C:\Users\Admin\AppData\Local\Temp\B18D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B18D.tmp"
        29⤵
        
        PID:4860
        
        C:\Users\Admin\AppData\Local\Temp\B1DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B1DB.tmp"
        30⤵
        
        PID:1740
        
        C:\Users\Admin\AppData\Local\Temp\B229.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B229.tmp"
        31⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\7743.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7743.tmp"
        31⤵
        
        PID:208
        
        C:\Users\Admin\AppData\Local\Temp\808A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\808A.tmp"
        26⤵
        
        PID:1728
        
        C:\Users\Admin\AppData\Local\Temp\B853.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B853.tmp"
        26⤵
        
        PID:468
        
        C:\Users\Admin\AppData\Local\Temp\B8A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8A1.tmp"
        27⤵
        
        PID:3668
        
        C:\Users\Admin\AppData\Local\Temp\B8F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8F0.tmp"
        28⤵
        Executes dropped EXE
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\B93E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B93E.tmp"
        29⤵
        
        PID:3424
        
        C:\Users\Admin\AppData\Local\Temp\B98C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B98C.tmp"
        30⤵
        
        PID:1740
        
        C:\Users\Admin\AppData\Local\Temp\B9CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B9CA.tmp"
        31⤵
        
        PID:4788
        
        C:\Users\Admin\AppData\Local\Temp\BA18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA18.tmp"
        32⤵
        
        PID:3460
        
        C:\Users\Admin\AppData\Local\Temp\BA76.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA76.tmp"
        33⤵
        Executes dropped EXE
        
        PID:1668
        
        C:\Users\Admin\AppData\Local\Temp\BAC4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BAC4.tmp"
        34⤵
        
        PID:1716
        
        C:\Users\Admin\AppData\Local\Temp\BB12.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB12.tmp"
        35⤵
        
        PID:4288
        
        C:\Users\Admin\AppData\Local\Temp\BB61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB61.tmp"
        36⤵
        
        PID:1684
        
        C:\Users\Admin\AppData\Local\Temp\BBAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBAF.tmp"
        37⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\BBFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBFD.tmp"
        38⤵
        
        PID:5004
        
        C:\Users\Admin\AppData\Local\Temp\BC4B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC4B.tmp"
        39⤵
        
        PID:1264
        
        C:\Users\Admin\AppData\Local\Temp\BC89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC89.tmp"
        40⤵
        
        PID:3092
        
        C:\Users\Admin\AppData\Local\Temp\BCD8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BCD8.tmp"
        41⤵
        
        PID:4088
        
        C:\Users\Admin\AppData\Local\Temp\BD26.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD26.tmp"
        42⤵
        
        PID:1436
        
        C:\Users\Admin\AppData\Local\Temp\BD74.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD74.tmp"
        43⤵
        
        PID:440
        
        C:\Users\Admin\AppData\Local\Temp\BDC2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BDC2.tmp"
        44⤵
        Executes dropped EXE
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\BE10.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE10.tmp"
        45⤵
        
        PID:1844
        
        C:\Users\Admin\AppData\Local\Temp\BE5E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE5E.tmp"
        46⤵
        Executes dropped EXE
        
        PID:1056
        
        C:\Users\Admin\AppData\Local\Temp\BEAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BEAC.tmp"
        47⤵
        Executes dropped EXE
        
        PID:1772
        
        C:\Users\Admin\AppData\Local\Temp\BEFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BEFA.tmp"
        48⤵
        
        PID:2992
        
        C:\Users\Admin\AppData\Local\Temp\BF49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF49.tmp"
        49⤵
        
        PID:4036
        
        C:\Users\Admin\AppData\Local\Temp\BF97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF97.tmp"
        50⤵
        Executes dropped EXE
        
        PID:3244
        
        C:\Users\Admin\AppData\Local\Temp\BFE5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BFE5.tmp"
        51⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\C033.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C033.tmp"
        52⤵
        
        PID:2972
        
        C:\Users\Admin\AppData\Local\Temp\C081.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C081.tmp"
        53⤵
        
        PID:876
        
        C:\Users\Admin\AppData\Local\Temp\C0CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0CF.tmp"
        54⤵
        
        PID:3664
        
        C:\Users\Admin\AppData\Local\Temp\C11D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C11D.tmp"
        55⤵
        
        PID:4700
        
        C:\Users\Admin\AppData\Local\Temp\C16B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C16B.tmp"
        56⤵
        
        PID:1992
        
        C:\Users\Admin\AppData\Local\Temp\C1BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C1BA.tmp"
        57⤵
        
        PID:4300
        
        C:\Users\Admin\AppData\Local\Temp\C1F8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C1F8.tmp"
        58⤵
        
        PID:1600
        
        C:\Users\Admin\AppData\Local\Temp\C256.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C256.tmp"
        59⤵
        
        PID:3600
        
        C:\Users\Admin\AppData\Local\Temp\C2A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C2A4.tmp"
        60⤵
        
        PID:1452
        
        C:\Users\Admin\AppData\Local\Temp\C2E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C2E2.tmp"
        61⤵
        
        PID:1356
        
        C:\Users\Admin\AppData\Local\Temp\C331.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C331.tmp"
        62⤵
        
        PID:2120
        
        C:\Users\Admin\AppData\Local\Temp\C37F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C37F.tmp"
        63⤵
        
        PID:4860
        
        C:\Users\Admin\AppData\Local\Temp\C3CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C3CD.tmp"
        64⤵
        
        PID:2376
        
        C:\Users\Admin\AppData\Local\Temp\C41B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C41B.tmp"
        65⤵
        
        PID:1228
        
        C:\Users\Admin\AppData\Local\Temp\C469.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C469.tmp"
        66⤵
        
        PID:1952
        
        C:\Users\Admin\AppData\Local\Temp\C4B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4B7.tmp"
        67⤵
        
        PID:1108
        
        C:\Users\Admin\AppData\Local\Temp\C534.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C534.tmp"
        68⤵
        
        PID:888
        
        C:\Users\Admin\AppData\Local\Temp\C62E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C62E.tmp"
        69⤵
        
        PID:2528
        
        C:\Users\Admin\AppData\Local\Temp\C68C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C68C.tmp"
        70⤵
        
        PID:4000
        
        C:\Users\Admin\AppData\Local\Temp\C6F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6F9.tmp"
        71⤵
        
        PID:4920
        
        C:\Users\Admin\AppData\Local\Temp\C776.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C776.tmp"
        72⤵
        
        PID:772
        
        C:\Users\Admin\AppData\Local\Temp\C803.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C803.tmp"
        73⤵
        
        PID:2768
        
        C:\Users\Admin\AppData\Local\Temp\C861.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C861.tmp"
        74⤵
        
        PID:4032
        
        C:\Users\Admin\AppData\Local\Temp\C8BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8BE.tmp"
        75⤵
        
        PID:3092
        
        C:\Users\Admin\AppData\Local\Temp\C93B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C93B.tmp"
        76⤵
        
        PID:1724
        
        C:\Users\Admin\AppData\Local\Temp\C9F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9F7.tmp"
        77⤵
        
        PID:4480
        
        C:\Users\Admin\AppData\Local\Temp\CAA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAA3.tmp"
        78⤵
        
        PID:2336
        
        C:\Users\Admin\AppData\Local\Temp\CB10.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB10.tmp"
        79⤵
        
        PID:4244
        
        C:\Users\Admin\AppData\Local\Temp\CB6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB6E.tmp"
        80⤵
        
        PID:2172
        
        C:\Users\Admin\AppData\Local\Temp\CBFB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBFB.tmp"
        81⤵
        
        PID:3880
        
        C:\Users\Admin\AppData\Local\Temp\CC78.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC78.tmp"
        82⤵
        
        PID:3024
        
        C:\Users\Admin\AppData\Local\Temp\CD04.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD04.tmp"
        83⤵
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\CD62.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD62.tmp"
        84⤵
        
        PID:1860
        
        C:\Users\Admin\AppData\Local\Temp\CDC0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDC0.tmp"
        85⤵
        
        PID:4500
        
        C:\Users\Admin\AppData\Local\Temp\CE2D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE2D.tmp"
        86⤵
        
        PID:3252
        
        C:\Users\Admin\AppData\Local\Temp\CE8B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE8B.tmp"
        87⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\CEF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CEF8.tmp"
        88⤵
        
        PID:876
        
        C:\Users\Admin\AppData\Local\Temp\CF85.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF85.tmp"
        89⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\CFF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFF2.tmp"
        90⤵
        
        PID:3048
        
        C:\Users\Admin\AppData\Local\Temp\D07F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D07F.tmp"
        91⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\D0EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D0EC.tmp"
        92⤵
        
        PID:1116
        
        C:\Users\Admin\AppData\Local\Temp\D188.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D188.tmp"
        93⤵
        
        PID:468
        
        C:\Users\Admin\AppData\Local\Temp\D215.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D215.tmp"
        94⤵
        
        PID:4144
        
        C:\Users\Admin\AppData\Local\Temp\D292.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D292.tmp"
        95⤵
        
        PID:3668
        
        C:\Users\Admin\AppData\Local\Temp\D3CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D3CB.tmp"
        96⤵
        
        PID:1356
        
        C:\Users\Admin\AppData\Local\Temp\D419.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D419.tmp"
        97⤵
        
        PID:2452
        
        C:\Users\Admin\AppData\Local\Temp\D476.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D476.tmp"
        98⤵
        
        PID:4860
        
        C:\Users\Admin\AppData\Local\Temp\D4F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D4F3.tmp"
        99⤵
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\D561.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D561.tmp"
        100⤵
        
        PID:5032
        
        C:\Users\Admin\AppData\Local\Temp\D5FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D5FD.tmp"
        101⤵
        
        PID:1472
        
        C:\Users\Admin\AppData\Local\Temp\D67A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D67A.tmp"
        102⤵
        
        PID:3736
        
        C:\Users\Admin\AppData\Local\Temp\D6C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6C8.tmp"
        103⤵
        
        PID:3868
        
        C:\Users\Admin\AppData\Local\Temp\D736.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D736.tmp"
        104⤵
        
        PID:2528
        
        C:\Users\Admin\AppData\Local\Temp\D7A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7A3.tmp"
        105⤵
        
        PID:4000
        
        C:\Users\Admin\AppData\Local\Temp\D810.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D810.tmp"
        106⤵
        
        PID:4920
        
        C:\Users\Admin\AppData\Local\Temp\D88D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D88D.tmp"
        107⤵
        
        PID:772
        
        C:\Users\Admin\AppData\Local\Temp\D92A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D92A.tmp"
        108⤵
        
        PID:2768
        
        C:\Users\Admin\AppData\Local\Temp\D997.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D997.tmp"
        109⤵
        
        PID:4032
        
        C:\Users\Admin\AppData\Local\Temp\D9F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D9F5.tmp"
        110⤵
        
        PID:1436
        
        C:\Users\Admin\AppData\Local\Temp\DAA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DAA1.tmp"
        111⤵
        
        PID:1724
        
        C:\Users\Admin\AppData\Local\Temp\DB5C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB5C.tmp"
        112⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\DBAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DBAA.tmp"
        113⤵
        
        PID:1532
        
        C:\Users\Admin\AppData\Local\Temp\DC08.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC08.tmp"
        114⤵
        
        PID:4376
        
        C:\Users\Admin\AppData\Local\Temp\DC66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC66.tmp"
        115⤵
        
        PID:3524
        
        C:\Users\Admin\AppData\Local\Temp\DCB4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DCB4.tmp"
        116⤵
        
        PID:3772
        
        C:\Users\Admin\AppData\Local\Temp\DD21.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD21.tmp"
        117⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\DDBD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DDBD.tmp"
        118⤵
        
        PID:2972
        
        C:\Users\Admin\AppData\Local\Temp\DE2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE2B.tmp"
        119⤵
        
        PID:3252
        
        C:\Users\Admin\AppData\Local\Temp\DE98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE98.tmp"
        120⤵
        
        PID:4732
        
        C:\Users\Admin\AppData\Local\Temp\DEF6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DEF6.tmp"
        121⤵
        
        PID:1176
        
        C:\Users\Admin\AppData\Local\Temp\DF44.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF44.tmp"
        122⤵
        
        PID:1992
        
        C:\Users\Admin\AppData\Local\Temp\DFA2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DFA2.tmp"
        123⤵
        
        PID:4216
        
        C:\Users\Admin\AppData\Local\Temp\E02E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E02E.tmp"
        124⤵
        
        PID:548
        
        C:\Users\Admin\AppData\Local\Temp\E0CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0CB.tmp"
        125⤵
        
        PID:2360
        
        C:\Users\Admin\AppData\Local\Temp\E167.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E167.tmp"
        126⤵
        
        PID:3608
        
        C:\Users\Admin\AppData\Local\Temp\E1E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1E4.tmp"
        127⤵
        
        PID:3884
        
        C:\Users\Admin\AppData\Local\Temp\E271.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E271.tmp"
        128⤵
        
        PID:2868
        
        C:\Users\Admin\AppData\Local\Temp\E34B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E34B.tmp"
        129⤵
        
        PID:1552
        
        C:\Users\Admin\AppData\Local\Temp\E3B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E3B9.tmp"
        130⤵
        
        PID:5112
        
        C:\Users\Admin\AppData\Local\Temp\E416.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E416.tmp"
        131⤵
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\E484.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E484.tmp"
        132⤵
        
        PID:1952
        
        C:\Users\Admin\AppData\Local\Temp\E54F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E54F.tmp"
        133⤵
        
        PID:3872
        
        C:\Users\Admin\AppData\Local\Temp\E5DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5DC.tmp"
        134⤵
        
        PID:3656
        
        C:\Users\Admin\AppData\Local\Temp\E678.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E678.tmp"
        135⤵
        
        PID:3684
        
        C:\Users\Admin\AppData\Local\Temp\E704.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E704.tmp"
        136⤵
        
        PID:4928
        
        C:\Users\Admin\AppData\Local\Temp\E762.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E762.tmp"
        137⤵
        
        PID:1624
        
        C:\Users\Admin\AppData\Local\Temp\E7D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7D0.tmp"
        138⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\E85C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E85C.tmp"
        139⤵
        
        PID:2024
        
        C:\Users\Admin\AppData\Local\Temp\E8CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E8CA.tmp"
        140⤵
        
        PID:3088
        
        C:\Users\Admin\AppData\Local\Temp\E937.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E937.tmp"
        141⤵
        
        PID:3444
        
        C:\Users\Admin\AppData\Local\Temp\E9A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9A4.tmp"
        142⤵
        
        PID:4088
        
        C:\Users\Admin\AppData\Local\Temp\EA60.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA60.tmp"
        143⤵
        
        PID:3116
        
        C:\Users\Admin\AppData\Local\Temp\EB0C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB0C.tmp"
        144⤵
        
        PID:440
        
        C:\Users\Admin\AppData\Local\Temp\EBB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EBB8.tmp"
        145⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\EC54.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC54.tmp"
        146⤵
        
        PID:2172
        
        C:\Users\Admin\AppData\Local\Temp\ECE0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ECE0.tmp"
        147⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\ED8C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED8C.tmp"
        148⤵
        
        PID:4036
        
        C:\Users\Admin\AppData\Local\Temp\EDDA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDDA.tmp"
        149⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\EE29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE29.tmp"
        150⤵
        
        PID:2008
        
        C:\Users\Admin\AppData\Local\Temp\EE77.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE77.tmp"
        151⤵
        
        PID:996
        
        C:\Users\Admin\AppData\Local\Temp\EED4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EED4.tmp"
        152⤵
        
        PID:3268
        
        C:\Users\Admin\AppData\Local\Temp\EF23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF23.tmp"
        153⤵
        
        PID:2244
        
        C:\Users\Admin\AppData\Local\Temp\EF71.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF71.tmp"
        154⤵
        
        PID:1008
        
        C:\Users\Admin\AppData\Local\Temp\EFBF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFBF.tmp"
        155⤵
        
        PID:4732
        
        C:\Users\Admin\AppData\Local\Temp\F00D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F00D.tmp"
        156⤵
        
        PID:3576
        
        C:\Users\Admin\AppData\Local\Temp\F05B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F05B.tmp"
        157⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\F0A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0A9.tmp"
        158⤵
        
        PID:4176
        
        C:\Users\Admin\AppData\Local\Temp\F0F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0F7.tmp"
        159⤵
        
        PID:452
        
        C:\Users\Admin\AppData\Local\Temp\F145.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F145.tmp"
        160⤵
        
        PID:2332
        
        C:\Users\Admin\AppData\Local\Temp\F194.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F194.tmp"
        161⤵
        
        PID:1964
        
        C:\Users\Admin\AppData\Local\Temp\F1E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1E2.tmp"
        162⤵
        
        PID:3668
        
        C:\Users\Admin\AppData\Local\Temp\F230.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F230.tmp"
        163⤵
        
        PID:448
        
        C:\Users\Admin\AppData\Local\Temp\F27E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F27E.tmp"
        164⤵
        
        PID:4316
        
        C:\Users\Admin\AppData\Local\Temp\F2CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2CC.tmp"
        165⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\F31A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F31A.tmp"
        166⤵
        
        PID:3460
        
        C:\Users\Admin\AppData\Local\Temp\F378.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F378.tmp"
        167⤵
        
        PID:1108
        
        C:\Users\Admin\AppData\Local\Temp\F3C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3C6.tmp"
        168⤵
        
        PID:1404
        
        C:\Users\Admin\AppData\Local\Temp\F424.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F424.tmp"
        169⤵
        
        PID:2976
        
        C:\Users\Admin\AppData\Local\Temp\F472.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F472.tmp"
        170⤵
        
        PID:3404
        
        C:\Users\Admin\AppData\Local\Temp\F4C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4C0.tmp"
        171⤵
        
        PID:1128
        
        C:\Users\Admin\AppData\Local\Temp\F50E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F50E.tmp"
        172⤵
        
        PID:5004
        
        C:\Users\Admin\AppData\Local\Temp\F55C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F55C.tmp"
        173⤵
        
        PID:3132
        
        C:\Users\Admin\AppData\Local\Temp\F5AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5AA.tmp"
        174⤵
        
        PID:8
        
        C:\Users\Admin\AppData\Local\Temp\F5F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5F9.tmp"
        175⤵
        
        PID:212
        
        C:\Users\Admin\AppData\Local\Temp\F647.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F647.tmp"
        176⤵
        
        PID:2688
        
        C:\Users\Admin\AppData\Local\Temp\F695.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F695.tmp"
        177⤵
        
        PID:3328
        
        C:\Users\Admin\AppData\Local\Temp\F6E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F6E3.tmp"
        178⤵
        
        PID:1960
        
        C:\Users\Admin\AppData\Local\Temp\F731.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F731.tmp"
        179⤵
        
        PID:2484
        
        C:\Users\Admin\AppData\Local\Temp\F78F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F78F.tmp"
        180⤵
        
        PID:440
        
        C:\Users\Admin\AppData\Local\Temp\F7DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F7DD.tmp"
        181⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\F82B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F82B.tmp"
        182⤵
        
        PID:2172
        
        C:\Users\Admin\AppData\Local\Temp\F879.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F879.tmp"
        183⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\F8C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8C7.tmp"
        184⤵
        
        PID:2628
        
        C:\Users\Admin\AppData\Local\Temp\F925.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F925.tmp"
        185⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\F983.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F983.tmp"
        186⤵
        
        PID:2008
        
        C:\Users\Admin\AppData\Local\Temp\F9D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9D1.tmp"
        187⤵
        
        PID:4560
        
        C:\Users\Admin\AppData\Local\Temp\FA2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA2F.tmp"
        188⤵
        
        PID:3268
        
        C:\Users\Admin\AppData\Local\Temp\FA7D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA7D.tmp"
        189⤵
        
        PID:4700
        
        C:\Users\Admin\AppData\Local\Temp\FACB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FACB.tmp"
        190⤵
        
        PID:2216
        
        C:\Users\Admin\AppData\Local\Temp\FB19.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB19.tmp"
        191⤵
        
        PID:4880
        
        C:\Users\Admin\AppData\Local\Temp\FB67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB67.tmp"
        192⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\FBB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FBB5.tmp"
        193⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\FC03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC03.tmp"
        194⤵
        
        PID:1452
        
        C:\Users\Admin\AppData\Local\Temp\FC52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC52.tmp"
        195⤵
        
        PID:452
        
        C:\Users\Admin\AppData\Local\Temp\FCA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FCA0.tmp"
        196⤵
        
        PID:3608
        
        C:\Users\Admin\AppData\Local\Temp\FCFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FCFD.tmp"
        197⤵
        
        PID:4564
        
        C:\Users\Admin\AppData\Local\Temp\FD4C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD4C.tmp"
        198⤵
        
        PID:2452
        
        C:\Users\Admin\AppData\Local\Temp\FD9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD9A.tmp"
        199⤵
        
        PID:4860
        
        C:\Users\Admin\AppData\Local\Temp\FDE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDE8.tmp"
        200⤵
        
        PID:1788
        
        C:\Users\Admin\AppData\Local\Temp\FE36.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE36.tmp"
        201⤵
        
        PID:1668
        
        C:\Users\Admin\AppData\Local\Temp\FE84.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE84.tmp"
        202⤵
        
        PID:3460
        
        C:\Users\Admin\AppData\Local\Temp\FEE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEE2.tmp"
        203⤵
        
        PID:1108
        
        C:\Users\Admin\AppData\Local\Temp\FF40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF40.tmp"
        204⤵
        
        PID:1404
        
        C:\Users\Admin\AppData\Local\Temp\FF8E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF8E.tmp"
        205⤵
        
        PID:2976
        
        C:\Users\Admin\AppData\Local\Temp\FFDC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFDC.tmp"
        206⤵
        
        PID:3404
        
        C:\Users\Admin\AppData\Local\Temp\2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A.tmp"
        207⤵
        
        PID:1128
        
        C:\Users\Admin\AppData\Local\Temp\78.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78.tmp"
        208⤵
        
        PID:5004
        
        C:\Users\Admin\AppData\Local\Temp\C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6.tmp"
        209⤵
        
        PID:3132
        
        C:\Users\Admin\AppData\Local\Temp\114.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\114.tmp"
        210⤵
        
        PID:8
        
        C:\Users\Admin\AppData\Local\Temp\162.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\162.tmp"
        211⤵
        
        PID:212
        
        C:\Users\Admin\AppData\Local\Temp\1B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B1.tmp"
        212⤵
        
        PID:2688
        
        C:\Users\Admin\AppData\Local\Temp\1FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FF.tmp"
        213⤵
        
        PID:3328
        
        C:\Users\Admin\AppData\Local\Temp\24D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24D.tmp"
        214⤵
        
        PID:1960
        
        C:\Users\Admin\AppData\Local\Temp\2AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2AB.tmp"
        215⤵
        
        PID:1056
        
        C:\Users\Admin\AppData\Local\Temp\2F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F9.tmp"
        216⤵
        
        PID:440
        
        C:\Users\Admin\AppData\Local\Temp\356.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\356.tmp"
        217⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\3B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B4.tmp"
        218⤵
        
        PID:4404
        
        C:\Users\Admin\AppData\Local\Temp\402.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\402.tmp"
        219⤵
        
        PID:4980
        
        C:\Users\Admin\AppData\Local\Temp\460.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\460.tmp"
        220⤵
        
        PID:4704
        
        C:\Users\Admin\AppData\Local\Temp\4AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4AE.tmp"
        221⤵
        
        PID:2240
        
        C:\Users\Admin\AppData\Local\Temp\50C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50C.tmp"
        222⤵
        
        PID:3240
        
        C:\Users\Admin\AppData\Local\Temp\56A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56A.tmp"
        223⤵
        
        PID:996
        
        C:\Users\Admin\AppData\Local\Temp\5C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C7.tmp"
        224⤵
        
        PID:2456
        
        C:\Users\Admin\AppData\Local\Temp\616.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\616.tmp"
        225⤵
        
        PID:3316
        
        C:\Users\Admin\AppData\Local\Temp\664.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\664.tmp"
        226⤵
        
        PID:1176
        
        C:\Users\Admin\AppData\Local\Temp\6C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C1.tmp"
        227⤵
        
        PID:712
        
        C:\Users\Admin\AppData\Local\Temp\71F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71F.tmp"
        228⤵
        
        PID:3048
        
        C:\Users\Admin\AppData\Local\Temp\77D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77D.tmp"
        229⤵
        
        PID:1784
        
        C:\Users\Admin\AppData\Local\Temp\7CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CB.tmp"
        230⤵
        
        PID:2360
        
        C:\Users\Admin\AppData\Local\Temp\829.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\829.tmp"
        231⤵
        
        PID:468
        
        C:\Users\Admin\AppData\Local\Temp\887.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\887.tmp"
        232⤵
        
        PID:2120
        
        C:\Users\Admin\AppData\Local\Temp\8D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D5.tmp"
        233⤵
        
        PID:3884
        
        C:\Users\Admin\AppData\Local\Temp\932.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\932.tmp"
        234⤵
        
        PID:1740
        
        C:\Users\Admin\AppData\Local\Temp\981.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\981.tmp"
        235⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\9DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DE.tmp"
        236⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\A3C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A3C.tmp"
        237⤵
        
        PID:1472
        
        C:\Users\Admin\AppData\Local\Temp\A8A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A8A.tmp"
        238⤵
        
        PID:1716
        
        C:\Users\Admin\AppData\Local\Temp\AD8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD8.tmp"
        239⤵
        
        PID:4556
        
        C:\Users\Admin\AppData\Local\Temp\B36.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B36.tmp"
        240⤵
        
        PID:4288
        
        C:\Users\Admin\AppData\Local\Temp\B94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B94.tmp"
        241⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\BF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF2.tmp"
        242⤵
        
        PID:4460
        
        C:\Users\Admin\AppData\Local\Temp\C4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4F.tmp"
        243⤵
        
        PID:4472
        
        C:\Users\Admin\AppData\Local\Temp\C9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9D.tmp"
        244⤵
        
        PID:4824
        
        C:\Users\Admin\AppData\Local\Temp\CFB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFB.tmp"
        245⤵
        
        PID:2024
        
        C:\Users\Admin\AppData\Local\Temp\D49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D49.tmp"
        246⤵
        
        PID:1664
        
        C:\Users\Admin\AppData\Local\Temp\D97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D97.tmp"
        247⤵
        
        PID:3444
        
        C:\Users\Admin\AppData\Local\Temp\DF5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF5.tmp"
        248⤵
        
        PID:5084
        
        C:\Users\Admin\AppData\Local\Temp\E43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E43.tmp"
        249⤵
        
        PID:1724
        
        C:\Users\Admin\AppData\Local\Temp\E91.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E91.tmp"
        250⤵
        
        PID:3744
        
        C:\Users\Admin\AppData\Local\Temp\EEF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EEF.tmp"
        251⤵
        
        PID:4352
        
        C:\Users\Admin\AppData\Local\Temp\F3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3D.tmp"
        252⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\F9B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9B.tmp"
        253⤵
        
        PID:3244
        
        C:\Users\Admin\AppData\Local\Temp\FF9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF9.tmp"
        254⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\1047.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1047.tmp"
        255⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\10A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\10A5.tmp"
        256⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\1102.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1102.tmp"
        257⤵
        
        PID:2008
        
        C:\Users\Admin\AppData\Local\Temp\1151.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1151.tmp"
        258⤵
        
        PID:2244
        
        C:\Users\Admin\AppData\Local\Temp\119F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\119F.tmp"
        259⤵
        
        PID:4340
        
        C:\Users\Admin\AppData\Local\Temp\11FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\11FC.tmp"
        260⤵
        
        PID:4700
        
        C:\Users\Admin\AppData\Local\Temp\124B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\124B.tmp"
        261⤵
        
        PID:2216
        
        C:\Users\Admin\AppData\Local\Temp\12A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12A8.tmp"
        262⤵
        
        PID:4300
        
        C:\Users\Admin\AppData\Local\Temp\12E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12E7.tmp"
        263⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\1335.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1335.tmp"
        264⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\1383.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1383.tmp"
        265⤵
        
        PID:1452
        
        C:\Users\Admin\AppData\Local\Temp\13D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\13D1.tmp"
        266⤵
        
        PID:452
        
        C:\Users\Admin\AppData\Local\Temp\141F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\141F.tmp"
        267⤵
        
        PID:952
        
        C:\Users\Admin\AppData\Local\Temp\147D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\147D.tmp"
        268⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\14CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\14CB.tmp"
        269⤵
        
        PID:2452
        
        C:\Users\Admin\AppData\Local\Temp\1519.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1519.tmp"
        270⤵
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\1567.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1567.tmp"
        271⤵
        
        PID:5112
        
        C:\Users\Admin\AppData\Local\Temp\15B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15B6.tmp"
        272⤵
        
        PID:1952
        
        C:\Users\Admin\AppData\Local\Temp\1613.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1613.tmp"
        273⤵
        
        PID:3736
        
        C:\Users\Admin\AppData\Local\Temp\1671.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1671.tmp"
        274⤵
        
        PID:1108
        
        C:\Users\Admin\AppData\Local\Temp\16BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16BF.tmp"
        275⤵
        
        PID:1404
        
        C:\Users\Admin\AppData\Local\Temp\171D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\171D.tmp"
        276⤵
        
        PID:4928
        
        C:\Users\Admin\AppData\Local\Temp\177B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\177B.tmp"
        277⤵
        
        PID:4372
        
        C:\Users\Admin\AppData\Local\Temp\17D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\17D8.tmp"
        278⤵
        
        PID:1128
        
        C:\Users\Admin\AppData\Local\Temp\1836.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1836.tmp"
        279⤵
        
        PID:2376
        
        C:\Users\Admin\AppData\Local\Temp\1884.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1884.tmp"
        280⤵
        
        PID:3132
        
        C:\Users\Admin\AppData\Local\Temp\18D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\18D2.tmp"
        281⤵
        
        PID:772
        
        C:\Users\Admin\AppData\Local\Temp\1921.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1921.tmp"
        282⤵
        
        PID:4812
        
        C:\Users\Admin\AppData\Local\Temp\197E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\197E.tmp"
        283⤵
        
        PID:4252
        
        C:\Users\Admin\AppData\Local\Temp\19DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\19DC.tmp"
        284⤵
        
        PID:4480
        
        C:\Users\Admin\AppData\Local\Temp\1A2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A2A.tmp"
        285⤵
        
        PID:4992
        
        C:\Users\Admin\AppData\Local\Temp\1A78.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A78.tmp"
        286⤵
        
        PID:1828
        
        C:\Users\Admin\AppData\Local\Temp\1AD6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AD6.tmp"
        287⤵
        
        PID:440
        
        C:\Users\Admin\AppData\Local\Temp\1B24.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B24.tmp"
        288⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\1B72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B72.tmp"
        289⤵
        
        PID:3756
        
        C:\Users\Admin\AppData\Local\Temp\1BC0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1BC0.tmp"
        290⤵
        
        PID:2972
        
        C:\Users\Admin\AppData\Local\Temp\1C0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C0F.tmp"
        291⤵
        
        PID:2628
        
        C:\Users\Admin\AppData\Local\Temp\1C5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C5D.tmp"
        292⤵
        
        PID:3664
        
        C:\Users\Admin\AppData\Local\Temp\1CAB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1CAB.tmp"
        293⤵
        
        PID:2920
        
        C:\Users\Admin\AppData\Local\Temp\1D09.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D09.tmp"
        294⤵
        
        PID:3240
        
        C:\Users\Admin\AppData\Local\Temp\1D57.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D57.tmp"
        295⤵
        
        PID:512
        
        C:\Users\Admin\AppData\Local\Temp\1DA5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DA5.tmp"
        296⤵
        
        PID:1008
        
        C:\Users\Admin\AppData\Local\Temp\1DF3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DF3.tmp"
        297⤵
        
        PID:3316
        
        C:\Users\Admin\AppData\Local\Temp\1E41.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E41.tmp"
        298⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\1E8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E8F.tmp"
        299⤵
        
        PID:712
        
        C:\Users\Admin\AppData\Local\Temp\1EDD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1EDD.tmp"
        300⤵
        
        PID:3048
        
        C:\Users\Admin\AppData\Local\Temp\1F2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F2B.tmp"
        301⤵
        
        PID:1784
        
        C:\Users\Admin\AppData\Local\Temp\1F7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F7A.tmp"
        302⤵
        
        PID:2360
        
        C:\Users\Admin\AppData\Local\Temp\1FC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FC8.tmp"
        303⤵
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\2016.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2016.tmp"
        304⤵
        
        PID:3668
        
        C:\Users\Admin\AppData\Local\Temp\2064.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2064.tmp"
        305⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\20B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\20B2.tmp"
        306⤵
        
        PID:2452
        
        C:\Users\Admin\AppData\Local\Temp\2100.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2100.tmp"
        307⤵
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\214E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\214E.tmp"
        308⤵
        
        PID:5112
        
        C:\Users\Admin\AppData\Local\Temp\219C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\219C.tmp"
        309⤵
        
        PID:3416
        
        C:\Users\Admin\AppData\Local\Temp\21EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\21EB.tmp"
        310⤵
        
        PID:4788
        
        C:\Users\Admin\AppData\Local\Temp\2239.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2239.tmp"
        311⤵
        
        PID:3600
        
        C:\Users\Admin\AppData\Local\Temp\2287.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2287.tmp"
        312⤵
        
        PID:1404
        
        C:\Users\Admin\AppData\Local\Temp\22D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\22D5.tmp"
        313⤵
        
        PID:3740
        
        C:\Users\Admin\AppData\Local\Temp\2323.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2323.tmp"
        314⤵
        
        PID:2064
        
        C:\Users\Admin\AppData\Local\Temp\2371.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2371.tmp"
        315⤵
        
        PID:1356
        
        C:\Users\Admin\AppData\Local\Temp\23BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23BF.tmp"
        316⤵
        
        PID:2280
        
        C:\Users\Admin\AppData\Local\Temp\241D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\241D.tmp"
        317⤵
        
        PID:3472
        
        C:\Users\Admin\AppData\Local\Temp\246B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\246B.tmp"
        318⤵
        
        PID:4032
        
        C:\Users\Admin\AppData\Local\Temp\24B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24B9.tmp"
        319⤵
        
        PID:212
        
        C:\Users\Admin\AppData\Local\Temp\2507.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2507.tmp"
        320⤵
        
        PID:1436
        
        C:\Users\Admin\AppData\Local\Temp\2556.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2556.tmp"
        321⤵
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\25A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\25A4.tmp"
        322⤵
        
        PID:1724
        
        C:\Users\Admin\AppData\Local\Temp\25F2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\25F2.tmp"
        323⤵
        
        PID:1712
        
        C:\Users\Admin\AppData\Local\Temp\2640.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2640.tmp"
        324⤵
        
        PID:4352
        
        C:\Users\Admin\AppData\Local\Temp\268E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\268E.tmp"
        325⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\26DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\26DC.tmp"
        326⤵
        
        PID:3244
        
        C:\Users\Admin\AppData\Local\Temp\273A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\273A.tmp"
        327⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\2788.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2788.tmp"
        328⤵
        
        PID:2060
        
        C:\Users\Admin\AppData\Local\Temp\27D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27D6.tmp"
        329⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\2824.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2824.tmp"
        330⤵
        
        PID:2008
        
        C:\Users\Admin\AppData\Local\Temp\2872.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2872.tmp"
        331⤵
        
        PID:3268
        
        C:\Users\Admin\AppData\Local\Temp\28C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28C1.tmp"
        332⤵
        
        PID:3240
        
        C:\Users\Admin\AppData\Local\Temp\290F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\290F.tmp"
        333⤵
        
        PID:512
        
        C:\Users\Admin\AppData\Local\Temp\295D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\295D.tmp"
        334⤵
        
        PID:1008
        
        C:\Users\Admin\AppData\Local\Temp\29AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\29AB.tmp"
        335⤵
        
        PID:3316
        
        C:\Users\Admin\AppData\Local\Temp\2A09.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A09.tmp"
        336⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\2A66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A66.tmp"
        337⤵
        
        PID:712
        
        C:\Users\Admin\AppData\Local\Temp\2AB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2AB5.tmp"
        338⤵
        
        PID:3048
        
        C:\Users\Admin\AppData\Local\Temp\2B03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B03.tmp"
        339⤵
        
        PID:1784
        
        C:\Users\Admin\AppData\Local\Temp\2B51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B51.tmp"
        340⤵
        
        PID:2360
        
        C:\Users\Admin\AppData\Local\Temp\2B9F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B9F.tmp"
        341⤵
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\2BED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2BED.tmp"
        342⤵
        
        PID:3668
        
        C:\Users\Admin\AppData\Local\Temp\2C3B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C3B.tmp"
        343⤵
        
        PID:4316
        
        C:\Users\Admin\AppData\Local\Temp\2C89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C89.tmp"
        344⤵
        
        PID:2452
        
        C:\Users\Admin\AppData\Local\Temp\2CD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2CD7.tmp"
        345⤵
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\2D26.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D26.tmp"
        346⤵
        
        PID:5112
        
        C:\Users\Admin\AppData\Local\Temp\2D74.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D74.tmp"
        347⤵
        
        PID:2052
        
        C:\Users\Admin\AppData\Local\Temp\2DC2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2DC2.tmp"
        348⤵
        
        PID:4788
        
        C:\Users\Admin\AppData\Local\Temp\2E20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E20.tmp"
        349⤵
        
        PID:3600
        
        C:\Users\Admin\AppData\Local\Temp\2E6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E6E.tmp"
        350⤵
        
        PID:1404
        
        C:\Users\Admin\AppData\Local\Temp\2ECB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2ECB.tmp"
        351⤵
        
        PID:3740
        
        C:\Users\Admin\AppData\Local\Temp\2F1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F1A.tmp"
        352⤵
        
        PID:2064
        
        C:\Users\Admin\AppData\Local\Temp\2F68.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F68.tmp"
        353⤵
        
        PID:1356
        
        C:\Users\Admin\AppData\Local\Temp\2FB6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2FB6.tmp"
        354⤵
        
        PID:2280
        
        C:\Users\Admin\AppData\Local\Temp\3004.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3004.tmp"
        355⤵
        
        PID:1668
        
        C:\Users\Admin\AppData\Local\Temp\3052.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3052.tmp"
        356⤵
        
        PID:4376
        
        C:\Users\Admin\AppData\Local\Temp\30A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30A0.tmp"
        357⤵
        
        PID:2788
        
        C:\Users\Admin\AppData\Local\Temp\30DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30DF.tmp"
        358⤵
        
        PID:2484
        
        C:\Users\Admin\AppData\Local\Temp\313C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\313C.tmp"
        359⤵
        
        PID:2172
        
        C:\Users\Admin\AppData\Local\Temp\318B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\318B.tmp"
        360⤵
        
        PID:1536
        
        C:\Users\Admin\AppData\Local\Temp\31D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\31D9.tmp"
        361⤵
        
        PID:4024
        
        C:\Users\Admin\AppData\Local\Temp\3227.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3227.tmp"
        362⤵
        
        PID:3088
        
        C:\Users\Admin\AppData\Local\Temp\3275.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3275.tmp"
        363⤵
        
        PID:3984
        
        C:\Users\Admin\AppData\Local\Temp\32C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\32C3.tmp"
        364⤵
        
        PID:2388
        
        C:\Users\Admin\AppData\Local\Temp\3311.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3311.tmp"
        365⤵
        
        PID:1760
        
        C:\Users\Admin\AppData\Local\Temp\336F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\336F.tmp"
        366⤵
        
        PID:3728
        
        C:\Users\Admin\AppData\Local\Temp\33BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\33BD.tmp"
        367⤵
        
        PID:2456
        
        C:\Users\Admin\AppData\Local\Temp\340B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\340B.tmp"
        368⤵
        
        PID:996
        
        C:\Users\Admin\AppData\Local\Temp\3459.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3459.tmp"
        369⤵
        
        PID:2640
        
        C:\Users\Admin\AppData\Local\Temp\34A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\34A7.tmp"
        370⤵
        
        PID:3636
        
        C:\Users\Admin\AppData\Local\Temp\34F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\34F6.tmp"
        371⤵
        
        PID:4880
        
        C:\Users\Admin\AppData\Local\Temp\3544.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3544.tmp"
        372⤵
        
        PID:4048
        
        C:\Users\Admin\AppData\Local\Temp\3592.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3592.tmp"
        373⤵
        
        PID:876
        
        C:\Users\Admin\AppData\Local\Temp\35E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\35E0.tmp"
        374⤵
        
        PID:3608
        
        C:\Users\Admin\AppData\Local\Temp\362E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\362E.tmp"
        375⤵
        
        PID:1240
        
        C:\Users\Admin\AppData\Local\Temp\368C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\368C.tmp"
        376⤵
        
        PID:952
        
        C:\Users\Admin\AppData\Local\Temp\36DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36DA.tmp"
        377⤵
        
        PID:4560
        
        C:\Users\Admin\AppData\Local\Temp\3728.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3728.tmp"
        378⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\3767.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3767.tmp"
        379⤵
        
        PID:1200
        
        C:\Users\Admin\AppData\Local\Temp\37C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37C4.tmp"
        380⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\3812.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3812.tmp"
        381⤵
        
        PID:3508
        
        C:\Users\Admin\AppData\Local\Temp\3861.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3861.tmp"
        382⤵
        
        PID:1472
        
        C:\Users\Admin\AppData\Local\Temp\38AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\38AF.tmp"
        383⤵
        
        PID:1716
        
        C:\Users\Admin\AppData\Local\Temp\38FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\38FD.tmp"
        384⤵
        
        PID:4268
        
        C:\Users\Admin\AppData\Local\Temp\394B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\394B.tmp"
        385⤵
        
        PID:1108
        
        C:\Users\Admin\AppData\Local\Temp\3999.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3999.tmp"
        386⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\39E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\39E7.tmp"
        387⤵
        
        PID:4928
        
        C:\Users\Admin\AppData\Local\Temp\3A35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A35.tmp"
        388⤵
        
        PID:3740
        
        C:\Users\Admin\AppData\Local\Temp\3A83.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A83.tmp"
        389⤵
        
        PID:1864
        
        C:\Users\Admin\AppData\Local\Temp\3AD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3AD2.tmp"
        390⤵
        
        PID:3660
        
        C:\Users\Admin\AppData\Local\Temp\3B20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B20.tmp"
        391⤵
        
        PID:1436
        
        C:\Users\Admin\AppData\Local\Temp\3B6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B6E.tmp"
        392⤵
        
        PID:1960
        
        C:\Users\Admin\AppData\Local\Temp\3BBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3BBC.tmp"
        393⤵
        
        PID:4368
        
        C:\Users\Admin\AppData\Local\Temp\3C0A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C0A.tmp"
        394⤵
        
        PID:3744
        
        C:\Users\Admin\AppData\Local\Temp\3C58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C58.tmp"
        395⤵
        
        PID:1828
        
        C:\Users\Admin\AppData\Local\Temp\3CA6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CA6.tmp"
        396⤵
        
        PID:5116
        
        C:\Users\Admin\AppData\Local\Temp\3CF4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CF4.tmp"
        397⤵
        
        PID:4352
        
        C:\Users\Admin\AppData\Local\Temp\3D43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D43.tmp"
        398⤵
        
        PID:4500
        
        C:\Users\Admin\AppData\Local\Temp\3D91.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D91.tmp"
        399⤵
        
        PID:3104
        
        C:\Users\Admin\AppData\Local\Temp\3DDF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3DDF.tmp"
        400⤵
        
        PID:3936
        
        C:\Users\Admin\AppData\Local\Temp\3E2D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E2D.tmp"
        401⤵
        
        PID:3984
        
        C:\Users\Admin\AppData\Local\Temp\3E7B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E7B.tmp"
        402⤵
        
        PID:2388
        
        C:\Users\Admin\AppData\Local\Temp\3EC9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3EC9.tmp"
        403⤵
        
        PID:2240
        
        C:\Users\Admin\AppData\Local\Temp\3F17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F17.tmp"
        404⤵
        
        PID:2008
        
        C:\Users\Admin\AppData\Local\Temp\3F65.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F65.tmp"
        405⤵
        
        PID:3268
        
        C:\Users\Admin\AppData\Local\Temp\3FB4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3FB4.tmp"
        406⤵
        
        PID:3576
        
        C:\Users\Admin\AppData\Local\Temp\4002.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4002.tmp"
        407⤵
        
        PID:548
        
        C:\Users\Admin\AppData\Local\Temp\4050.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4050.tmp"
        408⤵
        
        PID:4300
        
        C:\Users\Admin\AppData\Local\Temp\409E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\409E.tmp"
        409⤵
        
        PID:4176
        
        C:\Users\Admin\AppData\Local\Temp\40EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\40EC.tmp"
        410⤵
        
        PID:712
        
        C:\Users\Admin\AppData\Local\Temp\413A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\413A.tmp"
        411⤵
        
        PID:1068
        
        C:\Users\Admin\AppData\Local\Temp\4188.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4188.tmp"
        412⤵
        
        PID:3424
        
        C:\Users\Admin\AppData\Local\Temp\41C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\41C7.tmp"
        413⤵
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\4215.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4215.tmp"
        414⤵
        
        PID:3668
        
        C:\Users\Admin\AppData\Local\Temp\4263.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4263.tmp"
        415⤵
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\42B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42B1.tmp"
        416⤵
        
        PID:5032
        
        C:\Users\Admin\AppData\Local\Temp\42FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42FF.tmp"
        417⤵
        
        PID:3868
        
        C:\Users\Admin\AppData\Local\Temp\434D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\434D.tmp"
        418⤵
        
        PID:1952
        
        C:\Users\Admin\AppData\Local\Temp\439C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\439C.tmp"
        419⤵
        
        PID:3404
        
        C:\Users\Admin\AppData\Local\Temp\43EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\43EA.tmp"
        420⤵
        
        PID:2052
        
        C:\Users\Admin\AppData\Local\Temp\4438.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4438.tmp"
        421⤵
        
        PID:2976
        
        C:\Users\Admin\AppData\Local\Temp\4486.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4486.tmp"
        422⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\44D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\44D4.tmp"
        423⤵
        
        PID:4764
        
        C:\Users\Admin\AppData\Local\Temp\4522.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4522.tmp"
        424⤵
        
        PID:2348
        
        C:\Users\Admin\AppData\Local\Temp\4580.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4580.tmp"
        425⤵
        
        PID:3092
        
        C:\Users\Admin\AppData\Local\Temp\45CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\45CE.tmp"
        426⤵
        
        PID:3444
        
        C:\Users\Admin\AppData\Local\Temp\460D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\460D.tmp"
        427⤵
        
        PID:4232
        
        C:\Users\Admin\AppData\Local\Temp\465B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\465B.tmp"
        428⤵
        
        PID:1356
        
        C:\Users\Admin\AppData\Local\Temp\46A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46A9.tmp"
        429⤵
        
        PID:1864
        
        C:\Users\Admin\AppData\Local\Temp\46F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46F7.tmp"
        430⤵
        
        PID:3660
        
        C:\Users\Admin\AppData\Local\Temp\4755.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4755.tmp"
        431⤵
        
        PID:2672
        
        C:\Users\Admin\AppData\Local\Temp\47A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47A3.tmp"
        432⤵
        
        PID:2788
        
        C:\Users\Admin\AppData\Local\Temp\4801.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4801.tmp"
        433⤵
        
        PID:3980
        
        C:\Users\Admin\AppData\Local\Temp\485E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\485E.tmp"
        434⤵
        
        PID:1712
        
        C:\Users\Admin\AppData\Local\Temp\48BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\48BC.tmp"
        435⤵
        
        PID:3468
        
        C:\Users\Admin\AppData\Local\Temp\491A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\491A.tmp"
        436⤵
        
        PID:1844
        
        C:\Users\Admin\AppData\Local\Temp\4987.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4987.tmp"
        437⤵
        
        PID:3252
        
        C:\Users\Admin\AppData\Local\Temp\49D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49D5.tmp"
        438⤵
        
        PID:2076
        
        C:\Users\Admin\AppData\Local\Temp\4A23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A23.tmp"
        439⤵
        
        PID:3288
        
        C:\Users\Admin\AppData\Local\Temp\4A72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A72.tmp"
        440⤵
        
        PID:3936
        
        C:\Users\Admin\AppData\Local\Temp\4ACF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4ACF.tmp"
        441⤵
        
        PID:3800
        
        C:\Users\Admin\AppData\Local\Temp\4B2D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B2D.tmp"
        442⤵
        
        PID:3944
        
        C:\Users\Admin\AppData\Local\Temp\4B7B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B7B.tmp"
        443⤵
        
        PID:3652
        
        C:\Users\Admin\AppData\Local\Temp\4BD9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BD9.tmp"
        444⤵
        
        PID:3240
        
        C:\Users\Admin\AppData\Local\Temp\4C37.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C37.tmp"
        445⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\4C85.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C85.tmp"
        446⤵
        
        PID:996
        
        C:\Users\Admin\AppData\Local\Temp\4CE3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4CE3.tmp"
        447⤵
        
        PID:4476
        
        C:\Users\Admin\AppData\Local\Temp\4D31.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D31.tmp"
        448⤵
        
        PID:208
        
        C:\Users\Admin\AppData\Local\Temp\4D7F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D7F.tmp"
        449⤵
        
        PID:1120
        
        C:\Users\Admin\AppData\Local\Temp\4DCD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4DCD.tmp"
        450⤵
        
        PID:2424
        
        C:\Users\Admin\AppData\Local\Temp\4E1B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E1B.tmp"
        451⤵
        
        PID:4144
        
        C:\Users\Admin\AppData\Local\Temp\4E69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E69.tmp"
        452⤵
        
        PID:2360
        
        C:\Users\Admin\AppData\Local\Temp\4EB7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4EB7.tmp"
        453⤵
        
        PID:3552
        
        C:\Users\Admin\AppData\Local\Temp\4F05.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F05.tmp"
        454⤵
        
        PID:1200
        
        C:\Users\Admin\AppData\Local\Temp\4F54.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F54.tmp"
        455⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\4FB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FB1.tmp"
        456⤵
        
        PID:1744
        
        C:\Users\Admin\AppData\Local\Temp\4FFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FFF.tmp"
        457⤵
        
        PID:5032
        
        C:\Users\Admin\AppData\Local\Temp\505D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\505D.tmp"
        458⤵
        
        PID:3868
        
        C:\Users\Admin\AppData\Local\Temp\50AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50AB.tmp"
        459⤵
        
        PID:1952
        
        C:\Users\Admin\AppData\Local\Temp\50F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50F9.tmp"
        460⤵
        
        PID:3404
        
        C:\Users\Admin\AppData\Local\Temp\5157.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5157.tmp"
        461⤵
        
        PID:4724
        
        C:\Users\Admin\AppData\Local\Temp\51B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\51B5.tmp"
        462⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\5213.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5213.tmp"
        463⤵
        
        PID:1624
        
        C:\Users\Admin\AppData\Local\Temp\5261.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5261.tmp"
        464⤵
        
        PID:3596
        
        C:\Users\Admin\AppData\Local\Temp\52BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52BF.tmp"
        465⤵
        
        PID:4244
        
        C:\Users\Admin\AppData\Local\Temp\530D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\530D.tmp"
        466⤵
        
        PID:1056
        
        C:\Users\Admin\AppData\Local\Temp\535B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\535B.tmp"
        467⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\53B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53B9.tmp"
        468⤵
        
        PID:4920
        
        C:\Users\Admin\AppData\Local\Temp\5416.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5416.tmp"
        469⤵
        
        PID:2024
        
        C:\Users\Admin\AppData\Local\Temp\5464.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5464.tmp"
        470⤵
        
        PID:212
        
        C:\Users\Admin\AppData\Local\Temp\54B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54B3.tmp"
        471⤵
        
        PID:1684
        
        C:\Users\Admin\AppData\Local\Temp\5501.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5501.tmp"
        472⤵
        
        PID:4368
        
        C:\Users\Admin\AppData\Local\Temp\554F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\554F.tmp"
        473⤵
        
        PID:3744
        
        C:\Users\Admin\AppData\Local\Temp\559D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\559D.tmp"
        474⤵
        
        PID:440
        
        C:\Users\Admin\AppData\Local\Temp\55FB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55FB.tmp"
        475⤵
        
        PID:4036
        
        C:\Users\Admin\AppData\Local\Temp\5649.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5649.tmp"
        476⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\5697.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5697.tmp"
        477⤵
        
        PID:4500
        
        C:\Users\Admin\AppData\Local\Temp\56E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56E5.tmp"
        478⤵
        
        PID:3104
        
        C:\Users\Admin\AppData\Local\Temp\5733.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5733.tmp"
        479⤵
        
        PID:1728
        
        C:\Users\Admin\AppData\Local\Temp\5781.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5781.tmp"
        480⤵
        
        PID:3984
        
        C:\Users\Admin\AppData\Local\Temp\57CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57CF.tmp"
        481⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\581E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\581E.tmp"
        482⤵
        
        PID:2240
        
        C:\Users\Admin\AppData\Local\Temp\586C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\586C.tmp"
        483⤵
        
        PID:2252
        
        C:\Users\Admin\AppData\Local\Temp\58C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\58C9.tmp"
        484⤵
        
        PID:1176
        
        C:\Users\Admin\AppData\Local\Temp\5927.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5927.tmp"
        485⤵
        
        PID:4924
        
        C:\Users\Admin\AppData\Local\Temp\5985.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5985.tmp"
        486⤵
        
        PID:1116
        
        C:\Users\Admin\AppData\Local\Temp\59E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59E3.tmp"
        487⤵
        
        PID:2740
        
        C:\Users\Admin\AppData\Local\Temp\5A31.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A31.tmp"
        488⤵
        
        PID:3048
        
        C:\Users\Admin\AppData\Local\Temp\5A7F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A7F.tmp"
        489⤵
        
        PID:208
        
        C:\Users\Admin\AppData\Local\Temp\5ACD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5ACD.tmp"
        490⤵
        
        PID:756
        
        C:\Users\Admin\AppData\Local\Temp\5B1B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B1B.tmp"
        491⤵
        
        PID:4860
        
        C:\Users\Admin\AppData\Local\Temp\5B69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B69.tmp"
        492⤵
        
        PID:1068
        
        C:\Users\Admin\AppData\Local\Temp\5BB7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5BB7.tmp"
        493⤵
        
        PID:4212
        
        C:\Users\Admin\AppData\Local\Temp\5C15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C15.tmp"
        494⤵
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\5C63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C63.tmp"
        495⤵
        
        PID:2868
        
        C:\Users\Admin\AppData\Local\Temp\5CB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5CB1.tmp"
        496⤵
        
        PID:4756
        
        C:\Users\Admin\AppData\Local\Temp\5D00.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D00.tmp"
        497⤵
        
        PID:1552
        
        C:\Users\Admin\AppData\Local\Temp\5D4E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D4E.tmp"
        498⤵
        
        PID:1472
        
        C:\Users\Admin\AppData\Local\Temp\5D9C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D9C.tmp"
        499⤵
        
        PID:3640
        
        C:\Users\Admin\AppData\Local\Temp\5DEA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DEA.tmp"
        500⤵
        
        PID:4288
        
        C:\Users\Admin\AppData\Local\Temp\5E48.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E48.tmp"
        501⤵
        
        PID:4000
        
        C:\Users\Admin\AppData\Local\Temp\5E96.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E96.tmp"
        502⤵
        
        PID:4296
        
        C:\Users\Admin\AppData\Local\Temp\5EE4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5EE4.tmp"
        503⤵
        
        PID:1724
        
        C:\Users\Admin\AppData\Local\Temp\5F42.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F42.tmp"
        504⤵
        
        PID:1204
        
        C:\Users\Admin\AppData\Local\Temp\5F90.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F90.tmp"
        505⤵
        
        PID:3740
        
        C:\Users\Admin\AppData\Local\Temp\5FDE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FDE.tmp"
        506⤵
        
        PID:3884
        
        C:\Users\Admin\AppData\Local\Temp\602C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\602C.tmp"
        507⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\607A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\607A.tmp"
        508⤵
        
        PID:3660
        
        C:\Users\Admin\AppData\Local\Temp\60C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\60C8.tmp"
        509⤵
        
        PID:2672
        
        C:\Users\Admin\AppData\Local\Temp\6116.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6116.tmp"
        510⤵
        
        PID:412
        
        C:\Users\Admin\AppData\Local\Temp\6165.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6165.tmp"
        511⤵
        
        PID:5092
        
        C:\Users\Admin\AppData\Local\Temp\61C2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\61C2.tmp"
        512⤵
        
        PID:1712
        
        C:\Users\Admin\AppData\Local\Temp\6210.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6210.tmp"
        513⤵
        
        PID:3468
        
        C:\Users\Admin\AppData\Local\Temp\626E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\626E.tmp"
        514⤵
        
        PID:4404
        
        C:\Users\Admin\AppData\Local\Temp\62BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\62BC.tmp"
        515⤵
        
        PID:3856
        
        C:\Users\Admin\AppData\Local\Temp\631A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\631A.tmp"
        516⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\6368.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6368.tmp"
        517⤵
        
        PID:4064
        
        C:\Users\Admin\AppData\Local\Temp\63B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\63B6.tmp"
        518⤵
        
        PID:3320
        
        C:\Users\Admin\AppData\Local\Temp\6404.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6404.tmp"
        519⤵
        
        PID:4396
        
        C:\Users\Admin\AppData\Local\Temp\6453.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6453.tmp"
        520⤵
        
        PID:880
        
        C:\Users\Admin\AppData\Local\Temp\64A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\64A1.tmp"
        521⤵
        
        PID:3196
        
        C:\Users\Admin\AppData\Local\Temp\64EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\64EF.tmp"
        522⤵
        
        PID:3240
        
        C:\Users\Admin\AppData\Local\Temp\653D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\653D.tmp"
        523⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\658B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\658B.tmp"
        524⤵
        
        PID:996
        
        C:\Users\Admin\AppData\Local\Temp\65D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\65D9.tmp"
        525⤵
        
        PID:2272
        
        C:\Users\Admin\AppData\Local\Temp\6627.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6627.tmp"
        526⤵
        
        PID:4300
        
        C:\Users\Admin\AppData\Local\Temp\6685.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6685.tmp"
        527⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\66D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\66D3.tmp"
        528⤵
        
        PID:2120
        
        C:\Users\Admin\AppData\Local\Temp\6721.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6721.tmp"
        529⤵
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\676F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\676F.tmp"
        530⤵
        
        PID:5100
        
        C:\Users\Admin\AppData\Local\Temp\67BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\67BE.tmp"
        531⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\680C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\680C.tmp"
        532⤵
        
        PID:1448
        
        C:\Users\Admin\AppData\Local\Temp\685A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\685A.tmp"
        533⤵
        
        PID:1788
        
        C:\Users\Admin\AppData\Local\Temp\68A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68A8.tmp"
        534⤵
        
        PID:4672
        
        C:\Users\Admin\AppData\Local\Temp\68F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68F6.tmp"
        535⤵
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\6944.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6944.tmp"
        536⤵
        
        PID:3392
        
        C:\Users\Admin\AppData\Local\Temp\6992.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6992.tmp"
        537⤵
        
        PID:3872
        
        C:\Users\Admin\AppData\Local\Temp\69F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\69F0.tmp"
        538⤵
        
        PID:5096
        
        C:\Users\Admin\AppData\Local\Temp\6A3E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A3E.tmp"
        539⤵
        
        PID:2528
        
        C:\Users\Admin\AppData\Local\Temp\6A8C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A8C.tmp"
        540⤵
        
        PID:4764
        
        C:\Users\Admin\AppData\Local\Temp\6ADA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6ADA.tmp"
        541⤵
        
        PID:2968
        
        C:\Users\Admin\AppData\Local\Temp\6B29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B29.tmp"
        542⤵
        
        PID:4232
        
        C:\Users\Admin\AppData\Local\Temp\6B77.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B77.tmp"
        543⤵
        
        PID:1356
        
        C:\Users\Admin\AppData\Local\Temp\6BC5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BC5.tmp"
        544⤵
        
        PID:1864
        
        C:\Users\Admin\AppData\Local\Temp\6C13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C13.tmp"
        545⤵
        
        PID:1436
        
        C:\Users\Admin\AppData\Local\Temp\6C61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C61.tmp"
        546⤵
        
        PID:1960
        
        C:\Users\Admin\AppData\Local\Temp\6CAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CAF.tmp"
        547⤵
        
        PID:2736
        
        C:\Users\Admin\AppData\Local\Temp\6CFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CFD.tmp"
        548⤵
        
        PID:2672
        
        C:\Users\Admin\AppData\Local\Temp\6D4B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D4B.tmp"
        549⤵
        
        PID:2296
        
        C:\Users\Admin\AppData\Local\Temp\6D9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D9A.tmp"
        550⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\6DF7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DF7.tmp"
        551⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\6E45.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E45.tmp"
        552⤵
        
        PID:4572
        
        C:\Users\Admin\AppData\Local\Temp\6E94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E94.tmp"
        553⤵
        
        PID:2532
        
        C:\Users\Admin\AppData\Local\Temp\6EE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6EE2.tmp"
        554⤵
        
        PID:3088
        
        C:\Users\Admin\AppData\Local\Temp\6F30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F30.tmp"
        555⤵
        
        PID:3984
        
        C:\Users\Admin\AppData\Local\Temp\6F7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F7E.tmp"
        556⤵
        
        PID:3800
        
        C:\Users\Admin\AppData\Local\Temp\6FCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6FCC.tmp"
        557⤵
        
        PID:1760
        
        C:\Users\Admin\AppData\Local\Temp\701A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\701A.tmp"
        558⤵
        
        PID:3728
        
        C:\Users\Admin\AppData\Local\Temp\7068.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7068.tmp"
        559⤵
        
        PID:512
        
        C:\Users\Admin\AppData\Local\Temp\70B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\70B6.tmp"
        560⤵
        
        PID:2784
        
        C:\Users\Admin\AppData\Local\Temp\7114.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7114.tmp"
        561⤵
        
        PID:2972
        
        C:\Users\Admin\AppData\Local\Temp\7162.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7162.tmp"
        562⤵
        
        PID:4264
        
        C:\Users\Admin\AppData\Local\Temp\71B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71B0.tmp"
        563⤵
        
        PID:4476
        
        C:\Users\Admin\AppData\Local\Temp\71FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71FF.tmp"
        564⤵
        
        PID:3608
        
        C:\Users\Admin\AppData\Local\Temp\725C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\725C.tmp"
        565⤵
        
        PID:4560
        
        C:\Users\Admin\AppData\Local\Temp\72AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72AA.tmp"
        566⤵
        
        PID:1228
        
        C:\Users\Admin\AppData\Local\Temp\7308.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7308.tmp"
        567⤵
        
        PID:3668
        
        C:\Users\Admin\AppData\Local\Temp\7356.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7356.tmp"
        568⤵
        
        PID:3736
        
        C:\Users\Admin\AppData\Local\Temp\73A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73A4.tmp"
        569⤵
        
        PID:4944
        
        C:\Users\Admin\AppData\Local\Temp\73F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73F3.tmp"
        570⤵
        
        PID:4756
        
        C:\Users\Admin\AppData\Local\Temp\7441.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7441.tmp"
        571⤵
        
        PID:2740
        
        C:\Users\Admin\AppData\Local\Temp\748F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\748F.tmp"
        572⤵
        
        PID:3640
        
        C:\Users\Admin\AppData\Local\Temp\74ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\74ED.tmp"
        573⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\753B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\753B.tmp"
        574⤵
        
        PID:2528
        
        C:\Users\Admin\AppData\Local\Temp\7598.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7598.tmp"
        575⤵
        
        PID:1056
        
        C:\Users\Admin\AppData\Local\Temp\75F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75F6.tmp"
        576⤵
        
        PID:2968
        
        C:\Users\Admin\AppData\Local\Temp\7644.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7644.tmp"
        577⤵
        
        PID:4920
        
        C:\Users\Admin\AppData\Local\Temp\7692.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7692.tmp"
        578⤵
        
        PID:4216
        
        C:\Users\Admin\AppData\Local\Temp\76E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76E1.tmp"
        579⤵
        
        PID:5084
        
        C:\Users\Admin\AppData\Local\Temp\773E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\773E.tmp"
        580⤵
        
        PID:1684
        
        C:\Users\Admin\AppData\Local\Temp\778C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\778C.tmp"
        581⤵
        
        PID:4368
        
        C:\Users\Admin\AppData\Local\Temp\77DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77DB.tmp"
        582⤵
        
        PID:4980
        
        C:\Users\Admin\AppData\Local\Temp\7838.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7838.tmp"
        583⤵
        
        PID:3524
        
        C:\Users\Admin\AppData\Local\Temp\7886.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7886.tmp"
        584⤵
        
        PID:4024
        
        C:\Users\Admin\AppData\Local\Temp\78D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78D5.tmp"
        585⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\7932.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7932.tmp"
        586⤵
        
        PID:4572
        
        C:\Users\Admin\AppData\Local\Temp\7980.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7980.tmp"
        587⤵
        
        PID:4340
        
        C:\Users\Admin\AppData\Local\Temp\79CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79CF.tmp"
        588⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\7A1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A1D.tmp"
        589⤵
        
        PID:3944
        
        C:\Users\Admin\AppData\Local\Temp\7A6B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A6B.tmp"
        590⤵
        
        PID:228
        
        C:\Users\Admin\AppData\Local\Temp\7AB9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AB9.tmp"
        591⤵
        
        PID:880
        
        C:\Users\Admin\AppData\Local\Temp\7B07.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B07.tmp"
        592⤵
        
        PID:400
        
        C:\Users\Admin\AppData\Local\Temp\7B65.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B65.tmp"
        593⤵
        
        PID:3316
        
        C:\Users\Admin\AppData\Local\Temp\7BC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BC3.tmp"
        594⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\7C20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C20.tmp"
        595⤵
        
        PID:2272
        
        C:\Users\Admin\AppData\Local\Temp\7C6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C6E.tmp"
        596⤵
        
        PID:4048
        
        C:\Users\Admin\AppData\Local\Temp\7CBD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CBD.tmp"
        597⤵
        
        PID:876
        
        C:\Users\Admin\AppData\Local\Temp\7D0B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D0B.tmp"
        598⤵
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\7D59.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D59.tmp"
        599⤵
        
        PID:5100
        
        C:\Users\Admin\AppData\Local\Temp\7DA7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DA7.tmp"
        600⤵
        
        PID:448
        
        C:\Users\Admin\AppData\Local\Temp\7DF5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DF5.tmp"
        601⤵
        
        PID:1448
        
        C:\Users\Admin\AppData\Local\Temp\7E53.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E53.tmp"
        602⤵
        
        PID:1788
        
        C:\Users\Admin\AppData\Local\Temp\7EA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7EA1.tmp"
        603⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\7EEF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7EEF.tmp"
        604⤵
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\7F3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F3D.tmp"
        605⤵
        
        PID:1716
        
        C:\Users\Admin\AppData\Local\Temp\7F8B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F8B.tmp"
        606⤵
        
        PID:3416
        
        C:\Users\Admin\AppData\Local\Temp\7FE9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FE9.tmp"
        607⤵
        
        PID:4788
        
        C:\Users\Admin\AppData\Local\Temp\8047.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8047.tmp"
        608⤵
        
        PID:2052
        
        C:\Users\Admin\AppData\Local\Temp\8095.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8095.tmp"
        609⤵
        
        PID:3716
        
        C:\Users\Admin\AppData\Local\Temp\80E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\80E3.tmp"
        610⤵
        
        PID:2968
        
        C:\Users\Admin\AppData\Local\Temp\8131.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8131.tmp"
        611⤵
        
        PID:1864
        
        C:\Users\Admin\AppData\Local\Temp\817F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\817F.tmp"
        612⤵
        
        PID:888
        
        C:\Users\Admin\AppData\Local\Temp\81CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\81CD.tmp"
        613⤵
        
        PID:3884
        
        C:\Users\Admin\AppData\Local\Temp\821C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\821C.tmp"
        614⤵
        
        PID:3744
        
        C:\Users\Admin\AppData\Local\Temp\8279.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8279.tmp"
        615⤵
        
        PID:4044
        
        C:\Users\Admin\AppData\Local\Temp\82C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82C7.tmp"
        616⤵
        
        PID:5116
        
        C:\Users\Admin\AppData\Local\Temp\8316.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8316.tmp"
        617⤵
        
        PID:1496
        
        C:\Users\Admin\AppData\Local\Temp\8373.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8373.tmp"
        618⤵
        
        PID:4404
        
        C:\Users\Admin\AppData\Local\Temp\83C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\83C1.tmp"
        619⤵
        
        PID:4500
        
        C:\Users\Admin\AppData\Local\Temp\8410.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8410.tmp"
        620⤵
        
        PID:3480
        
        C:\Users\Admin\AppData\Local\Temp\846D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\846D.tmp"
        621⤵
        
        PID:3320
        
        C:\Users\Admin\AppData\Local\Temp\84BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\84BB.tmp"
        622⤵
        
        PID:1996
        
        C:\Users\Admin\AppData\Local\Temp\8519.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8519.tmp"
        623⤵
        
        PID:436
        
        C:\Users\Admin\AppData\Local\Temp\8567.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8567.tmp"
        624⤵
        
        PID:4732
        
        C:\Users\Admin\AppData\Local\Temp\85C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\85C5.tmp"
        625⤵
        
        PID:3604
        
        C:\Users\Admin\AppData\Local\Temp\8623.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8623.tmp"
        626⤵
        
        PID:3728
        
        C:\Users\Admin\AppData\Local\Temp\8681.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8681.tmp"
        627⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\86CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\86CF.tmp"
        628⤵
        
        PID:4176
        
        C:\Users\Admin\AppData\Local\Temp\871D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\871D.tmp"
        629⤵
        
        PID:1120
        
        C:\Users\Admin\AppData\Local\Temp\876B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\876B.tmp"
        630⤵
        
        PID:3664
        
        C:\Users\Admin\AppData\Local\Temp\87B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\87B9.tmp"
        631⤵
        
        PID:712
        
        C:\Users\Admin\AppData\Local\Temp\8807.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8807.tmp"
        632⤵
        
        PID:4560
        
        C:\Users\Admin\AppData\Local\Temp\8855.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8855.tmp"
        633⤵
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\88A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88A3.tmp"
        634⤵
        
        PID:2240
        
        C:\Users\Admin\AppData\Local\Temp\88F2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88F2.tmp"
        635⤵
        
        PID:3736
        
        C:\Users\Admin\AppData\Local\Temp\8940.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8940.tmp"
        636⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\4B61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B61.tmp"
        34⤵
        Executes dropped EXE
        
        PID:3816
        
        C:\Users\Admin\AppData\Local\Temp\7474.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7474.tmp"
        23⤵
        
        PID:5116
        
        C:\Users\Admin\AppData\Local\Temp\7EB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7EB5.tmp"
        21⤵
        
        PID:1424
        
        C:\Users\Admin\AppData\Local\Temp\6765.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6765.tmp"
        17⤵
        
        PID:3524
        
        C:\Users\Admin\AppData\Local\Temp\4546.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4546.tmp"
        17⤵
        Executes dropped EXE
        
        PID:2280
        
        C:\Users\Admin\AppData\Local\Temp\57B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57B5.tmp"
        14⤵
        
        PID:1864
        
        C:\Users\Admin\AppData\Local\Temp\42D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42D5.tmp"
        10⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3936
- - C:\Users\Admin\AppData\Local\Temp\54B7.tmp
    "C:\Users\Admin\AppData\Local\Temp\54B7.tmp"
    3⤵
    PID:8

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k netsvcs -p -s wuauserv
1⤵
PID:1504

C:\Users\Admin\AppData\Local\Temp\79D3.tmp
"C:\Users\Admin\AppData\Local\Temp\79D3.tmp"
1⤵
PID:1448
- C:\Users\Admin\AppData\Local\Temp\7A21.tmp
  "C:\Users\Admin\AppData\Local\Temp\7A21.tmp"
  2⤵
  PID:5016
- - C:\Users\Admin\AppData\Local\Temp\7A70.tmp
    "C:\Users\Admin\AppData\Local\Temp\7A70.tmp"
    3⤵
    PID:888
- - C:\Users\Admin\AppData\Local\Temp\84FF.tmp
    "C:\Users\Admin\AppData\Local\Temp\84FF.tmp"
    3⤵
    PID:4920
  - - C:\Users\Admin\AppData\Local\Temp\8F8E.tmp
      "C:\Users\Admin\AppData\Local\Temp\8F8E.tmp"
      4⤵
      Executes dropped EXE
      PID:3660
    - - C:\Users\Admin\AppData\Local\Temp\4E6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E6E.tmp"
        5⤵
        Executes dropped EXE
        
        PID:1128

C:\Users\Admin\AppData\Local\Temp\7F03.tmp
"C:\Users\Admin\AppData\Local\Temp\7F03.tmp"
1⤵
PID:1408
- C:\Users\Admin\AppData\Local\Temp\7F52.tmp
  "C:\Users\Admin\AppData\Local\Temp\7F52.tmp"
  2⤵
  PID:3140
- - C:\Users\Admin\AppData\Local\Temp\7FA0.tmp
    "C:\Users\Admin\AppData\Local\Temp\7FA0.tmp"
    3⤵
    PID:3664
  - - C:\Users\Admin\AppData\Local\Temp\51C9.tmp
      "C:\Users\Admin\AppData\Local\Temp\51C9.tmp"
      4⤵
      PID:2788

C:\Users\Admin\AppData\Local\Temp\80D8.tmp
"C:\Users\Admin\AppData\Local\Temp\80D8.tmp"
1⤵
PID:4800
- C:\Users\Admin\AppData\Local\Temp\8117.tmp
  "C:\Users\Admin\AppData\Local\Temp\8117.tmp"
  2⤵
  PID:1264

C:\Users\Admin\AppData\Local\Temp\81B3.tmp
"C:\Users\Admin\AppData\Local\Temp\81B3.tmp"
1⤵
PID:3884
- C:\Users\Admin\AppData\Local\Temp\8201.tmp
  "C:\Users\Admin\AppData\Local\Temp\8201.tmp"
  2⤵
  PID:3424
- - C:\Users\Admin\AppData\Local\Temp\956A.tmp
    "C:\Users\Admin\AppData\Local\Temp\956A.tmp"
    3⤵
    PID:4788
  - - C:\Users\Admin\AppData\Local\Temp\95B8.tmp
      "C:\Users\Admin\AppData\Local\Temp\95B8.tmp"
      4⤵
      PID:2008
    - - C:\Users\Admin\AppData\Local\Temp\9606.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9606.tmp"
        5⤵
        
        PID:4564
      - C:\Users\Admin\AppData\Local\Temp\9654.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9654.tmp"
        6⤵
        
        PID:4804

C:\Users\Admin\AppData\Local\Temp\829D.tmp
"C:\Users\Admin\AppData\Local\Temp\829D.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2452
- C:\Users\Admin\AppData\Local\Temp\82EB.tmp
  "C:\Users\Admin\AppData\Local\Temp\82EB.tmp"
  2⤵
  PID:4088
- - C:\Users\Admin\AppData\Local\Temp\833A.tmp
    "C:\Users\Admin\AppData\Local\Temp\833A.tmp"
    3⤵
    PID:1532
  - - C:\Users\Admin\AppData\Local\Temp\B46B.tmp
      "C:\Users\Admin\AppData\Local\Temp\B46B.tmp"
      4⤵
      PID:1508
    - - C:\Users\Admin\AppData\Local\Temp\B4B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B4B9.tmp"
        5⤵
        
        PID:4232
      - C:\Users\Admin\AppData\Local\Temp\B508.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B508.tmp"
        6⤵
        
        PID:3324
        
        C:\Users\Admin\AppData\Local\Temp\B556.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B556.tmp"
        7⤵
        
        PID:5060
        
        C:\Users\Admin\AppData\Local\Temp\45E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\45E2.tmp"
        7⤵
        Executes dropped EXE
        
        PID:3728
    - - C:\Users\Admin\AppData\Local\Temp\6EB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6EB8.tmp"
        5⤵
        
        PID:1744
- C:\Users\Admin\AppData\Local\Temp\3E8F.tmp
  "C:\Users\Admin\AppData\Local\Temp\3E8F.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:3076

C:\Users\Admin\AppData\Local\Temp\859B.tmp
"C:\Users\Admin\AppData\Local\Temp\859B.tmp"
1⤵
PID:1764
- C:\Users\Admin\AppData\Local\Temp\85E9.tmp
  "C:\Users\Admin\AppData\Local\Temp\85E9.tmp"
  2⤵
  PID:3504
- - C:\Users\Admin\AppData\Local\Temp\8637.tmp
    "C:\Users\Admin\AppData\Local\Temp\8637.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:4656
  - - C:\Users\Admin\AppData\Local\Temp\8685.tmp
      "C:\Users\Admin\AppData\Local\Temp\8685.tmp"
      4⤵
      PID:3188
  - - C:\Users\Admin\AppData\Local\Temp\59D8.tmp
      "C:\Users\Admin\AppData\Local\Temp\59D8.tmp"
      4⤵
      PID:3188
    - - C:\Users\Admin\AppData\Local\Temp\440E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\440E.tmp"
        5⤵
        Executes dropped EXE
        
        PID:4480
  - - C:\Users\Admin\AppData\Local\Temp\43C0.tmp
      "C:\Users\Admin\AppData\Local\Temp\43C0.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:3188

C:\Users\Admin\AppData\Local\Temp\86D3.tmp
"C:\Users\Admin\AppData\Local\Temp\86D3.tmp"
1⤵
PID:1892
- C:\Users\Admin\AppData\Local\Temp\8722.tmp
  "C:\Users\Admin\AppData\Local\Temp\8722.tmp"
  2⤵
  PID:228

C:\Users\Admin\AppData\Local\Temp\88F6.tmp
"C:\Users\Admin\AppData\Local\Temp\88F6.tmp"
1⤵
PID:2132
- C:\Users\Admin\AppData\Local\Temp\8935.tmp
  "C:\Users\Admin\AppData\Local\Temp\8935.tmp"
  2⤵
  PID:4500
- - C:\Users\Admin\AppData\Local\Temp\5D91.tmp
    "C:\Users\Admin\AppData\Local\Temp\5D91.tmp"
    3⤵
    PID:5060
  - - C:\Users\Admin\AppData\Local\Temp\4769.tmp
      "C:\Users\Admin\AppData\Local\Temp\4769.tmp"
      4⤵
      Executes dropped EXE
      PID:4368
- - C:\Users\Admin\AppData\Local\Temp\471B.tmp
    "C:\Users\Admin\AppData\Local\Temp\471B.tmp"
    3⤵
    - Executes dropped EXE
    PID:5060

C:\Users\Admin\AppData\Local\Temp\8DC9.tmp
"C:\Users\Admin\AppData\Local\Temp\8DC9.tmp"
1⤵
PID:3584
- C:\Users\Admin\AppData\Local\Temp\8E17.tmp
  "C:\Users\Admin\AppData\Local\Temp\8E17.tmp"
  2⤵
  PID:1448
- - C:\Users\Admin\AppData\Local\Temp\8E65.tmp
    "C:\Users\Admin\AppData\Local\Temp\8E65.tmp"
    3⤵
    PID:1944
- - C:\Users\Admin\AppData\Local\Temp\419D.tmp
    "C:\Users\Admin\AppData\Local\Temp\419D.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:4324

C:\Users\Admin\AppData\Local\Temp\8EB3.tmp
"C:\Users\Admin\AppData\Local\Temp\8EB3.tmp"
1⤵
PID:888
- C:\Users\Admin\AppData\Local\Temp\8EF2.tmp
  "C:\Users\Admin\AppData\Local\Temp\8EF2.tmp"
  2⤵
  PID:3508
- - C:\Users\Admin\AppData\Local\Temp\8F40.tmp
    "C:\Users\Admin\AppData\Local\Temp\8F40.tmp"
    3⤵
    PID:4920
  - - C:\Users\Admin\AppData\Local\Temp\854D.tmp
      "C:\Users\Admin\AppData\Local\Temp\854D.tmp"
      4⤵
      PID:1460
- C:\Users\Admin\AppData\Local\Temp\7ABE.tmp
  "C:\Users\Admin\AppData\Local\Temp\7ABE.tmp"
  2⤵
  - Executes dropped EXE
  PID:3508

C:\Users\Admin\AppData\Local\Temp\928B.tmp
"C:\Users\Admin\AppData\Local\Temp\928B.tmp"
1⤵
PID:4064
- C:\Users\Admin\AppData\Local\Temp\92DA.tmp
  "C:\Users\Admin\AppData\Local\Temp\92DA.tmp"
  2⤵
  PID:4700
- - C:\Users\Admin\AppData\Local\Temp\5CC6.tmp
    "C:\Users\Admin\AppData\Local\Temp\5CC6.tmp"
    3⤵
    PID:2628

C:\Users\Admin\AppData\Local\Temp\9961.tmp
"C:\Users\Admin\AppData\Local\Temp\9961.tmp"
1⤵
PID:3660
- C:\Users\Admin\AppData\Local\Temp\99BF.tmp
  "C:\Users\Admin\AppData\Local\Temp\99BF.tmp"
  2⤵
  PID:4232
- - C:\Users\Admin\AppData\Local\Temp\9A1D.tmp
    "C:\Users\Admin\AppData\Local\Temp\9A1D.tmp"
    3⤵
    PID:3316
  - - C:\Users\Admin\AppData\Local\Temp\9A6B.tmp
      "C:\Users\Admin\AppData\Local\Temp\9A6B.tmp"
      4⤵
      PID:4072
    - - C:\Users\Admin\AppData\Local\Temp\9AB9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9AB9.tmp"
        5⤵
        
        PID:3636

C:\Users\Admin\AppData\Local\Temp\9C30.tmp
"C:\Users\Admin\AppData\Local\Temp\9C30.tmp"
1⤵
PID:876
- C:\Users\Admin\AppData\Local\Temp\9C7E.tmp
  "C:\Users\Admin\AppData\Local\Temp\9C7E.tmp"
  2⤵
  PID:4704
- - C:\Users\Admin\AppData\Local\Temp\9CCC.tmp
    "C:\Users\Admin\AppData\Local\Temp\9CCC.tmp"
    3⤵
    PID:4300
  - - C:\Users\Admin\AppData\Local\Temp\9D1B.tmp
      "C:\Users\Admin\AppData\Local\Temp\9D1B.tmp"
      4⤵
      PID:4048
    - - C:\Users\Admin\AppData\Local\Temp\9D69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D69.tmp"
        5⤵
        
        PID:4800
      - C:\Users\Admin\AppData\Local\Temp\9DB7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DB7.tmp"
        6⤵
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\9E05.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E05.tmp"
        7⤵
        
        PID:1624
        
        C:\Users\Admin\AppData\Local\Temp\9E72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E72.tmp"
        8⤵
        
        PID:772

C:\Users\Admin\AppData\Local\Temp\952B.tmp
"C:\Users\Admin\AppData\Local\Temp\952B.tmp"
1⤵
PID:3424
- C:\Users\Admin\AppData\Local\Temp\824F.tmp
  "C:\Users\Admin\AppData\Local\Temp\824F.tmp"
  2⤵
  PID:3744

C:\Users\Admin\AppData\Local\Temp\9EC0.tmp
"C:\Users\Admin\AppData\Local\Temp\9EC0.tmp"
1⤵
PID:1244
- C:\Users\Admin\AppData\Local\Temp\9F0F.tmp
  "C:\Users\Admin\AppData\Local\Temp\9F0F.tmp"
  2⤵
  PID:8
- - C:\Users\Admin\AppData\Local\Temp\9F5D.tmp
    "C:\Users\Admin\AppData\Local\Temp\9F5D.tmp"
    3⤵
    PID:2868
  - - C:\Users\Admin\AppData\Local\Temp\9FAB.tmp
      "C:\Users\Admin\AppData\Local\Temp\9FAB.tmp"
      4⤵
      PID:3468

C:\Users\Admin\AppData\Local\Temp\9FF9.tmp
"C:\Users\Admin\AppData\Local\Temp\9FF9.tmp"
1⤵
PID:4316
- C:\Users\Admin\AppData\Local\Temp\A047.tmp
  "C:\Users\Admin\AppData\Local\Temp\A047.tmp"
  2⤵
  PID:1744
- - C:\Users\Admin\AppData\Local\Temp\A095.tmp
    "C:\Users\Admin\AppData\Local\Temp\A095.tmp"
    3⤵
    PID:1376
  - - C:\Users\Admin\AppData\Local\Temp\4239.tmp
      "C:\Users\Admin\AppData\Local\Temp\4239.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:3220

C:\Users\Admin\AppData\Local\Temp\A0E3.tmp
"C:\Users\Admin\AppData\Local\Temp\A0E3.tmp"
1⤵
PID:5032
- C:\Users\Admin\AppData\Local\Temp\A131.tmp
  "C:\Users\Admin\AppData\Local\Temp\A131.tmp"
  2⤵
  PID:4288
- - C:\Users\Admin\AppData\Local\Temp\A180.tmp
    "C:\Users\Admin\AppData\Local\Temp\A180.tmp"
    3⤵
    PID:1716
  - - C:\Users\Admin\AppData\Local\Temp\A1CE.tmp
      "C:\Users\Admin\AppData\Local\Temp\A1CE.tmp"
      4⤵
      PID:2052
    - - C:\Users\Admin\AppData\Local\Temp\A21C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A21C.tmp"
        5⤵
        
        PID:4928
      - C:\Users\Admin\AppData\Local\Temp\A26A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A26A.tmp"
        6⤵
        
        PID:1436
    - - C:\Users\Admin\AppData\Local\Temp\703E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\703E.tmp"
        5⤵
        
        PID:3936
      - C:\Users\Admin\AppData\Local\Temp\4323.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4323.tmp"
        6⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:512

C:\Users\Admin\AppData\Local\Temp\A2B8.tmp
"C:\Users\Admin\AppData\Local\Temp\A2B8.tmp"
1⤵
PID:440
- C:\Users\Admin\AppData\Local\Temp\A306.tmp
  "C:\Users\Admin\AppData\Local\Temp\A306.tmp"
  2⤵
  PID:2336
- - C:\Users\Admin\AppData\Local\Temp\A354.tmp
    "C:\Users\Admin\AppData\Local\Temp\A354.tmp"
    3⤵
    PID:1960
  - - C:\Users\Admin\AppData\Local\Temp\A3A2.tmp
      "C:\Users\Admin\AppData\Local\Temp\A3A2.tmp"
      4⤵
      Executes dropped EXE
      PID:2584
    - - C:\Users\Admin\AppData\Local\Temp\A3F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A3F1.tmp"
        5⤵
        
        PID:4992
      - C:\Users\Admin\AppData\Local\Temp\A43F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A43F.tmp"
        6⤵
        Executes dropped EXE
        
        PID:2172
    - - C:\Users\Admin\AppData\Local\Temp\44F8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\44F8.tmp"
        5⤵
        
        PID:1772
  - - C:\Users\Admin\AppData\Local\Temp\3FF7.tmp
      "C:\Users\Admin\AppData\Local\Temp\3FF7.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:1532

C:\Users\Admin\AppData\Local\Temp\A901.tmp
"C:\Users\Admin\AppData\Local\Temp\A901.tmp"
1⤵
- Executes dropped EXE
PID:3740
- C:\Users\Admin\AppData\Local\Temp\A950.tmp
  "C:\Users\Admin\AppData\Local\Temp\A950.tmp"
  2⤵
  PID:5004
- - C:\Users\Admin\AppData\Local\Temp\A99E.tmp
    "C:\Users\Admin\AppData\Local\Temp\A99E.tmp"
    3⤵
    PID:1724
  - - C:\Users\Admin\AppData\Local\Temp\8D7B.tmp
      "C:\Users\Admin\AppData\Local\Temp\8D7B.tmp"
      4⤵
      PID:3460

C:\Windows\System32\sihclient.exe
C:\Windows\System32\sihclient.exe /cv AbOF6UMjrUGke801C9lBdw.0.2
1⤵
PID:4396
- C:\Users\Admin\AppData\Local\Temp\684F.tmp
  "C:\Users\Admin\AppData\Local\Temp\684F.tmp"
  2⤵
  PID:2240

C:\Users\Admin\AppData\Local\Temp\8388.tmp
"C:\Users\Admin\AppData\Local\Temp\8388.tmp"
1⤵
PID:5004

C:\Users\Admin\AppData\Local\Temp\B5A4.tmp
"C:\Users\Admin\AppData\Local\Temp\B5A4.tmp"
1⤵
PID:1860
- C:\Users\Admin\AppData\Local\Temp\B5F2.tmp
  "C:\Users\Admin\AppData\Local\Temp\B5F2.tmp"
  2⤵
  PID:2628
- - C:\Users\Admin\AppData\Local\Temp\B640.tmp
    "C:\Users\Admin\AppData\Local\Temp\B640.tmp"
    3⤵
    - Executes dropped EXE
    PID:2388
  - - C:\Users\Admin\AppData\Local\Temp\B68E.tmp
      "C:\Users\Admin\AppData\Local\Temp\B68E.tmp"
      4⤵
      PID:996

C:\Users\Admin\AppData\Local\Temp\46CD.tmp
"C:\Users\Admin\AppData\Local\Temp\46CD.tmp"
1⤵
- Executes dropped EXE
PID:4500

C:\Users\Admin\AppData\Local\Temp\467F.tmp
"C:\Users\Admin\AppData\Local\Temp\467F.tmp"
1⤵
- Executes dropped EXE
PID:1604

C:\Users\Admin\AppData\Local\Temp\4631.tmp
"C:\Users\Admin\AppData\Local\Temp\4631.tmp"
1⤵
- Executes dropped EXE
PID:4560

C:\Users\Admin\AppData\Local\Temp\4594.tmp
"C:\Users\Admin\AppData\Local\Temp\4594.tmp"
1⤵
- Executes dropped EXE
PID:3324

C:\Users\Admin\AppData\Local\Temp\445C.tmp
"C:\Users\Admin\AppData\Local\Temp\445C.tmp"
1⤵
- Executes dropped EXE
PID:1892

C:\Users\Admin\AppData\Local\Temp\4287.tmp
"C:\Users\Admin\AppData\Local\Temp\4287.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1404

C:\Users\Admin\AppData\Local\Temp\41EB.tmp
"C:\Users\Admin\AppData\Local\Temp\41EB.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1376

C:\Users\Admin\AppData\Local\Temp\4093.tmp
"C:\Users\Admin\AppData\Local\Temp\4093.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4252

C:\Users\Admin\AppData\Local\Temp\3FA9.tmp
"C:\Users\Admin\AppData\Local\Temp\3FA9.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1960

C:\Windows\system32\usoclient.exe
C:\Windows\system32\usoclient.exe StartScan
1⤵
PID:4668

C:\Windows\system32\MusNotification.exe
C:\Windows\system32\MusNotification.exe
1⤵
PID:4460

C:\Windows\system32\usoclient.exe
C:\Windows\system32\usoclient.exe StartScan
1⤵
PID:4024

C:\Windows\System32\Upfc.exe
C:\Windows\System32\Upfc.exe /launchtype periodic /cv AbOF6UMjrUGke801C9lBdw.0
1⤵
PID:3912

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\3C4D.tmp

Filesize
85KB

MD5
686b8b4022435e64c486b0527d856200

SHA1
821e061239dc0d29980116db62af80a654634773

SHA256
43a093a528f0624220ed9c33613d32c76af4c1be9a892dadca19a98f799f51ea

SHA512
f5678b52247bd7cb8cc17bb6cc90f4611070eb85514343e4634fc37d9c60327d041aa977d2ffdb6c40662b0f43183c3c2be53066f7b790cadf37ab4c3eee475d

Download Submit
C:\Users\Admin\AppData\Local\Temp\3CAB.tmp

Filesize
92KB

MD5
9508f0a03b873df2e238b9ed667ec563

SHA1
c65f85f219b0ce6a6f8779d37ddf67b57f6ca061

SHA256
ce014192893b902d3a2959cb4ab7cfc333569ca89e8c05acf662f041db39d6dc

SHA512
fda1afa5f3e667cb9bcd78d40aad10ade25831ce7165e97031c90259e2384bc1853df671e7f1013073eca871673559e95f662a638d9e5e2fbbe9f1fd482309a5

Download Submit
C:\Users\Admin\AppData\Local\Temp\3CAB.tmp

Filesize
122KB

MD5
aab545cdf8d651358060231fb74305ec

SHA1
46a80071b406286eccb43dd1a149329486c7008a

SHA256
dd1dc08e2320597fb402879a04b4cc4189107226d020739a274e021b074315eb

SHA512
fac252bbd255072b9d8a0e069392c3eb42ce6068f9dc506c0cc517248e6049912112cc963e63ad5b29d94c39a4ff4d251a67a363861c573e7f38cf5b8a1826d4

Download Submit
C:\Users\Admin\AppData\Local\Temp\3D09.tmp

Filesize
72KB

MD5
c82523a3bc3199bde6b8baea247a9535

SHA1
e79dcd2e53a1b8e692db7a413c3618d86dea8d09

SHA256
534e62848fb5e057b781d6868aaf74e41871062345323f833e8664bf28478562

SHA512
409ea46de12d732aa8da17835961e1ca18daf6653da74b73158c32568cf7930bceb834569ce6c7414daf4c7028be071bcc4f145d4d125affc2d64cbec722141d

Download Submit
C:\Users\Admin\AppData\Local\Temp\3D09.tmp

Filesize
53KB

MD5
507f7eec7b8e86705fe7d41937380c21

SHA1
128429fa06f765d56e28dacaa7508556fc1a6363

SHA256
c9da5e21e890f4d56bce8da5828b81c4d072bc6f05671609576100f21614e6ed

SHA512
365f163a8f00d8c63abd334d7dc1724227abcab55503c5ddad9ef5d13fd3ac1b2a38db4bca7567070aca2bfbd0d781869de7359bb251a6852d2c85852539a149

Download Submit
C:\Users\Admin\AppData\Local\Temp\3D09.tmp

Filesize
59KB

MD5
cfb50be93a9c00a3ad001cf454e196ae

SHA1
78df6f341fd5387fada62f4456819692c37d9c04

SHA256
2cb1c8a23dcfec8cccaf4cd7558f2561f232c4b5e333f4ad3dacc4d40e1423e9

SHA512
2a903188d851dac0de95895574d06591c595e075024def24d288eb0424a625e58a849a57e3938f42d6bb2a33c7efacd38a99cf197a54ce4ff758f43d849e728e

Download Submit
C:\Users\Admin\AppData\Local\Temp\3E8F.tmp

Filesize
64KB

MD5
d08f6896133cc9add8b90ea6bb9b0b3b

SHA1
bdccf502cf686579f1734cbd0c7793f9da3ba3a5

SHA256
7d594c4f5ab49b9ae012ce6a869d0b01dad81b9bb624e6d15b5cb7e54f6f85e0

SHA512
eb3fd879ae2783b376cdf7ecc92c9e2706b9c996695e752f062a01061acc9feeb5782f71c9f9c77b1a192824a054dbdab388ed09112c424e153335947cb15ce7

Download Submit
C:\Users\Admin\AppData\Local\Temp\3EDE.tmp

Filesize
97KB

MD5
bf8bac58ee21740db397ef8fa34ad4ee

SHA1
b9855f8efb660040908d3d2740ebe8313ce0273c

SHA256
11126b7b83ac3757183d2e9679b89100a56ef3e16a6a593ada13962cd5abe729

SHA512
a6d5ddd6b244a5f8dd0f5e8ebeb0f1d8001f28ac46540556f860b64f5e9aaeaea5298fe3edf8df112d2e00a4efe08aa8d9352d61fdd76fb378ba05d35fabf380

Download Submit
C:\Users\Admin\AppData\Local\Temp\3EDE.tmp

Filesize
33KB

MD5
03eefb4412d1bce9d8cd090b7d632f84

SHA1
933b9108a3093b6d9f4289c44d37511e0c29f98a

SHA256
2fcdd3440ea17933d087176001a23fbd885f040cf9e7e6fe38c16b9a9ddc3ac0

SHA512
cd9c14fa2969a83d1903a8185027d3fe7c689242384557551b022378c8591ba9b3d8ac74b427dfcac9ccf46dff8fdd4988b812d6df083e82a1fa3c3040e93bf9

Download Submit
C:\Users\Admin\AppData\Local\Temp\3F5B.tmp

Filesize
83KB

MD5
ee6f5013e95ce35dacdec2792a003624

SHA1
6350f96b600255cf221ab043182371628397bdae

SHA256
ff72d3f5d0a7ebf5ae0893cd6a3f157280f24450c49e77e5a980b8c00cddd2e8

SHA512
11c282f8a392e91a74005d9a33ee64aa9e0b48726ad379ed876b748e2fb086ea314b1a2d697990f3066d1db9036e94eaa97fb3c63d5562dedd7628df2e46c379

Download Submit
C:\Users\Admin\AppData\Local\Temp\3FA9.tmp

Filesize
38KB

MD5
b4ae9e3b969100a377b081a6b92d5202

SHA1
430f9063721798ac64f89ccbcf192e933af2f409

SHA256
3ce70a2280fb15aca754bb288dc8a5fdf70cf5e020fa0ee0392a311ee71a1427

SHA512
e6ba39a620b91c69b9545f8c4e77bc3828c37db3df40a41d28884267300a7b80c9ee4f83fe4cdb641233b8fc564c92d002665ba6d8c0ac0717f47e8ec6bf171f

Download Submit
C:\Users\Admin\AppData\Local\Temp\3FA9.tmp

Filesize
32KB

MD5
83ec99cb40e3cb81e15fa154a7be3a23

SHA1
32fbec01e31708f3cd4456ab1623d39b8ebb59e4

SHA256
9941e714cd8d990af94ba6adc12673fa928483611d730a888f5a9c71216744a1

SHA512
2c2e8fecb1598626b9a72d225a86e82bb75cd165661fd40e6477cb4de0ff34694f9ba24d4e8f3b8de0f5bc0f56c453c937163d7a635e1c83e6e2ed3f9bb19473

Download Submit
C:\Users\Admin\AppData\Local\Temp\3FF7.tmp

Filesize
57KB

MD5
7e2fec422f52fcda34f2b6fb4ae24907

SHA1
4ec23f93f81162b9e26a0eb6d51f4a065bdf029a

SHA256
b204fa0922978626f563138f05da588be00b97863af7655586ec5ee2151230a4

SHA512
7fb4d826cc72c10e6b1c584b17dcaca59644ca9271a212454effe73157efec7435aabcaa0450551de7d9fbcecee2f13517a1caa1cfa9ddfe82149a1bd642ed6e

Download Submit
C:\Users\Admin\AppData\Local\Temp\3FF7.tmp

Filesize
42KB

MD5
0e027206f60460393cf67a91e21c5eaa

SHA1
c3e6cee65c8c150544976be5fe3e9604ab1201dc

SHA256
ece5fa2cc60db890df43f84ea83fea8fb606ea18bded1c5d9f7c257e66eeb35b

SHA512
5b32f4cbc102243ccc3414167954ae4bda6b0e8fdb923fb1a3ee20760640b914cdf2b67f1624afc4a8965fd5fb5cfca413178f34ffe1fe3bd6ff6eaacc99556b

Download Submit
C:\Users\Admin\AppData\Local\Temp\4045.tmp

Filesize
486KB

MD5
3c26149f726f039e44915fb65e5ea57d

SHA1
31372122b971d277ad03ec590b287ddd1758af0d

SHA256
a121102730ed2ce685ae333a420ab1ec7581862cb8a67bc04879f6184e5a9d97

SHA512
f7d2897404113a24d57b32aa71544adc5b6e24231409a4125ad6a9e5b04fc1a981e610df5fd1e3ebfb07e00dd009ad392413ae6382adc56ee42a39493637ee7e

Download Submit
C:\Users\Admin\AppData\Local\Temp\4045.tmp

Filesize
57KB

MD5
e6f3e999982e40808db585f288957244

SHA1
bda02a562f8f3b9ce055e64b4f3271a04247801e

SHA256
f04da0a9fead5f75c6f302eaa3784613ca78eaf6e5691ee0ed1c020d2604f590

SHA512
963c49038875b14d169d7d5f8f2de5bfde0a8a16ef54f45d316de08b7dfd3bf4eea415930fffc7634e629b895865ae7ec71df313bde9c60431e30cb658be66a1

Download Submit
C:\Users\Admin\AppData\Local\Temp\4093.tmp

Filesize
58KB

MD5
dc3585720cf69cbd32ed13ea30b06f5f

SHA1
cb2aadddc0e18b0aa3dbffa82cebdadcac70f2bd

SHA256
c31feffeb5dbaa04137af0b739057a8200d08cfa943882ab1b10f32449605aed

SHA512
9aa39bc5e3aca6908130526b059ab58725c1dfbae989643edf42d68ccfa4e92d752e31ab2f28e42501c8ef0379ef222149138f53162dafa5fbcf0c96e6ce1cec

Download Submit
C:\Users\Admin\AppData\Local\Temp\4093.tmp

Filesize
96KB

MD5
03a7a5f398aef1c8a108f960085b7e08

SHA1
81db9bd594d3e7d83944e75818231cf0fd9becb1

SHA256
a3a26c3d572203d1b78ceb9a38d80dbebc301cd243b7e68c3b88dd99931616ec

SHA512
b2d952d51f374413bb12004c4b5b9c6f3df668aff90e373c5300572a9838ef631a42dec122b3077257e17addc4d04063be9f80c7e3d6b982a452f06a2bcc35b8

Download Submit
C:\Users\Admin\AppData\Local\Temp\40F1.tmp

Filesize
486KB

MD5
b47a5fc1b98086c9a27488f29d3cc4d0

SHA1
853be9cf6c225c6e14d2e4b527913d04e74d6b04

SHA256
1bc676b6b18cf7327b49025741a857e2d679a4ac7d9bbecb3d9f4e748a56838d

SHA512
164b4276d650f6052eee10083eedc64d22035f4ed1c041efab67176f3edc3022bd75251376ac5285401146b83b9e46e4750669f5b4fd89257c8beceb44e8fdc8

Download Submit
C:\Users\Admin\AppData\Local\Temp\40F1.tmp

Filesize
38KB

MD5
7a4b18630762b2b4bd4be471acc87af5

SHA1
f50095d08930857f31c3bc14276260a99830e95a

SHA256
ad98c1cc82c3bedd94f138c7616b5183e69532e6031fae0db52a8e39b38d9f77

SHA512
056f783e5909f31dee2cda7093ff5ddaf88b736fe21dc7bda315eae820e602db86ac1cef79db3c45cfcd52b4d9318551d71538b901138fa963a68bac80eaff5d

Download Submit
C:\Users\Admin\AppData\Local\Temp\4239.tmp

Filesize
486KB

MD5
d827edb4aecf777c6ff7c50dcab655da

SHA1
fe0f293f67d5401b7dffb1b89b56ba408526b1c1

SHA256
e02b56c4b6519c91588174ceb13b8314afb71df6692bb797bc794fd069e82269

SHA512
959dd3f5927152490ba06e50086610de2021a3dde3251f6e7bad53e28abd7e435b44a6e7082f3998b43533628b5b50f21ea7733c5ce2b24a282b4566897b97cb

Download Submit
C:\Users\Admin\AppData\Local\Temp\4239.tmp

Filesize
74KB

MD5
a97c9a78b48b665e1b6702e97baf1181

SHA1
ad35dce1377ce8698fb55fce7fc88ca084bedc28

SHA256
a381b4951fc01e3ef250bf2795da2a604707d466de3828fe71af0d0df1a66c08

SHA512
484dd66455493aaa858b3d5429090ee1ca7ba0be1422e3de527d152730071b2a1c23020db8a69b7a09103ea326f18c9bc218775af8920c81f09b4ef869c839c8

Download Submit
C:\Users\Admin\AppData\Local\Temp\42D5.tmp

Filesize
5KB

MD5
c33c36b9cb55a2817642ee60a13df4f6

SHA1
d46b25a347fcf6c48c74d033aa5e1540b914f117

SHA256
8aefa92e9ad75fc5e397b9f1a0535e3cbaf154888f547a8d1a250bbdd4f2bb57

SHA512
b6671e98ca2a169831e335511c16bad526e55b7c85f34b5f9cc2112b014b63038505a76fe737e1f2b714fa1f968978ab4374246eb6a046d59538aaea6533e597

Download Submit
C:\Users\Admin\AppData\Local\Temp\4323.tmp

Filesize
486KB

MD5
6be71930f625d950dd0f65c8747a3599

SHA1
63e38807c2c61f922a92607c5da1578e51f6a25a

SHA256
cf126dc9f0823002b34ff0b23621a95f5ce0e409438e2a8d0445d4ccbbe746b5

SHA512
0cc18719c1c39f4ea8279a608a7e2460571f5442e34273beab97c5868c8371e3af0b9a34289baa75b69a1d7be46cafc670fbea5c5bdc36c9177f0a923eb5976e

Download Submit
C:\Users\Admin\AppData\Local\Temp\4323.tmp

Filesize
65KB

MD5
2ccfd1a706ff22b371edf8cb25ac84a8

SHA1
26da7c180f5e35cb82e4f7d49f295654826ce03f

SHA256
287c484af502b45c7ec459893d0f14381e65da88abd406a6d717d854d6c60e9e

SHA512
f8ccc6c5e6eee3110c55b3657ef8f214e8973004cf12d97df0f271cba9a9c5547d8de63d3a606edc0c414175ffa0d844e305892f8aae05d10f82404c0261082f

Download Submit
C:\Users\Admin\AppData\Local\Temp\4371.tmp

Filesize
486KB

MD5
0f4932cc4cc904109053ad823d52cbd2

SHA1
7c645130fadba4848a1720e67243c20f6e4fecbf

SHA256
3eefb1b84df65836dcd50760fa3307c5c919cfbb6df20e9975ce4de1c069a47a

SHA512
0d6a2af6b9d26fad91fcb053a646b478ad4d349f6e421b6c59dbdf234fcfd0cf6b12a20e23ebcf557f7b0ed4917d69533a4c5fade9582747dab1e3a141e49a61

Download Submit
C:\Users\Admin\AppData\Local\Temp\4371.tmp

Filesize
30KB

MD5
479cc7189b1b221197f0d94409a20865

SHA1
672ffda7c57b913f3a76dfac16a30753d0e3a313

SHA256
00adcdd1c901647e88b3f8105ca4795aec6dadff9f5941b82511a6b8abbfdddf

SHA512
935244a358047f7acef8476937b60669f7182aa24f85b2cae04cfe5b8a50607dda1b0fe4d5e9dadefcc5668da579d0d7fef7ac2dcc6b69e6ad2e91deebe44c88

Download Submit
C:\Users\Admin\AppData\Local\Temp\43C0.tmp

Filesize
12KB

MD5
acdc89fc35acf985327920da1151d891

SHA1
91ae5f7d802e56d9fb1bca8540114eabf146d8c1

SHA256
379f9f250f70ef95ac42380fe6b43c914471a6e5c43e1be6d098331f5f2559e6

SHA512
a5a941b26c069e1130b86dcc368485e704ebd32eb25081ed41a4663cb4ae49be2be51546539f6dbdc1db2723f5e0881dd4fa469230e0caebe620d843e3db905d

Download Submit
C:\Users\Admin\AppData\Local\Temp\440E.tmp

Filesize
43KB

MD5
14fb28710cb66da7e308cbc0bb701189

SHA1
ada052a84db19c818de9d327be3282f6252a50da

SHA256
95447b6d9567ef4ea04787fa7ce0eb35db435f0295916a7831aa02b100e625dd

SHA512
5bfbf41edbc0168170fe4f435c997be774dc91bd83660f87197af11a701fd110ab0dd42dabc6eb93b6a3ed1e52233974dda24fe25d1ca724f2e7d1efc35f0df8

Download Submit
C:\Users\Admin\AppData\Local\Temp\44AA.tmp

Filesize
67KB

MD5
d8b0721aa27385bf25cfdd47eb381ecd

SHA1
ff96abd287119f602c32241af2069ed161c771b4

SHA256
83a09317a2caceadc7b761e0fed467385eb53ef54662711290eb081c70d08753

SHA512
54fbe3a4993cf3756d40a9f302e16f250c9b71d88b78811ee508d78d65b20637fabae1fcb4f2ea39c09e0964f40a0e352d887c542fa59dc451328d5a27bb9694

Download Submit
C:\Users\Admin\AppData\Local\Temp\4546.tmp

Filesize
486KB

MD5
0cc73cffd94be684361e114412d8b255

SHA1
89a76f49f67ad9912f2121ec78a5b2f210d21062

SHA256
6d23149aca03d773649513dc007fe1a41ad1e84ef0abbac9e12cf97402af9dd5

SHA512
8d5ae94d024f4d45c61f2a960691de37cb9a285608d34360ab092b87db8ecabb80278229cf78880f5879f23c9efabc613d23754d4920d673d293abbd2de1c94a

Download Submit
C:\Users\Admin\AppData\Local\Temp\4546.tmp

Filesize
55KB

MD5
2c2fe535c4384e9c5403060d83ed6e5c

SHA1
81c8ba96098a7bfaa28d1ba488fd0aa661620686

SHA256
cdb00fc58856a116616ae3ff2f4dd54c8bbd2dd9ef535a9f49bc300f90ebde7d

SHA512
cb8f10468d8ff9de759ca3f2bb4612191bea4aa25d1cfde836651ec16a22f91af07317b14453d0578f1776ac7f5dac655a3c1518f5404767016a4dcf2d589c36

Download Submit
C:\Users\Admin\AppData\Local\Temp\4594.tmp

Filesize
47KB

MD5
91e39e0279deba48fa85a4dba4b75c8b

SHA1
f2ec3ddbd215ac21300cfad0bf8147cc68b39566

SHA256
1b91b0eb7ec9b2645a1f3de9ef925b2d8fb307d3c372e8c105f04863c35477e7

SHA512
e92600d25c03629bfe29705548269a094591bd7d2ec4c2c4199dcb5149ac1d8b5ad6806d3b96d98fc99c315f9d0453fe5432316f7f7b6fd718e0b78b3eea1e25

Download Submit
C:\Users\Admin\AppData\Local\Temp\45E2.tmp

Filesize
63KB

MD5
8556c877dd590238036d6db18ad08bcf

SHA1
9f868a4b597c26226f3b2ab942a21d99d7d1eac7

SHA256
10bcb59b1d13b65ea0db8216d9f17e0d2d9430d774fcb7ebc059813082ada2f3

SHA512
921a5d092a8c99bc15213e34f5e5571f8aefecea9d87f615459a71eb963dc1450eae21fedee418dbce790458433edb54d482900e370942ca43a1e749d8589989

Download Submit
C:\Users\Admin\AppData\Local\Temp\4631.tmp

Filesize
28KB

MD5
77320bcf7aa9cace107a5297a83601eb

SHA1
a0afeb14d24fef7d63dfe8fa6266352adbe13abd

SHA256
60139da25d5fb0049c7a4f4aa5ba7a77756a7e074499eef9fb269509650396b8

SHA512
4be3d32ad9dfebecef9eca1e28ecc2face1e4fc56c2c4e8c7926755c34b2983ce9578b7f19178dd3b480c03387935099ba009e90a78f0d10f144534f4f04da4f

Download Submit
C:\Users\Admin\AppData\Local\Temp\4631.tmp

Filesize
15KB

MD5
f3cca9b8a518c91e1b30cfc3aff0c639

SHA1
d85e01c4ed81cad286287408c720cd1350aad45a

SHA256
002eb0bdf803e05851f6f04bf1e9f4205d5e3dfa6395cf6350a88e11ea183b46

SHA512
56709ca17b57294eedb2582a5de1f683eafa7901dfe5504b35b42e5cb77c0eae8e2d2b05d9a54a377af958efc13a093ce2249dd652c1db263c07af84733709c7

Download Submit
C:\Users\Admin\AppData\Local\Temp\467F.tmp

Filesize
35KB

MD5
40d54b85f50d5b7d527c7501075473d2

SHA1
161e57157b084aeb9797c29ad50dd9a2eb4d9920

SHA256
f1363674997a450241cbb9b7efed4a25bf82c419c139ce0f0246cc8228f71828

SHA512
0efbe39f4a16fc0afdfc5fa8c4663bfb5c024c965e946d10ca0b13e9d3c81496f8d86b9e78a068a76f1fc3664aa1d2ca45cf2d3cbb02d2009511f7710fa7aa16

Download Submit
C:\Users\Admin\AppData\Local\Temp\471B.tmp

Filesize
84KB

MD5
549182a04f1dd18c216b62de10dc3669

SHA1
15818da8852dec42f7f729de3bc16c8f3741604e

SHA256
6c4606e60843ba471bbe5cddda76116e7759ea77f1a7c348654d5ffcecf31fed

SHA512
7efc1370f9d4ff6042b963b6acc58adf6f45fc293f0294e32357b810931bfa926e8c2322382a5df73ed5f4a3b8c372a1f5deeccff64d310317e009578ec8099c

Download Submit
C:\Users\Admin\AppData\Local\Temp\471B.tmp

Filesize
16KB

MD5
6c97de5db6d59692bded4ae5b0fbe35f

SHA1
9fc15026bb1f6d90e18d5792638d7bc101737055

SHA256
1c5689c6218e3cb9c36bf72af64960642d84e8c054cd9e980ee7d45e1384f37b

SHA512
607140167676b8c2c378b316aa145b890743fdf711c51d88c9d9f89e8c479f0bdc4b255ed29592513e481c1fd3adda578f218ffe92d24c9c39d0c04e01921a4a

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads