383d40cbfd79eac22189e7e834b3ba474cb09611a037f2be2cfdefd1beca4592

Analysis

max time kernel
149s
max time network
147s
platform
windows10-2004_x64
resource
win10v2004-20231222-en
resource tags

arch:x64arch:x86image:win10v2004-20231222-enlocale:en-usos:windows10-2004-x64system
submitted
11/01/2024, 05:47

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

2024-01-10_2761a66c0e2e5bc53f70ea526f1dea87_mafia.exe
Size

527KB
MD5

2761a66c0e2e5bc53f70ea526f1dea87
SHA1

718412afb6f12395eef38f34e0715cbb4c5e5eb2
SHA256

383d40cbfd79eac22189e7e834b3ba474cb09611a037f2be2cfdefd1beca4592
SHA512

5be2a6924652c429a45574dcf467ad9d204efef7260906009d4849e81fc7cd542a206513a62dc6811f3c37c78d0c48449d57c3ecd0c9c6e146c079a7dfe8f8e8
SSDEEP

12288:fU5rCOTeidLCfQeBWLher4YEVJuFYItE6DZu:fUQOJdLuQeM9er4YEV0CIRDo

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 36 IoCs

pid	Process
4856	3C3E.tmp
2700	3C9B.tmp
392	3CEA.tmp
1108	C11D.tmp
4524	3D86.tmp
3204	3DD4.tmp
1424	3E22.tmp
4100	3E70.tmp
1680	3EBE.tmp
1796	3F1C.tmp
2088	3F6A.tmp
4964	3FB8.tmp
1916	5D91.tmp
1732	4064.tmp
4180	40C2.tmp
1444	4120.tmp
4320	417D.tmp
2392	41DB.tmp
2420	328.tmp
3676	4287.tmp
4716	42D5.tmp
1104	4323.tmp
2660	4541.tmp
3752	64EF.tmp
3144	443D.tmp
856	Process not Found
4660	44D9.tmp
3456	Process not Found
2692	Process not Found
4424	Process not Found
4456	Process not Found
1876	468E.tmp
4324	46DC.tmp
2688	4987.tmp
3472	Process not Found
968	Process not Found

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 220 wrote to memory of 4856	220	2024-01-10_2761a66c0e2e5bc53f70ea526f1dea87_mafia.exe	657
PID 220 wrote to memory of 4856	220	2024-01-10_2761a66c0e2e5bc53f70ea526f1dea87_mafia.exe	657
PID 220 wrote to memory of 4856	220	2024-01-10_2761a66c0e2e5bc53f70ea526f1dea87_mafia.exe	657
PID 4856 wrote to memory of 2700	4856	3C3E.tmp	656
PID 4856 wrote to memory of 2700	4856	3C3E.tmp	656
PID 4856 wrote to memory of 2700	4856	3C3E.tmp	656
PID 2700 wrote to memory of 392	2700	3C9B.tmp	655
PID 2700 wrote to memory of 392	2700	3C9B.tmp	655
PID 2700 wrote to memory of 392	2700	3C9B.tmp	655
PID 392 wrote to memory of 1108	392	3CEA.tmp	374
PID 392 wrote to memory of 1108	392	3CEA.tmp	374
PID 392 wrote to memory of 1108	392	3CEA.tmp	374
PID 1108 wrote to memory of 4524	1108	C11D.tmp	654
PID 1108 wrote to memory of 4524	1108	C11D.tmp	654
PID 1108 wrote to memory of 4524	1108	C11D.tmp	654
PID 4524 wrote to memory of 3204	4524	3D86.tmp	653
PID 4524 wrote to memory of 3204	4524	3D86.tmp	653
PID 4524 wrote to memory of 3204	4524	3D86.tmp	653
PID 3204 wrote to memory of 1424	3204	3DD4.tmp	652
PID 3204 wrote to memory of 1424	3204	3DD4.tmp	652
PID 3204 wrote to memory of 1424	3204	3DD4.tmp	652
PID 1424 wrote to memory of 4100	1424	3E22.tmp	651
PID 1424 wrote to memory of 4100	1424	3E22.tmp	651
PID 1424 wrote to memory of 4100	1424	3E22.tmp	651
PID 4100 wrote to memory of 1680	4100	3E70.tmp	650
PID 4100 wrote to memory of 1680	4100	3E70.tmp	650
PID 4100 wrote to memory of 1680	4100	3E70.tmp	650
PID 1680 wrote to memory of 1796	1680	3EBE.tmp	649
PID 1680 wrote to memory of 1796	1680	3EBE.tmp	649
PID 1680 wrote to memory of 1796	1680	3EBE.tmp	649
PID 1796 wrote to memory of 2088	1796	3F1C.tmp	648
PID 1796 wrote to memory of 2088	1796	3F1C.tmp	648
PID 1796 wrote to memory of 2088	1796	3F1C.tmp	648
PID 2088 wrote to memory of 4964	2088	3F6A.tmp	647
PID 2088 wrote to memory of 4964	2088	3F6A.tmp	647
PID 2088 wrote to memory of 4964	2088	3F6A.tmp	647
PID 4964 wrote to memory of 1916	4964	3FB8.tmp	86
PID 4964 wrote to memory of 1916	4964	3FB8.tmp	86
PID 4964 wrote to memory of 1916	4964	3FB8.tmp	86
PID 1916 wrote to memory of 1732	1916	5D91.tmp	646
PID 1916 wrote to memory of 1732	1916	5D91.tmp	646
PID 1916 wrote to memory of 1732	1916	5D91.tmp	646
PID 1732 wrote to memory of 4180	1732	4064.tmp	645
PID 1732 wrote to memory of 4180	1732	4064.tmp	645
PID 1732 wrote to memory of 4180	1732	4064.tmp	645
PID 4180 wrote to memory of 1444	4180	40C2.tmp	644
PID 4180 wrote to memory of 1444	4180	40C2.tmp	644
PID 4180 wrote to memory of 1444	4180	40C2.tmp	644
PID 1444 wrote to memory of 4320	1444	4120.tmp	643
PID 1444 wrote to memory of 4320	1444	4120.tmp	643
PID 1444 wrote to memory of 4320	1444	4120.tmp	643
PID 4320 wrote to memory of 2392	4320	417D.tmp	642
PID 4320 wrote to memory of 2392	4320	417D.tmp	642
PID 4320 wrote to memory of 2392	4320	417D.tmp	642
PID 2392 wrote to memory of 2420	2392	41DB.tmp	744
PID 2392 wrote to memory of 2420	2392	41DB.tmp	744
PID 2392 wrote to memory of 2420	2392	41DB.tmp	744
PID 2420 wrote to memory of 3676	2420	6D7A.tmp	22
PID 2420 wrote to memory of 3676	2420	6D7A.tmp	22
PID 2420 wrote to memory of 3676	2420	6D7A.tmp	22
PID 3676 wrote to memory of 4716	3676	4287.tmp	640
PID 3676 wrote to memory of 4716	3676	4287.tmp	640
PID 3676 wrote to memory of 4716	3676	4287.tmp	640
PID 4716 wrote to memory of 1104	4716	42D5.tmp	639

C:\Users\Admin\AppData\Local\Temp\2024-01-10_2761a66c0e2e5bc53f70ea526f1dea87_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-10_2761a66c0e2e5bc53f70ea526f1dea87_mafia.exe"
1⤵
- Suspicious use of WriteProcessMemory
PID:220
- C:\Users\Admin\AppData\Local\Temp\3C3E.tmp
  "C:\Users\Admin\AppData\Local\Temp\3C3E.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:4856

C:\Users\Admin\AppData\Local\Temp\3D38.tmp
"C:\Users\Admin\AppData\Local\Temp\3D38.tmp"
1⤵
PID:1108

C:\Users\Admin\AppData\Local\Temp\4006.tmp
"C:\Users\Admin\AppData\Local\Temp\4006.tmp"
1⤵
PID:1916

C:\Users\Admin\AppData\Local\Temp\4287.tmp
"C:\Users\Admin\AppData\Local\Temp\4287.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3676
- C:\Users\Admin\AppData\Local\Temp\42D5.tmp
  "C:\Users\Admin\AppData\Local\Temp\42D5.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:4716

C:\Users\Admin\AppData\Local\Temp\448B.tmp
"C:\Users\Admin\AppData\Local\Temp\448B.tmp"
1⤵
PID:856
- C:\Users\Admin\AppData\Local\Temp\44D9.tmp
  "C:\Users\Admin\AppData\Local\Temp\44D9.tmp"
  2⤵
  - Executes dropped EXE
  PID:4660
- - C:\Users\Admin\AppData\Local\Temp\4546.tmp
    "C:\Users\Admin\AppData\Local\Temp\4546.tmp"
    3⤵
    PID:3456

C:\Users\Admin\AppData\Local\Temp\472B.tmp
"C:\Users\Admin\AppData\Local\Temp\472B.tmp"
1⤵
PID:2688
- C:\Users\Admin\AppData\Local\Temp\4779.tmp
  "C:\Users\Admin\AppData\Local\Temp\4779.tmp"
  2⤵
  PID:3472
- - C:\Users\Admin\AppData\Local\Temp\47D6.tmp
    "C:\Users\Admin\AppData\Local\Temp\47D6.tmp"
    3⤵
    PID:968
- C:\Users\Admin\AppData\Local\Temp\637D.tmp
  "C:\Users\Admin\AppData\Local\Temp\637D.tmp"
  2⤵
  PID:3008
- - C:\Users\Admin\AppData\Local\Temp\63CB.tmp
    "C:\Users\Admin\AppData\Local\Temp\63CB.tmp"
    3⤵
    PID:532
  - - C:\Users\Admin\AppData\Local\Temp\6419.tmp
      "C:\Users\Admin\AppData\Local\Temp\6419.tmp"
      4⤵
      PID:3740
    - - C:\Users\Admin\AppData\Local\Temp\6467.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6467.tmp"
        5⤵
        
        PID:3708
      - C:\Users\Admin\AppData\Local\Temp\64E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\64E4.tmp"
        6⤵
        
        PID:2260
        
        C:\Users\Admin\AppData\Local\Temp\6532.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6532.tmp"
        7⤵
        
        PID:2436
        
        C:\Users\Admin\AppData\Local\Temp\6580.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6580.tmp"
        8⤵
        
        PID:1900
        
        C:\Users\Admin\AppData\Local\Temp\65CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\65CE.tmp"
        9⤵
        
        PID:4180
        
        C:\Users\Admin\AppData\Local\Temp\661C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\661C.tmp"
        10⤵
        
        PID:3100
        
        C:\Users\Admin\AppData\Local\Temp\666B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\666B.tmp"
        11⤵
        
        PID:3168
        
        C:\Users\Admin\AppData\Local\Temp\66B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\66B9.tmp"
        12⤵
        
        PID:4428
        
        C:\Users\Admin\AppData\Local\Temp\6716.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6716.tmp"
        13⤵
        
        PID:3124
        
        C:\Users\Admin\AppData\Local\Temp\6765.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6765.tmp"
        14⤵
        
        PID:4276
        
        C:\Users\Admin\AppData\Local\Temp\67B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\67B3.tmp"
        15⤵
        
        PID:3552
        
        C:\Users\Admin\AppData\Local\Temp\6801.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6801.tmp"
        16⤵
        
        PID:3724
        
        C:\Users\Admin\AppData\Local\Temp\8993.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8993.tmp"
        16⤵
        
        PID:3520
        
        C:\Users\Admin\AppData\Local\Temp\89E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\89E1.tmp"
        17⤵
        
        PID:3272
        
        C:\Users\Admin\AppData\Local\Temp\8A2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A2F.tmp"
        18⤵
        
        PID:1556
        
        C:\Users\Admin\AppData\Local\Temp\8A7D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A7D.tmp"
        19⤵
        
        PID:1900
        
        C:\Users\Admin\AppData\Local\Temp\8ACB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8ACB.tmp"
        9⤵
        
        PID:2736
        
        C:\Users\Admin\AppData\Local\Temp\8B19.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B19.tmp"
        10⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\8B67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B67.tmp"
        11⤵
        
        PID:4896
      - C:\Users\Admin\AppData\Local\Temp\B98C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B98C.tmp"
        6⤵
        
        PID:3508
        
        C:\Users\Admin\AppData\Local\Temp\B9DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B9DA.tmp"
        7⤵
        
        PID:3992
        
        C:\Users\Admin\AppData\Local\Temp\BA28.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA28.tmp"
        8⤵
        
        PID:3876
        
        C:\Users\Admin\AppData\Local\Temp\79D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79D3.tmp"
        9⤵
        
        PID:4448

C:\Users\Admin\AppData\Local\Temp\4873.tmp
"C:\Users\Admin\AppData\Local\Temp\4873.tmp"
1⤵
PID:2368
- C:\Users\Admin\AppData\Local\Temp\48C1.tmp
  "C:\Users\Admin\AppData\Local\Temp\48C1.tmp"
  2⤵
  PID:2712

C:\Users\Admin\AppData\Local\Temp\495D.tmp
"C:\Users\Admin\AppData\Local\Temp\495D.tmp"
1⤵
PID:1888
- C:\Users\Admin\AppData\Local\Temp\49AB.tmp
  "C:\Users\Admin\AppData\Local\Temp\49AB.tmp"
  2⤵
  PID:4664

C:\Users\Admin\AppData\Local\Temp\49EA.tmp
"C:\Users\Admin\AppData\Local\Temp\49EA.tmp"
1⤵
PID:3764
- C:\Users\Admin\AppData\Local\Temp\4A38.tmp
  "C:\Users\Admin\AppData\Local\Temp\4A38.tmp"
  2⤵
  PID:1436
- - C:\Users\Admin\AppData\Local\Temp\4A86.tmp
    "C:\Users\Admin\AppData\Local\Temp\4A86.tmp"
    3⤵
    PID:3424
  - - C:\Users\Admin\AppData\Local\Temp\4AD4.tmp
      "C:\Users\Admin\AppData\Local\Temp\4AD4.tmp"
      4⤵
      PID:2464
- - C:\Users\Admin\AppData\Local\Temp\54F6.tmp
    "C:\Users\Admin\AppData\Local\Temp\54F6.tmp"
    3⤵
    PID:3568
  - - C:\Users\Admin\AppData\Local\Temp\5544.tmp
      "C:\Users\Admin\AppData\Local\Temp\5544.tmp"
      4⤵
      PID:1732

C:\Users\Admin\AppData\Local\Temp\4B22.tmp
"C:\Users\Admin\AppData\Local\Temp\4B22.tmp"
1⤵
PID:3120
- C:\Users\Admin\AppData\Local\Temp\4B70.tmp
  "C:\Users\Admin\AppData\Local\Temp\4B70.tmp"
  2⤵
  PID:3612
- - C:\Users\Admin\AppData\Local\Temp\4BBE.tmp
    "C:\Users\Admin\AppData\Local\Temp\4BBE.tmp"
    3⤵
    PID:3168
- C:\Users\Admin\AppData\Local\Temp\885A.tmp
  "C:\Users\Admin\AppData\Local\Temp\885A.tmp"
  2⤵
  PID:1084
- - C:\Users\Admin\AppData\Local\Temp\88A8.tmp
    "C:\Users\Admin\AppData\Local\Temp\88A8.tmp"
    3⤵
    PID:2652
  - - C:\Users\Admin\AppData\Local\Temp\88F6.tmp
      "C:\Users\Admin\AppData\Local\Temp\88F6.tmp"
      4⤵
      PID:1012
    - - C:\Users\Admin\AppData\Local\Temp\9DE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DE6.tmp"
        5⤵
        
        PID:3552
      - C:\Users\Admin\AppData\Local\Temp\9E43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E43.tmp"
        6⤵
        
        PID:3520
        
        C:\Users\Admin\AppData\Local\Temp\9E92.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E92.tmp"
        7⤵
        
        PID:3272
        
        C:\Users\Admin\AppData\Local\Temp\9EE0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9EE0.tmp"
        8⤵
        
        PID:1556
        
        C:\Users\Admin\AppData\Local\Temp\9F2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9F2E.tmp"
        9⤵
        
        PID:1640

C:\Users\Admin\AppData\Local\Temp\4C0D.tmp
"C:\Users\Admin\AppData\Local\Temp\4C0D.tmp"
1⤵
PID:4428
- C:\Users\Admin\AppData\Local\Temp\4C5B.tmp
  "C:\Users\Admin\AppData\Local\Temp\4C5B.tmp"
  2⤵
  PID:1344
- - C:\Users\Admin\AppData\Local\Temp\4CB8.tmp
    "C:\Users\Admin\AppData\Local\Temp\4CB8.tmp"
    3⤵
    PID:3848
  - - C:\Users\Admin\AppData\Local\Temp\4D07.tmp
      "C:\Users\Admin\AppData\Local\Temp\4D07.tmp"
      4⤵
      PID:3592
    - - C:\Users\Admin\AppData\Local\Temp\4D64.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D64.tmp"
        5⤵
        
        PID:3724
      - C:\Users\Admin\AppData\Local\Temp\684F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\684F.tmp"
        6⤵
        
        PID:4840
        
        C:\Users\Admin\AppData\Local\Temp\689D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\689D.tmp"
        7⤵
        
        PID:3264
        
        C:\Users\Admin\AppData\Local\Temp\68EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68EB.tmp"
        8⤵
        
        PID:3240
        
        C:\Users\Admin\AppData\Local\Temp\6939.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6939.tmp"
        9⤵
        
        PID:1296
        
        C:\Users\Admin\AppData\Local\Temp\6997.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6997.tmp"
        10⤵
        
        PID:3732
        
        C:\Users\Admin\AppData\Local\Temp\69E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\69E5.tmp"
        11⤵
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\6A33.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A33.tmp"
        12⤵
        
        PID:3788
        
        C:\Users\Admin\AppData\Local\Temp\58AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\58AF.tmp"
        9⤵
        
        PID:4448
  - - C:\Users\Admin\AppData\Local\Temp\77A1.tmp
      "C:\Users\Admin\AppData\Local\Temp\77A1.tmp"
      4⤵
      PID:2404
    - - C:\Users\Admin\AppData\Local\Temp\77EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77EF.tmp"
        5⤵
        
        PID:5024
      - C:\Users\Admin\AppData\Local\Temp\783D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\783D.tmp"
        6⤵
        
        PID:4840
        
        C:\Users\Admin\AppData\Local\Temp\789B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\789B.tmp"
        7⤵
        
        PID:4344
        
        C:\Users\Admin\AppData\Local\Temp\E0AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0AB.tmp"
        7⤵
        
        PID:1640
        
        C:\Users\Admin\AppData\Local\Temp\E0FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0FA.tmp"
        8⤵
        
        PID:3540
        
        C:\Users\Admin\AppData\Local\Temp\E148.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E148.tmp"
        9⤵
        
        PID:3820
        
        C:\Users\Admin\AppData\Local\Temp\E1A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1A5.tmp"
        10⤵
        
        PID:1488
        
        C:\Users\Admin\AppData\Local\Temp\E1F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1F4.tmp"
        11⤵
        
        PID:4448
        
        C:\Users\Admin\AppData\Local\Temp\E242.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E242.tmp"
        12⤵
        
        PID:4296
        
        C:\Users\Admin\AppData\Local\Temp\E290.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E290.tmp"
        13⤵
        
        PID:2812
        
        C:\Users\Admin\AppData\Local\Temp\484F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\484F.tmp"
        14⤵
        
        PID:3564
        
        C:\Users\Admin\AppData\Local\Temp\489D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\489D.tmp"
        15⤵
        
        PID:3732
        
        C:\Users\Admin\AppData\Local\Temp\48EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\48EB.tmp"
        16⤵
        
        PID:3196
        
        C:\Users\Admin\AppData\Local\Temp\4939.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4939.tmp"
        17⤵
        
        PID:2360
        
        C:\Users\Admin\AppData\Local\Temp\ED6D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED6D.tmp"
        10⤵
        
        PID:4424
        
        C:\Users\Admin\AppData\Local\Temp\EDBB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDBB.tmp"
        11⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\EE09.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE09.tmp"
        12⤵
        
        PID:4908
        
        C:\Users\Admin\AppData\Local\Temp\4631.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4631.tmp"
        11⤵
        
        PID:4456

C:\Users\Admin\AppData\Local\Temp\4DC2.tmp
"C:\Users\Admin\AppData\Local\Temp\4DC2.tmp"
1⤵
PID:856
- C:\Users\Admin\AppData\Local\Temp\4E20.tmp
  "C:\Users\Admin\AppData\Local\Temp\4E20.tmp"
  2⤵
  PID:944
- - C:\Users\Admin\AppData\Local\Temp\4E6E.tmp
    "C:\Users\Admin\AppData\Local\Temp\4E6E.tmp"
    3⤵
    PID:3272
  - - C:\Users\Admin\AppData\Local\Temp\4EBC.tmp
      "C:\Users\Admin\AppData\Local\Temp\4EBC.tmp"
      4⤵
      PID:4484
    - - C:\Users\Admin\AppData\Local\Temp\9412.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9412.tmp"
        5⤵
        
        PID:4512
      - C:\Users\Admin\AppData\Local\Temp\9470.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9470.tmp"
        6⤵
        
        PID:944
        
        C:\Users\Admin\AppData\Local\Temp\94BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\94BE.tmp"
        7⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\950C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\950C.tmp"
        8⤵
        
        PID:4188
        
        C:\Users\Admin\AppData\Local\Temp\955A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\955A.tmp"
        9⤵
        
        PID:4424
        
        C:\Users\Admin\AppData\Local\Temp\95A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\95A8.tmp"
        10⤵
        
        PID:4708
        
        C:\Users\Admin\AppData\Local\Temp\95F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\95F6.tmp"
        11⤵
        
        PID:2812
        
        C:\Users\Admin\AppData\Local\Temp\E2DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E2DE.tmp"
        12⤵
        
        PID:1380
        
        C:\Users\Admin\AppData\Local\Temp\E32C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E32C.tmp"
        13⤵
        
        PID:4668
        
        C:\Users\Admin\AppData\Local\Temp\E37A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E37A.tmp"
        14⤵
        
        PID:460
        
        C:\Users\Admin\AppData\Local\Temp\E3C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E3C8.tmp"
        15⤵
        
        PID:672
        
        C:\Users\Admin\AppData\Local\Temp\D6B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6B9.tmp"
        10⤵
        
        PID:3436
        
        C:\Users\Admin\AppData\Local\Temp\D707.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D707.tmp"
        11⤵
        
        PID:1696
      - C:\Users\Admin\AppData\Local\Temp\BEBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BEBC.tmp"
        6⤵
        
        PID:4616
        
        C:\Users\Admin\AppData\Local\Temp\BF0A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF0A.tmp"
        7⤵
        
        PID:1640
        
        C:\Users\Admin\AppData\Local\Temp\BF58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF58.tmp"
        8⤵
        
        PID:3540
- C:\Users\Admin\AppData\Local\Temp\1A1.tmp
  "C:\Users\Admin\AppData\Local\Temp\1A1.tmp"
  2⤵
  PID:1936
- - C:\Users\Admin\AppData\Local\Temp\1EF.tmp
    "C:\Users\Admin\AppData\Local\Temp\1EF.tmp"
    3⤵
    PID:1700
  - - C:\Users\Admin\AppData\Local\Temp\23D.tmp
      "C:\Users\Admin\AppData\Local\Temp\23D.tmp"
      4⤵
      PID:1356
    - - C:\Users\Admin\AppData\Local\Temp\28B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28B.tmp"
        5⤵
        
        PID:3660
      - C:\Users\Admin\AppData\Local\Temp\4457.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4457.tmp"
        6⤵
        
        PID:3728
        
        C:\Users\Admin\AppData\Local\Temp\44A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\44A5.tmp"
        7⤵
        
        PID:3848
        
        C:\Users\Admin\AppData\Local\Temp\44F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\44F3.tmp"
        8⤵
        
        PID:1012
        
        C:\Users\Admin\AppData\Local\Temp\4541.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4541.tmp"
        9⤵
        Executes dropped EXE
        
        PID:2660
        
        C:\Users\Admin\AppData\Local\Temp\4590.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4590.tmp"
        10⤵
        
        PID:1492

C:\Users\Admin\AppData\Local\Temp\4F0A.tmp
"C:\Users\Admin\AppData\Local\Temp\4F0A.tmp"
1⤵
PID:2456
- C:\Users\Admin\AppData\Local\Temp\50DF.tmp
  "C:\Users\Admin\AppData\Local\Temp\50DF.tmp"
  2⤵
  PID:1488

C:\Users\Admin\AppData\Local\Temp\490F.tmp
"C:\Users\Admin\AppData\Local\Temp\490F.tmp"
1⤵
PID:4088

C:\Users\Admin\AppData\Local\Temp\512D.tmp
"C:\Users\Admin\AppData\Local\Temp\512D.tmp"
1⤵
PID:3996
- C:\Users\Admin\AppData\Local\Temp\517B.tmp
  "C:\Users\Admin\AppData\Local\Temp\517B.tmp"
  2⤵
  PID:3740
- - C:\Users\Admin\AppData\Local\Temp\51D9.tmp
    "C:\Users\Admin\AppData\Local\Temp\51D9.tmp"
    3⤵
    PID:3708
  - - C:\Users\Admin\AppData\Local\Temp\5227.tmp
      "C:\Users\Admin\AppData\Local\Temp\5227.tmp"
      4⤵
      PID:2508
    - - C:\Users\Admin\AppData\Local\Temp\8666.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8666.tmp"
        5⤵
        
        PID:2088
      - C:\Users\Admin\AppData\Local\Temp\86B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\86B4.tmp"
        6⤵
        
        PID:3560
        
        C:\Users\Admin\AppData\Local\Temp\8712.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8712.tmp"
        7⤵
        
        PID:2388
        
        C:\Users\Admin\AppData\Local\Temp\8770.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8770.tmp"
        8⤵
        
        PID:1340
        
        C:\Users\Admin\AppData\Local\Temp\87BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\87BE.tmp"
        9⤵
        
        PID:4916
        
        C:\Users\Admin\AppData\Local\Temp\F24F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F24F.tmp"
        10⤵
        
        PID:3236
        
        C:\Users\Admin\AppData\Local\Temp\F29D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F29D.tmp"
        11⤵
        
        PID:3568
        
        C:\Users\Admin\AppData\Local\Temp\F2EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2EB.tmp"
        12⤵
        
        PID:3992
        
        C:\Users\Admin\AppData\Local\Temp\F339.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F339.tmp"
        13⤵
        
        PID:1448
        
        C:\Users\Admin\AppData\Local\Temp\2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A.tmp"
        13⤵
        
        PID:1448
        
        C:\Users\Admin\AppData\Local\Temp\78.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78.tmp"
        14⤵
        
        PID:3096
        
        C:\Users\Admin\AppData\Local\Temp\A6CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A6CF.tmp"
        8⤵
        
        PID:2708
        
        C:\Users\Admin\AppData\Local\Temp\A71D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A71D.tmp"
        9⤵
        
        PID:3760
        
        C:\Users\Admin\AppData\Local\Temp\A76B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A76B.tmp"
        10⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\B297.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B297.tmp"
        11⤵
        
        PID:3064
        
        C:\Users\Admin\AppData\Local\Temp\B2D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B2D5.tmp"
        12⤵
        
        PID:2660
        
        C:\Users\Admin\AppData\Local\Temp\BD83.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD83.tmp"
        13⤵
        
        PID:2404
        
        C:\Users\Admin\AppData\Local\Temp\BDD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BDD2.tmp"
        14⤵
        
        PID:1492
        
        C:\Users\Admin\AppData\Local\Temp\BE20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE20.tmp"
        15⤵
        
        PID:2256
        
        C:\Users\Admin\AppData\Local\Temp\BE6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE6E.tmp"
        16⤵
        
        PID:4512
        
        C:\Users\Admin\AppData\Local\Temp\90E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\90E6.tmp"
        7⤵
        
        PID:2436
        
        C:\Users\Admin\AppData\Local\Temp\9143.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9143.tmp"
        8⤵
        
        PID:3760
        
        C:\Users\Admin\AppData\Local\Temp\9191.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9191.tmp"
        9⤵
        
        PID:2704
        
        C:\Users\Admin\AppData\Local\Temp\DCB4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DCB4.tmp"
        10⤵
        
        PID:4400
        
        C:\Users\Admin\AppData\Local\Temp\DD02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD02.tmp"
        11⤵
        
        PID:3764

C:\Users\Admin\AppData\Local\Temp\52C3.tmp
"C:\Users\Admin\AppData\Local\Temp\52C3.tmp"
1⤵
PID:2612
- C:\Users\Admin\AppData\Local\Temp\5311.tmp
  "C:\Users\Admin\AppData\Local\Temp\5311.tmp"
  2⤵
  PID:2712
- - C:\Users\Admin\AppData\Local\Temp\5360.tmp
    "C:\Users\Admin\AppData\Local\Temp\5360.tmp"
    3⤵
    PID:4088
  - - C:\Users\Admin\AppData\Local\Temp\53AE.tmp
      "C:\Users\Admin\AppData\Local\Temp\53AE.tmp"
      4⤵
      PID:1888
    - - C:\Users\Admin\AppData\Local\Temp\53FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53FC.tmp"
        5⤵
        
        PID:4664
      - C:\Users\Admin\AppData\Local\Temp\545A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\545A.tmp"
        6⤵
        
        PID:3764

C:\Users\Admin\AppData\Local\Temp\55E0.tmp
"C:\Users\Admin\AppData\Local\Temp\55E0.tmp"
1⤵
PID:544
- C:\Users\Admin\AppData\Local\Temp\562E.tmp
  "C:\Users\Admin\AppData\Local\Temp\562E.tmp"
  2⤵
  PID:2960
- - C:\Users\Admin\AppData\Local\Temp\567C.tmp
    "C:\Users\Admin\AppData\Local\Temp\567C.tmp"
    3⤵
    PID:3492
  - - C:\Users\Admin\AppData\Local\Temp\56CB.tmp
      "C:\Users\Admin\AppData\Local\Temp\56CB.tmp"
      4⤵
      PID:5072

C:\Users\Admin\AppData\Local\Temp\5767.tmp
"C:\Users\Admin\AppData\Local\Temp\5767.tmp"
1⤵
PID:3656
- C:\Users\Admin\AppData\Local\Temp\57B5.tmp
  "C:\Users\Admin\AppData\Local\Temp\57B5.tmp"
  2⤵
  PID:5064

C:\Users\Admin\AppData\Local\Temp\5803.tmp
"C:\Users\Admin\AppData\Local\Temp\5803.tmp"
1⤵
PID:3688
- C:\Users\Admin\AppData\Local\Temp\5861.tmp
  "C:\Users\Admin\AppData\Local\Temp\5861.tmp"
  2⤵
  PID:3240

C:\Users\Admin\AppData\Local\Temp\58FD.tmp
"C:\Users\Admin\AppData\Local\Temp\58FD.tmp"
1⤵
PID:1488
- C:\Users\Admin\AppData\Local\Temp\594B.tmp
  "C:\Users\Admin\AppData\Local\Temp\594B.tmp"
  2⤵
  PID:828
- - C:\Users\Admin\AppData\Local\Temp\5999.tmp
    "C:\Users\Admin\AppData\Local\Temp\5999.tmp"
    3⤵
    PID:4708
  - - C:\Users\Admin\AppData\Local\Temp\59E7.tmp
      "C:\Users\Admin\AppData\Local\Temp\59E7.tmp"
      4⤵
      PID:3980
    - - C:\Users\Admin\AppData\Local\Temp\5A36.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A36.tmp"
        5⤵
        
        PID:848

C:\Users\Admin\AppData\Local\Temp\5AD2.tmp
"C:\Users\Admin\AppData\Local\Temp\5AD2.tmp"
1⤵
PID:1532

C:\Users\Admin\AppData\Local\Temp\5B6E.tmp
"C:\Users\Admin\AppData\Local\Temp\5B6E.tmp"
1⤵
PID:3288
- C:\Users\Admin\AppData\Local\Temp\5BBC.tmp
  "C:\Users\Admin\AppData\Local\Temp\5BBC.tmp"
  2⤵
  PID:3184
- - C:\Users\Admin\AppData\Local\Temp\5C0A.tmp
    "C:\Users\Admin\AppData\Local\Temp\5C0A.tmp"
    3⤵
    PID:2852
  - - C:\Users\Admin\AppData\Local\Temp\5C58.tmp
      "C:\Users\Admin\AppData\Local\Temp\5C58.tmp"
      4⤵
      PID:4356
    - - C:\Users\Admin\AppData\Local\Temp\1DB4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DB4.tmp"
        5⤵
        
        PID:3520
      - C:\Users\Admin\AppData\Local\Temp\1E03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E03.tmp"
        6⤵
        
        PID:3264
        
        C:\Users\Admin\AppData\Local\Temp\1E51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E51.tmp"
        7⤵
        
        PID:2404

C:\Users\Admin\AppData\Local\Temp\5CA7.tmp
"C:\Users\Admin\AppData\Local\Temp\5CA7.tmp"
1⤵
PID:4852
- C:\Users\Admin\AppData\Local\Temp\5CF5.tmp
  "C:\Users\Admin\AppData\Local\Temp\5CF5.tmp"
  2⤵
  PID:1772
- - C:\Users\Admin\AppData\Local\Temp\5D43.tmp
    "C:\Users\Admin\AppData\Local\Temp\5D43.tmp"
    3⤵
    PID:4884

C:\Users\Admin\AppData\Local\Temp\5D91.tmp
"C:\Users\Admin\AppData\Local\Temp\5D91.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1916
- C:\Users\Admin\AppData\Local\Temp\5DDF.tmp
  "C:\Users\Admin\AppData\Local\Temp\5DDF.tmp"
  2⤵
  PID:2240
- - C:\Users\Admin\AppData\Local\Temp\5E2D.tmp
    "C:\Users\Admin\AppData\Local\Temp\5E2D.tmp"
    3⤵
    PID:4916
- C:\Users\Admin\AppData\Local\Temp\4064.tmp
  "C:\Users\Admin\AppData\Local\Temp\4064.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:1732

C:\Users\Admin\AppData\Local\Temp\5E7B.tmp
"C:\Users\Admin\AppData\Local\Temp\5E7B.tmp"
1⤵
PID:4600
- C:\Users\Admin\AppData\Local\Temp\5EC9.tmp
  "C:\Users\Admin\AppData\Local\Temp\5EC9.tmp"
  2⤵
  PID:632
- - C:\Users\Admin\AppData\Local\Temp\5F18.tmp
    "C:\Users\Admin\AppData\Local\Temp\5F18.tmp"
    3⤵
    PID:3440
  - - C:\Users\Admin\AppData\Local\Temp\5F85.tmp
      "C:\Users\Admin\AppData\Local\Temp\5F85.tmp"
      4⤵
      PID:4276
    - - C:\Users\Admin\AppData\Local\Temp\5FD3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FD3.tmp"
        5⤵
        
        PID:2884
      - C:\Users\Admin\AppData\Local\Temp\6021.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6021.tmp"
        6⤵
        
        PID:2288
        
        C:\Users\Admin\AppData\Local\Temp\606F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\606F.tmp"
        7⤵
        
        PID:3456
- C:\Users\Admin\AppData\Local\Temp\AA78.tmp
  "C:\Users\Admin\AppData\Local\Temp\AA78.tmp"
  2⤵
  PID:924
- - C:\Users\Admin\AppData\Local\Temp\AAB7.tmp
    "C:\Users\Admin\AppData\Local\Temp\AAB7.tmp"
    3⤵
    PID:3496

C:\Users\Admin\AppData\Local\Temp\60BD.tmp
"C:\Users\Admin\AppData\Local\Temp\60BD.tmp"
1⤵
PID:2692
- C:\Users\Admin\AppData\Local\Temp\610C.tmp
  "C:\Users\Admin\AppData\Local\Temp\610C.tmp"
  2⤵
  PID:2092
- - C:\Users\Admin\AppData\Local\Temp\615A.tmp
    "C:\Users\Admin\AppData\Local\Temp\615A.tmp"
    3⤵
    PID:4424
- - C:\Users\Admin\AppData\Local\Temp\EC83.tmp
    "C:\Users\Admin\AppData\Local\Temp\EC83.tmp"
    3⤵
    PID:3900
  - - C:\Users\Admin\AppData\Local\Temp\ECD1.tmp
      "C:\Users\Admin\AppData\Local\Temp\ECD1.tmp"
      4⤵
      PID:828
    - - C:\Users\Admin\AppData\Local\Temp\ED1F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED1F.tmp"
        5⤵
        
        PID:3820

C:\Users\Admin\AppData\Local\Temp\61A8.tmp
"C:\Users\Admin\AppData\Local\Temp\61A8.tmp"
1⤵
PID:4856
- C:\Users\Admin\AppData\Local\Temp\61F6.tmp
  "C:\Users\Admin\AppData\Local\Temp\61F6.tmp"
  2⤵
  PID:1420
- - C:\Users\Admin\AppData\Local\Temp\7AAE.tmp
    "C:\Users\Admin\AppData\Local\Temp\7AAE.tmp"
    3⤵
    PID:1920
  - - C:\Users\Admin\AppData\Local\Temp\7AFC.tmp
      "C:\Users\Admin\AppData\Local\Temp\7AFC.tmp"
      4⤵
      PID:3996
    - - C:\Users\Admin\AppData\Local\Temp\7B4A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B4A.tmp"
        5⤵
        
        PID:2528
      - C:\Users\Admin\AppData\Local\Temp\7B98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B98.tmp"
        6⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\7BE7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BE7.tmp"
        7⤵
        
        PID:4276

C:\Users\Admin\AppData\Local\Temp\6244.tmp
"C:\Users\Admin\AppData\Local\Temp\6244.tmp"
1⤵
PID:4908
- C:\Users\Admin\AppData\Local\Temp\6292.tmp
  "C:\Users\Admin\AppData\Local\Temp\6292.tmp"
  2⤵
  PID:4844
- - C:\Users\Admin\AppData\Local\Temp\62E0.tmp
    "C:\Users\Admin\AppData\Local\Temp\62E0.tmp"
    3⤵
    PID:4848
  - - C:\Users\Admin\AppData\Local\Temp\632E.tmp
      "C:\Users\Admin\AppData\Local\Temp\632E.tmp"
      4⤵
      PID:2688

C:\Users\Admin\AppData\Local\Temp\6A81.tmp
"C:\Users\Admin\AppData\Local\Temp\6A81.tmp"
1⤵
PID:672
- C:\Users\Admin\AppData\Local\Temp\6ADF.tmp
  "C:\Users\Admin\AppData\Local\Temp\6ADF.tmp"
  2⤵
  PID:3192
- - C:\Users\Admin\AppData\Local\Temp\6B2D.tmp
    "C:\Users\Admin\AppData\Local\Temp\6B2D.tmp"
    3⤵
    PID:3008
  - - C:\Users\Admin\AppData\Local\Temp\6B7B.tmp
      "C:\Users\Admin\AppData\Local\Temp\6B7B.tmp"
      4⤵
      PID:4184
    - - C:\Users\Admin\AppData\Local\Temp\6BCA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BCA.tmp"
        5⤵
        
        PID:1532
      - C:\Users\Admin\AppData\Local\Temp\6C18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C18.tmp"
        6⤵
        
        PID:3560
      - C:\Users\Admin\AppData\Local\Temp\5B20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B20.tmp"
        6⤵
        
        PID:4912
  - - C:\Users\Admin\AppData\Local\Temp\84EF.tmp
      "C:\Users\Admin\AppData\Local\Temp\84EF.tmp"
      4⤵
      PID:5064
    - - C:\Users\Admin\AppData\Local\Temp\853D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\853D.tmp"
        5⤵
        
        PID:3752
      - C:\Users\Admin\AppData\Local\Temp\858B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\858B.tmp"
        6⤵
        
        PID:3508
      - C:\Users\Admin\AppData\Local\Temp\443D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\443D.tmp"
        6⤵
        Executes dropped EXE
        
        PID:3144
  - - C:\Users\Admin\AppData\Local\Temp\8E75.tmp
      "C:\Users\Admin\AppData\Local\Temp\8E75.tmp"
      4⤵
      PID:4800
    - - C:\Users\Admin\AppData\Local\Temp\8EC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8EC3.tmp"
        5⤵
        
        PID:3992
      - C:\Users\Admin\AppData\Local\Temp\8F11.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F11.tmp"
        6⤵
        
        PID:1060

C:\Users\Admin\AppData\Local\Temp\6C75.tmp
"C:\Users\Admin\AppData\Local\Temp\6C75.tmp"
1⤵
PID:872
- C:\Users\Admin\AppData\Local\Temp\6CC4.tmp
  "C:\Users\Admin\AppData\Local\Temp\6CC4.tmp"
  2⤵
  PID:2212
- - C:\Users\Admin\AppData\Local\Temp\6D12.tmp
    "C:\Users\Admin\AppData\Local\Temp\6D12.tmp"
    3⤵
    PID:3924
  - - C:\Users\Admin\AppData\Local\Temp\6D60.tmp
      "C:\Users\Admin\AppData\Local\Temp\6D60.tmp"
      4⤵
      PID:1284
    - - C:\Users\Admin\AppData\Local\Temp\6DAE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DAE.tmp"
        5⤵
        
        PID:544
      - C:\Users\Admin\AppData\Local\Temp\6DFC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DFC.tmp"
        6⤵
        
        PID:2420
        
        C:\Users\Admin\AppData\Local\Temp\6E5A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E5A.tmp"
        7⤵
        
        PID:3492
        
        C:\Users\Admin\AppData\Local\Temp\6EA8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6EA8.tmp"
        8⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\6F06.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F06.tmp"
        9⤵
        
        PID:3592
        
        C:\Users\Admin\AppData\Local\Temp\6F54.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F54.tmp"
        10⤵
        
        PID:852
        
        C:\Users\Admin\AppData\Local\Temp\9328.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9328.tmp"
        10⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\9376.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9376.tmp"
        11⤵
        
        PID:3456
        
        C:\Users\Admin\AppData\Local\Temp\93C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\93C4.tmp"
        12⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\D496.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D496.tmp"
        13⤵
        
        PID:1044
        
        C:\Users\Admin\AppData\Local\Temp\D4E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D4E4.tmp"
        14⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\D532.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D532.tmp"
        15⤵
        
        PID:944
        
        C:\Users\Admin\AppData\Local\Temp\D580.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D580.tmp"
        16⤵
        
        PID:3820
        
        C:\Users\Admin\AppData\Local\Temp\4594.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4594.tmp"
        12⤵
        
        PID:2692
        
        C:\Users\Admin\AppData\Local\Temp\76B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76B6.tmp"
        7⤵
        
        PID:3464
        
        C:\Users\Admin\AppData\Local\Temp\7705.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7705.tmp"
        8⤵
        
        PID:4928
    - - C:\Users\Admin\AppData\Local\Temp\D0AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D0AE.tmp"
        5⤵
        
        PID:1340
      - C:\Users\Admin\AppData\Local\Temp\D0FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D0FC.tmp"
        6⤵
        
        PID:1192
        
        C:\Users\Admin\AppData\Local\Temp\D14A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D14A.tmp"
        7⤵
        
        PID:632
        
        C:\Users\Admin\AppData\Local\Temp\D198.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D198.tmp"
        8⤵
        
        PID:2708
        
        C:\Users\Admin\AppData\Local\Temp\D1E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1E6.tmp"
        9⤵
        
        PID:1144
        
        C:\Users\Admin\AppData\Local\Temp\D234.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D234.tmp"
        10⤵
        
        PID:4040
        
        C:\Users\Admin\AppData\Local\Temp\D282.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D282.tmp"
        11⤵
        
        PID:1864
        
        C:\Users\Admin\AppData\Local\Temp\274A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\274A.tmp"
        9⤵
        
        PID:3164
        
        C:\Users\Admin\AppData\Local\Temp\2798.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2798.tmp"
        10⤵
        
        PID:2132
      - C:\Users\Admin\AppData\Local\Temp\F462.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F462.tmp"
        6⤵
        
        PID:1192
        
        C:\Users\Admin\AppData\Local\Temp\F4B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4B0.tmp"
        7⤵
        
        PID:2020
        
        C:\Users\Admin\AppData\Local\Temp\F4EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4EF.tmp"
        8⤵
        
        PID:872
        
        C:\Users\Admin\AppData\Local\Temp\F53D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F53D.tmp"
        9⤵
        
        PID:4604
        
        C:\Users\Admin\AppData\Local\Temp\1C2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C2E.tmp"
        8⤵
        
        PID:4628
        
        C:\Users\Admin\AppData\Local\Temp\1C7C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C7C.tmp"
        9⤵
        
        PID:2884
        
        C:\Users\Admin\AppData\Local\Temp\1CCA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1CCA.tmp"
        10⤵
        
        PID:1012

C:\Users\Admin\AppData\Local\Temp\6FA2.tmp
"C:\Users\Admin\AppData\Local\Temp\6FA2.tmp"
1⤵
PID:3520
- C:\Users\Admin\AppData\Local\Temp\6FF0.tmp
  "C:\Users\Admin\AppData\Local\Temp\6FF0.tmp"
  2⤵
  PID:944
- - C:\Users\Admin\AppData\Local\Temp\703E.tmp
    "C:\Users\Admin\AppData\Local\Temp\703E.tmp"
    3⤵
    PID:2700
  - - C:\Users\Admin\AppData\Local\Temp\708C.tmp
      "C:\Users\Admin\AppData\Local\Temp\708C.tmp"
      4⤵
      PID:4020
    - - C:\Users\Admin\AppData\Local\Temp\70DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\70DA.tmp"
        5⤵
        
        PID:1488
      - C:\Users\Admin\AppData\Local\Temp\7129.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7129.tmp"
        6⤵
        
        PID:2264
        
        C:\Users\Admin\AppData\Local\Temp\7177.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7177.tmp"
        7⤵
        
        PID:3980
        
        C:\Users\Admin\AppData\Local\Temp\71C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71C5.tmp"
        8⤵
        
        PID:3472
        
        C:\Users\Admin\AppData\Local\Temp\7213.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7213.tmp"
        9⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\7261.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7261.tmp"
        10⤵
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\72BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72BF.tmp"
        11⤵
        
        PID:1620
        
        C:\Users\Admin\AppData\Local\Temp\730D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\730D.tmp"
        12⤵
        
        PID:428
        
        C:\Users\Admin\AppData\Local\Temp\736B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\736B.tmp"
        13⤵
        
        PID:4184
        
        C:\Users\Admin\AppData\Local\Temp\73C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73C8.tmp"
        14⤵
        
        PID:5060
        
        C:\Users\Admin\AppData\Local\Temp\8FAD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8FAD.tmp"
        13⤵
        
        PID:4040
        
        C:\Users\Admin\AppData\Local\Temp\8FFB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8FFB.tmp"
        14⤵
        
        PID:3764
        
        C:\Users\Admin\AppData\Local\Temp\9049.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9049.tmp"
        15⤵
        
        PID:676
        
        C:\Users\Admin\AppData\Local\Temp\9097.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9097.tmp"
        16⤵
        
        PID:3560
        
        C:\Users\Admin\AppData\Local\Temp\9AD8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9AD8.tmp"
        14⤵
        
        PID:3764
        
        C:\Users\Admin\AppData\Local\Temp\9B27.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9B27.tmp"
        15⤵
        
        PID:872
        
        C:\Users\Admin\AppData\Local\Temp\9B75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9B75.tmp"
        16⤵
        
        PID:4604
        
        C:\Users\Admin\AppData\Local\Temp\DD50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD50.tmp"
        15⤵
        
        PID:3100
        
        C:\Users\Admin\AppData\Local\Temp\DD9E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD9E.tmp"
        16⤵
        
        PID:2240
        
        C:\Users\Admin\AppData\Local\Temp\DDEC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DDEC.tmp"
        17⤵
        
        PID:548
        
        C:\Users\Admin\AppData\Local\Temp\DE3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE3A.tmp"
        18⤵
        
        PID:4180
        
        C:\Users\Admin\AppData\Local\Temp\DE89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE89.tmp"
        19⤵
        
        PID:2652
        
        C:\Users\Admin\AppData\Local\Temp\DED7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DED7.tmp"
        20⤵
        
        PID:2364
        
        C:\Users\Admin\AppData\Local\Temp\EAAE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EAAE.tmp"
        20⤵
        
        PID:2364
        
        C:\Users\Admin\AppData\Local\Temp\EAFC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EAFC.tmp"
        21⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\EB4A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB4A.tmp"
        22⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\EB98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB98.tmp"
        23⤵
        
        PID:2372
        
        C:\Users\Admin\AppData\Local\Temp\EBE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EBE6.tmp"
        24⤵
        
        PID:1900
        
        C:\Users\Admin\AppData\Local\Temp\EC35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC35.tmp"
        25⤵
        
        PID:2092
        
        C:\Users\Admin\AppData\Local\Temp\1F7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F7A.tmp"
        26⤵
        
        PID:1556
        
        C:\Users\Admin\AppData\Local\Temp\1FC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FC8.tmp"
        27⤵
        
        PID:3652
        
        C:\Users\Admin\AppData\Local\Temp\2016.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2016.tmp"
        28⤵
        
        PID:2468
        
        C:\Users\Admin\AppData\Local\Temp\2064.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2064.tmp"
        29⤵
        
        PID:3496
        
        C:\Users\Admin\AppData\Local\Temp\F750.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F750.tmp"
        21⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\F79E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F79E.tmp"
        22⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\F7ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F7ED.tmp"
        23⤵
        
        PID:924
        
        C:\Users\Admin\AppData\Local\Temp\F83B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F83B.tmp"
        24⤵
        
        PID:1556
        
        C:\Users\Admin\AppData\Local\Temp\F889.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F889.tmp"
        25⤵
        
        PID:3652
        
        C:\Users\Admin\AppData\Local\Temp\38CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\38CE.tmp"
        23⤵
        
        PID:2404
        
        C:\Users\Admin\AppData\Local\Temp\391C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\391C.tmp"
        24⤵
        
        PID:4616
        
        C:\Users\Admin\AppData\Local\Temp\5719.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5719.tmp"
        22⤵
        
        PID:3552
        
        C:\Users\Admin\AppData\Local\Temp\E975.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E975.tmp"
        16⤵
        
        PID:2240
        
        C:\Users\Admin\AppData\Local\Temp\E9C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9C4.tmp"
        17⤵
        
        PID:548
        
        C:\Users\Admin\AppData\Local\Temp\EA12.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA12.tmp"
        18⤵
        
        PID:4180
        
        C:\Users\Admin\AppData\Local\Temp\EA60.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA60.tmp"
        19⤵
        
        PID:2652
        
        C:\Users\Admin\AppData\Local\Temp\9D98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D98.tmp"
        20⤵
        
        PID:1012
        
        C:\Users\Admin\AppData\Local\Temp\8944.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8944.tmp"
        21⤵
        
        PID:3552
        
        C:\Users\Admin\AppData\Local\Temp\1D18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D18.tmp"
        21⤵
        
        PID:3896
        
        C:\Users\Admin\AppData\Local\Temp\1D66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D66.tmp"
        22⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\4120.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4120.tmp"
        19⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1444
        
        C:\Users\Admin\AppData\Local\Temp\5A84.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A84.tmp"
        10⤵
        
        PID:1620
        
        C:\Users\Admin\AppData\Local\Temp\9819.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9819.tmp"
        9⤵
        
        PID:2528
        
        C:\Users\Admin\AppData\Local\Temp\9867.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9867.tmp"
        10⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\B8A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8A1.tmp"
        9⤵
        
        PID:968
        
        C:\Users\Admin\AppData\Local\Temp\B8F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8F0.tmp"
        10⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\C3AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C3AE.tmp"
        11⤵
        
        PID:3536
        
        C:\Users\Admin\AppData\Local\Temp\C3FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C3FC.tmp"
        12⤵
        
        PID:3568
        
        C:\Users\Admin\AppData\Local\Temp\C44A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C44A.tmp"
        13⤵
        
        PID:3412
        
        C:\Users\Admin\AppData\Local\Temp\A410.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A410.tmp"
        12⤵
        
        PID:3836
        
        C:\Users\Admin\AppData\Local\Temp\4825.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4825.tmp"
        10⤵
        
        PID:2128
      - C:\Users\Admin\AppData\Local\Temp\8C04.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C04.tmp"
        6⤵
        
        PID:3732
        
        C:\Users\Admin\AppData\Local\Temp\8C52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C52.tmp"
        7⤵
        
        PID:4844
        
        C:\Users\Admin\AppData\Local\Temp\8CA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8CA0.tmp"
        8⤵
        
        PID:1420
        
        C:\Users\Admin\AppData\Local\Temp\D820.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D820.tmp"
        7⤵
        
        PID:4648
        
        C:\Users\Admin\AppData\Local\Temp\D86E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D86E.tmp"
        8⤵
        
        PID:3840
        
        C:\Users\Admin\AppData\Local\Temp\D8BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D8BC.tmp"
        9⤵
        
        PID:3788
        
        C:\Users\Admin\AppData\Local\Temp\E4A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E4A3.tmp"
        9⤵
        
        PID:3788
        
        C:\Users\Admin\AppData\Local\Temp\E4E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E4E2.tmp"
        10⤵
        
        PID:5112

C:\Users\Admin\AppData\Local\Temp\7417.tmp
"C:\Users\Admin\AppData\Local\Temp\7417.tmp"
1⤵
PID:3560
- C:\Users\Admin\AppData\Local\Temp\7474.tmp
  "C:\Users\Admin\AppData\Local\Temp\7474.tmp"
  2⤵
  PID:2200

C:\Users\Admin\AppData\Local\Temp\74C2.tmp
"C:\Users\Admin\AppData\Local\Temp\74C2.tmp"
1⤵
PID:2184
- C:\Users\Admin\AppData\Local\Temp\7511.tmp
  "C:\Users\Admin\AppData\Local\Temp\7511.tmp"
  2⤵
  PID:2240
- - C:\Users\Admin\AppData\Local\Temp\755F.tmp
    "C:\Users\Admin\AppData\Local\Temp\755F.tmp"
    3⤵
    PID:4180
  - - C:\Users\Admin\AppData\Local\Temp\75BC.tmp
      "C:\Users\Admin\AppData\Local\Temp\75BC.tmp"
      4⤵
      PID:3100
    - - C:\Users\Admin\AppData\Local\Temp\761A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\761A.tmp"
        5⤵
        
        PID:544
      - C:\Users\Admin\AppData\Local\Temp\7668.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7668.tmp"
        6⤵
        
        PID:2420
      - C:\Users\Admin\AppData\Local\Temp\9CFB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9CFB.tmp"
        6⤵
        
        PID:2660
        
        C:\Users\Admin\AppData\Local\Temp\9D49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D49.tmp"
        7⤵
        
        PID:2652
        
        C:\Users\Admin\AppData\Local\Temp\B323.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B323.tmp"
        7⤵
        
        PID:2404
        
        C:\Users\Admin\AppData\Local\Temp\B371.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B371.tmp"
        8⤵
        
        PID:1860
        
        C:\Users\Admin\AppData\Local\Temp\B3BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B3BF.tmp"
        9⤵
        
        PID:4508
        
        C:\Users\Admin\AppData\Local\Temp\B40E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B40E.tmp"
        10⤵
        
        PID:4588
        
        C:\Users\Admin\AppData\Local\Temp\C9B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9B8.tmp"
        10⤵
        
        PID:4588
        
        C:\Users\Admin\AppData\Local\Temp\CA07.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA07.tmp"
        11⤵
        
        PID:3272
        
        C:\Users\Admin\AppData\Local\Temp\CA55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA55.tmp"
        12⤵
        
        PID:5028
        
        C:\Users\Admin\AppData\Local\Temp\AA2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA2A.tmp"
        13⤵
        
        PID:4600
        
        C:\Users\Admin\AppData\Local\Temp\635.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\635.tmp"
        13⤵
        
        PID:212
        
        C:\Users\Admin\AppData\Local\Temp\683.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\683.tmp"
        14⤵
        
        PID:1416
        
        C:\Users\Admin\AppData\Local\Temp\6D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D1.tmp"
        15⤵
        
        PID:4848
        
        C:\Users\Admin\AppData\Local\Temp\71F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71F.tmp"
        16⤵
        
        PID:3564
        
        C:\Users\Admin\AppData\Local\Temp\76D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76D.tmp"
        17⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\7BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BB.tmp"
        18⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\3A74.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A74.tmp"
        19⤵
        
        PID:4560
        
        C:\Users\Admin\AppData\Local\Temp\3AC2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3AC2.tmp"
        20⤵
        
        PID:3996
        
        C:\Users\Admin\AppData\Local\Temp\3B20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B20.tmp"
        21⤵
        
        PID:3196
        
        C:\Users\Admin\AppData\Local\Temp\3B6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B6E.tmp"
        22⤵
        
        PID:2360
        
        C:\Users\Admin\AppData\Local\Temp\3BCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3BCC.tmp"
        23⤵
        
        PID:2688
        
        C:\Users\Admin\AppData\Local\Temp\4987.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4987.tmp"
        23⤵
        Executes dropped EXE
        
        PID:2688
        
        C:\Users\Admin\AppData\Local\Temp\49D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49D5.tmp"
        24⤵
        
        PID:4648
        
        C:\Users\Admin\AppData\Local\Temp\4A23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A23.tmp"
        25⤵
        
        PID:1772
        
        C:\Users\Admin\AppData\Local\Temp\557E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\557E.tmp"
        21⤵
        
        PID:1272
        
        C:\Users\Admin\AppData\Local\Temp\55CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55CC.tmp"
        22⤵
        
        PID:3840
        
        C:\Users\Admin\AppData\Local\Temp\561A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\561A.tmp"
        23⤵
        
        PID:4472
        
        C:\Users\Admin\AppData\Local\Temp\4716.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4716.tmp"
        14⤵
        
        PID:4856
        
        C:\Users\Admin\AppData\Local\Temp\4764.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4764.tmp"
        15⤵
        
        PID:4708
        
        C:\Users\Admin\AppData\Local\Temp\47B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47B2.tmp"
        16⤵
        
        PID:916
        
        C:\Users\Admin\AppData\Local\Temp\4801.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4801.tmp"
        17⤵
        
        PID:2812
        
        C:\Users\Admin\AppData\Local\Temp\1279.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1279.tmp"
        12⤵
        
        PID:4188
        
        C:\Users\Admin\AppData\Local\Temp\12C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12C8.tmp"
        13⤵
        
        PID:3540
        
        C:\Users\Admin\AppData\Local\Temp\1306.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1306.tmp"
        14⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\1354.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1354.tmp"
        15⤵
        
        PID:4124
        
        C:\Users\Admin\AppData\Local\Temp\13A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\13A2.tmp"
        16⤵
        
        PID:3936
        
        C:\Users\Admin\AppData\Local\Temp\2C99.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C99.tmp"
        14⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\2CE7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2CE7.tmp"
        15⤵
        
        PID:4124
        
        C:\Users\Admin\AppData\Local\Temp\2D35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D35.tmp"
        16⤵
        
        PID:3936
        
        C:\Users\Admin\AppData\Local\Temp\2D83.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D83.tmp"
        17⤵
        
        PID:1488
        
        C:\Users\Admin\AppData\Local\Temp\2DD1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2DD1.tmp"
        18⤵
        
        PID:2264
        
        C:\Users\Admin\AppData\Local\Temp\599.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\599.tmp"
        11⤵
        
        PID:2244
        
        C:\Users\Admin\AppData\Local\Temp\5E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E7.tmp"
        12⤵
        
        PID:5028

C:\Users\Admin\AppData\Local\Temp\78E9.tmp
"C:\Users\Admin\AppData\Local\Temp\78E9.tmp"
1⤵
PID:1640
- C:\Users\Admin\AppData\Local\Temp\7937.tmp
  "C:\Users\Admin\AppData\Local\Temp\7937.tmp"
  2⤵
  PID:4124
- - C:\Users\Admin\AppData\Local\Temp\7985.tmp
    "C:\Users\Admin\AppData\Local\Temp\7985.tmp"
    3⤵
    PID:3876
- C:\Users\Admin\AppData\Local\Temp\9F7C.tmp
  "C:\Users\Admin\AppData\Local\Temp\9F7C.tmp"
  2⤵
  PID:3540
- - C:\Users\Admin\AppData\Local\Temp\9FCA.tmp
    "C:\Users\Admin\AppData\Local\Temp\9FCA.tmp"
    3⤵
    PID:3564
- - C:\Users\Admin\AppData\Local\Temp\BFA6.tmp
    "C:\Users\Admin\AppData\Local\Temp\BFA6.tmp"
    3⤵
    PID:4896
  - - C:\Users\Admin\AppData\Local\Temp\BFF4.tmp
      "C:\Users\Admin\AppData\Local\Temp\BFF4.tmp"
      4⤵
      PID:3204
    - - C:\Users\Admin\AppData\Local\Temp\C043.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C043.tmp"
        5⤵
        
        PID:1608
  - - C:\Users\Admin\AppData\Local\Temp\8BB5.tmp
      "C:\Users\Admin\AppData\Local\Temp\8BB5.tmp"
      4⤵
      PID:1488

C:\Users\Admin\AppData\Local\Temp\7A12.tmp
"C:\Users\Admin\AppData\Local\Temp\7A12.tmp"
1⤵
PID:4392
- C:\Users\Admin\AppData\Local\Temp\7A60.tmp
  "C:\Users\Admin\AppData\Local\Temp\7A60.tmp"
  2⤵
  PID:1420

C:\Users\Admin\AppData\Local\Temp\7C83.tmp
"C:\Users\Admin\AppData\Local\Temp\7C83.tmp"
1⤵
PID:532
- C:\Users\Admin\AppData\Local\Temp\7CD1.tmp
  "C:\Users\Admin\AppData\Local\Temp\7CD1.tmp"
  2⤵
  PID:2848
- - C:\Users\Admin\AppData\Local\Temp\7D1F.tmp
    "C:\Users\Admin\AppData\Local\Temp\7D1F.tmp"
    3⤵
    PID:2976
- - C:\Users\Admin\AppData\Local\Temp\583D.tmp
    "C:\Users\Admin\AppData\Local\Temp\583D.tmp"
    3⤵
    PID:428
  - - C:\Users\Admin\AppData\Local\Temp\588B.tmp
      "C:\Users\Admin\AppData\Local\Temp\588B.tmp"
      4⤵
      PID:3548
    - - C:\Users\Admin\AppData\Local\Temp\58D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\58D9.tmp"
        5⤵
        
        PID:8
      - C:\Users\Admin\AppData\Local\Temp\5927.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5927.tmp"
        6⤵
        
        PID:4832
        
        C:\Users\Admin\AppData\Local\Temp\76F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76F0.tmp"
        7⤵
        
        PID:2208

C:\Users\Admin\AppData\Local\Temp\7D6D.tmp
"C:\Users\Admin\AppData\Local\Temp\7D6D.tmp"
1⤵
PID:1732
- C:\Users\Admin\AppData\Local\Temp\7DBB.tmp
  "C:\Users\Admin\AppData\Local\Temp\7DBB.tmp"
  2⤵
  PID:2436

C:\Users\Admin\AppData\Local\Temp\7E58.tmp
"C:\Users\Admin\AppData\Local\Temp\7E58.tmp"
1⤵
PID:4604
- C:\Users\Admin\AppData\Local\Temp\7EA6.tmp
  "C:\Users\Admin\AppData\Local\Temp\7EA6.tmp"
  2⤵
  PID:2704
- - C:\Users\Admin\AppData\Local\Temp\7F03.tmp
    "C:\Users\Admin\AppData\Local\Temp\7F03.tmp"
    3⤵
    PID:1564
  - - C:\Users\Admin\AppData\Local\Temp\7F52.tmp
      "C:\Users\Admin\AppData\Local\Temp\7F52.tmp"
      4⤵
      PID:632
    - - C:\Users\Admin\AppData\Local\Temp\7FA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FA0.tmp"
        5⤵
        
        PID:1864
      - C:\Users\Admin\AppData\Local\Temp\7FEE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FEE.tmp"
        6⤵
        
        PID:3432
        
        C:\Users\Admin\AppData\Local\Temp\803C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\803C.tmp"
        7⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\C11D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C11D.tmp"
        8⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1108
        
        C:\Users\Admin\AppData\Local\Temp\C16B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C16B.tmp"
        9⤵
        
        PID:3196
        
        C:\Users\Admin\AppData\Local\Temp\3D86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D86.tmp"
        9⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4524
        
        C:\Users\Admin\AppData\Local\Temp\2C5A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C5A.tmp"
        10⤵
        
        PID:3540
      - C:\Users\Admin\AppData\Local\Temp\D2D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2D1.tmp"
        6⤵
        
        PID:1060
        
        C:\Users\Admin\AppData\Local\Temp\D30F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D30F.tmp"
        7⤵
        
        PID:4936
        
        C:\Users\Admin\AppData\Local\Temp\D35D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D35D.tmp"
        8⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\F666.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F666.tmp"
        8⤵
        
        PID:3848
        
        C:\Users\Admin\AppData\Local\Temp\F6B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F6B4.tmp"
        9⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\F702.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F702.tmp"
        10⤵
        
        PID:2364
        
        C:\Users\Admin\AppData\Local\Temp\2B32.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B32.tmp"
        11⤵
        
        PID:3264
        
        C:\Users\Admin\AppData\Local\Temp\2B80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B80.tmp"
        12⤵
        
        PID:1052
        
        C:\Users\Admin\AppData\Local\Temp\2BCE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2BCE.tmp"
        13⤵
        
        PID:4656
        
        C:\Users\Admin\AppData\Local\Temp\2C0C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C0C.tmp"
        14⤵
        
        PID:4524
        
        C:\Users\Admin\AppData\Local\Temp\8F5F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F5F.tmp"
        7⤵
        
        PID:428
- - C:\Users\Admin\AppData\Local\Temp\91E0.tmp
    "C:\Users\Admin\AppData\Local\Temp\91E0.tmp"
    3⤵
    PID:4180
  - - C:\Users\Admin\AppData\Local\Temp\922E.tmp
      "C:\Users\Admin\AppData\Local\Temp\922E.tmp"
      4⤵
      PID:4428
    - - C:\Users\Admin\AppData\Local\Temp\928B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\928B.tmp"
        5⤵
        
        PID:2884
      - C:\Users\Admin\AppData\Local\Temp\92DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\92DA.tmp"
        6⤵
        
        PID:3592
        
        C:\Users\Admin\AppData\Local\Temp\C8CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8CE.tmp"
        7⤵
        
        PID:3264
        
        C:\Users\Admin\AppData\Local\Temp\C91C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C91C.tmp"
        8⤵
        
        PID:1860
        
        C:\Users\Admin\AppData\Local\Temp\C96A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C96A.tmp"
        9⤵
        
        PID:4508
        
        C:\Users\Admin\AppData\Local\Temp\4021.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4021.tmp"
        10⤵
        
        PID:3836
        
        C:\Users\Admin\AppData\Local\Temp\406F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\406F.tmp"
        11⤵
        
        PID:1336
        
        C:\Users\Admin\AppData\Local\Temp\40AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\40AE.tmp"
        12⤵
        
        PID:184
        
        C:\Users\Admin\AppData\Local\Temp\40FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\40FC.tmp"
        13⤵
        
        PID:4300
        
        C:\Users\Admin\AppData\Local\Temp\414A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\414A.tmp"
        14⤵
        
        PID:2436
        
        C:\Users\Admin\AppData\Local\Temp\6ABB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6ABB.tmp"
        15⤵
        
        PID:3628
        
        C:\Users\Admin\AppData\Local\Temp\6B09.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B09.tmp"
        16⤵
        
        PID:1284
        
        C:\Users\Admin\AppData\Local\Temp\6B57.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B57.tmp"
        17⤵
        
        PID:1084
        
        C:\Users\Admin\AppData\Local\Temp\6BA6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BA6.tmp"
        18⤵
        
        PID:332
        
        C:\Users\Admin\AppData\Local\Temp\6BF4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BF4.tmp"
        19⤵
        
        PID:3672
        
        C:\Users\Admin\AppData\Local\Temp\4F63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F63.tmp"
        12⤵
        
        PID:3412
        
        C:\Users\Admin\AppData\Local\Temp\4FB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FB1.tmp"
        13⤵
        
        PID:1340
        
        C:\Users\Admin\AppData\Local\Temp\4FFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FFF.tmp"
        14⤵
        
        PID:3992
        
        C:\Users\Admin\AppData\Local\Temp\535B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\535B.tmp"
        9⤵
        
        PID:4280
        
        C:\Users\Admin\AppData\Local\Temp\53A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53A9.tmp"
        10⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\53F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53F7.tmp"
        11⤵
        
        PID:1900
        
        C:\Users\Admin\AppData\Local\Temp\5445.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5445.tmp"
        12⤵
        
        PID:2928
        
        C:\Users\Admin\AppData\Local\Temp\5493.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5493.tmp"
        13⤵
        
        PID:3540
        
        C:\Users\Admin\AppData\Local\Temp\54E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54E1.tmp"
        14⤵
        
        PID:1488
        
        C:\Users\Admin\AppData\Local\Temp\5530.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5530.tmp"
        15⤵
        
        PID:3996
        
        C:\Users\Admin\AppData\Local\Temp\6155.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6155.tmp"
        12⤵
        
        PID:4448
        
        C:\Users\Admin\AppData\Local\Temp\61A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\61A3.tmp"
        13⤵
        
        PID:4628
        
        C:\Users\Admin\AppData\Local\Temp\61F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\61F1.tmp"
        14⤵
        
        PID:3592
        
        C:\Users\Admin\AppData\Local\Temp\6230.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6230.tmp"
        15⤵
        
        PID:4868
        
        C:\Users\Admin\AppData\Local\Temp\627E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\627E.tmp"
        16⤵
        
        PID:1384
    - - C:\Users\Admin\AppData\Local\Temp\3EE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3EE8.tmp"
        5⤵
        
        PID:2236
      - C:\Users\Admin\AppData\Local\Temp\3F37.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F37.tmp"
        6⤵
        
        PID:4384
        
        C:\Users\Admin\AppData\Local\Temp\3F85.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F85.tmp"
        7⤵
        
        PID:3120
        
        C:\Users\Admin\AppData\Local\Temp\3FD3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3FD3.tmp"
        8⤵
        
        PID:4508
  - - C:\Users\Admin\AppData\Local\Temp\A807.tmp
      "C:\Users\Admin\AppData\Local\Temp\A807.tmp"
      4⤵
      PID:1200
    - - C:\Users\Admin\AppData\Local\Temp\A856.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A856.tmp"
        5⤵
        
        PID:2404
      - C:\Users\Admin\AppData\Local\Temp\A8A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A8A4.tmp"
        6⤵
        
        PID:1860

C:\Users\Admin\AppData\Local\Temp\80E8.tmp
"C:\Users\Admin\AppData\Local\Temp\80E8.tmp"
1⤵
PID:4512
- C:\Users\Admin\AppData\Local\Temp\8136.tmp
  "C:\Users\Admin\AppData\Local\Temp\8136.tmp"
  2⤵
  PID:944
- - C:\Users\Admin\AppData\Local\Temp\8184.tmp
    "C:\Users\Admin\AppData\Local\Temp\8184.tmp"
    3⤵
    PID:924

C:\Users\Admin\AppData\Local\Temp\81D2.tmp
"C:\Users\Admin\AppData\Local\Temp\81D2.tmp"
1⤵
PID:2244

C:\Users\Admin\AppData\Local\Temp\826E.tmp
"C:\Users\Admin\AppData\Local\Temp\826E.tmp"
1⤵
PID:4020
- C:\Users\Admin\AppData\Local\Temp\82BD.tmp
  "C:\Users\Admin\AppData\Local\Temp\82BD.tmp"
  2⤵
  PID:4856
- - C:\Users\Admin\AppData\Local\Temp\96E1.tmp
    "C:\Users\Admin\AppData\Local\Temp\96E1.tmp"
    3⤵
    PID:1380
  - - C:\Users\Admin\AppData\Local\Temp\972F.tmp
      "C:\Users\Admin\AppData\Local\Temp\972F.tmp"
      4⤵
      PID:2396
    - - C:\Users\Admin\AppData\Local\Temp\977D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\977D.tmp"
        5⤵
        
        PID:1924
      - C:\Users\Admin\AppData\Local\Temp\97CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\97CB.tmp"
        6⤵
        
        PID:3472

C:\Users\Admin\AppData\Local\Temp\8368.tmp
"C:\Users\Admin\AppData\Local\Temp\8368.tmp"
1⤵
PID:4528
- C:\Users\Admin\AppData\Local\Temp\83B7.tmp
  "C:\Users\Admin\AppData\Local\Temp\83B7.tmp"
  2⤵
  PID:3788
- - C:\Users\Admin\AppData\Local\Temp\8405.tmp
    "C:\Users\Admin\AppData\Local\Temp\8405.tmp"
    3⤵
    PID:2688
  - - C:\Users\Admin\AppData\Local\Temp\8453.tmp
      "C:\Users\Admin\AppData\Local\Temp\8453.tmp"
      4⤵
      PID:1272
- - C:\Users\Admin\AppData\Local\Temp\D90A.tmp
    "C:\Users\Admin\AppData\Local\Temp\D90A.tmp"
    3⤵
    PID:5112
  - - C:\Users\Admin\AppData\Local\Temp\D958.tmp
      "C:\Users\Admin\AppData\Local\Temp\D958.tmp"
      4⤵
      PID:744
    - - C:\Users\Admin\AppData\Local\Temp\D9A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D9A7.tmp"
        5⤵
        
        PID:2692
      - C:\Users\Admin\AppData\Local\Temp\D9F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D9F5.tmp"
        6⤵
        
        PID:3708
        
        C:\Users\Admin\AppData\Local\Temp\DA43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA43.tmp"
        7⤵
        
        PID:4444
        
        C:\Users\Admin\AppData\Local\Temp\DA91.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA91.tmp"
        8⤵
        
        PID:3380
        
        C:\Users\Admin\AppData\Local\Temp\DADF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DADF.tmp"
        9⤵
        
        PID:3836
        
        C:\Users\Admin\AppData\Local\Temp\7606.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7606.tmp"
        9⤵
        
        PID:3548
        
        C:\Users\Admin\AppData\Local\Temp\7654.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7654.tmp"
        10⤵
        
        PID:8
        
        C:\Users\Admin\AppData\Local\Temp\76A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76A2.tmp"
        11⤵
        
        PID:4832
  - - C:\Users\Admin\AppData\Local\Temp\E530.tmp
      "C:\Users\Admin\AppData\Local\Temp\E530.tmp"
      4⤵
      PID:3288
    - - C:\Users\Admin\AppData\Local\Temp\E57E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E57E.tmp"
        5⤵
        
        PID:4276
      - C:\Users\Admin\AppData\Local\Temp\A325.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A325.tmp"
        6⤵
        
        PID:4880
        
        C:\Users\Admin\AppData\Local\Temp\F165.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F165.tmp"
        7⤵
        
        PID:2592
        
        C:\Users\Admin\AppData\Local\Temp\F1B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1B3.tmp"
        8⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\F201.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F201.tmp"
        9⤵
        
        PID:4916
        
        C:\Users\Admin\AppData\Local\Temp\880C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\880C.tmp"
        10⤵
        
        PID:3120
      - C:\Users\Admin\AppData\Local\Temp\7C35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C35.tmp"
        6⤵
        
        PID:3536
- C:\Users\Admin\AppData\Local\Temp\B7B7.tmp
  "C:\Users\Admin\AppData\Local\Temp\B7B7.tmp"
  2⤵
  PID:4872
- - C:\Users\Admin\AppData\Local\Temp\B805.tmp
    "C:\Users\Admin\AppData\Local\Temp\B805.tmp"
    3⤵
    PID:5112
  - - C:\Users\Admin\AppData\Local\Temp\B853.tmp
      "C:\Users\Admin\AppData\Local\Temp\B853.tmp"
      4⤵
      PID:3472
- - C:\Users\Admin\AppData\Local\Temp\C2A4.tmp
    "C:\Users\Admin\AppData\Local\Temp\C2A4.tmp"
    3⤵
    PID:5112
  - - C:\Users\Admin\AppData\Local\Temp\C2E2.tmp
      "C:\Users\Admin\AppData\Local\Temp\C2E2.tmp"
      4⤵
      PID:4276
    - - C:\Users\Admin\AppData\Local\Temp\E5CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5CC.tmp"
        5⤵
        
        PID:3204
      - C:\Users\Admin\AppData\Local\Temp\E61A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E61A.tmp"
        6⤵
        
        PID:4184
        
        C:\Users\Admin\AppData\Local\Temp\E668.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E668.tmp"
        7⤵
        
        PID:3992
        
        C:\Users\Admin\AppData\Local\Temp\E6B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E6B6.tmp"
        8⤵
        
        PID:3836
        
        C:\Users\Admin\AppData\Local\Temp\E704.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E704.tmp"
        9⤵
        
        PID:2260
        
        C:\Users\Admin\AppData\Local\Temp\E753.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E753.tmp"
        10⤵
        
        PID:4060

C:\Users\Admin\AppData\Local\Temp\85D9.tmp
"C:\Users\Admin\AppData\Local\Temp\85D9.tmp"
1⤵
PID:1532
- C:\Users\Admin\AppData\Local\Temp\8628.tmp
  "C:\Users\Admin\AppData\Local\Temp\8628.tmp"
  2⤵
  PID:2508
- - C:\Users\Admin\AppData\Local\Temp\5275.tmp
    "C:\Users\Admin\AppData\Local\Temp\5275.tmp"
    3⤵
    PID:720
- - C:\Users\Admin\AppData\Local\Temp\C40.tmp
    "C:\Users\Admin\AppData\Local\Temp\C40.tmp"
    3⤵
    PID:4780
  - - C:\Users\Admin\AppData\Local\Temp\C8E.tmp
      "C:\Users\Admin\AppData\Local\Temp\C8E.tmp"
      4⤵
      PID:3412
    - - C:\Users\Admin\AppData\Local\Temp\CDC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDC.tmp"
        5⤵
        
        PID:1084
      - C:\Users\Admin\AppData\Local\Temp\D2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2A.tmp"
        6⤵
        
        PID:2436
        
        C:\Users\Admin\AppData\Local\Temp\4198.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4198.tmp"
        7⤵
        
        PID:3628
        
        C:\Users\Admin\AppData\Local\Temp\41E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\41E6.tmp"
        8⤵
        
        PID:2708
        
        C:\Users\Admin\AppData\Local\Temp\4234.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4234.tmp"
        9⤵
        
        PID:392

C:\Users\Admin\AppData\Local\Temp\8D3C.tmp
"C:\Users\Admin\AppData\Local\Temp\8D3C.tmp"
1⤵
PID:672
- C:\Users\Admin\AppData\Local\Temp\8D8A.tmp
  "C:\Users\Admin\AppData\Local\Temp\8D8A.tmp"
  2⤵
  PID:2688
- - C:\Users\Admin\AppData\Local\Temp\8DD8.tmp
    "C:\Users\Admin\AppData\Local\Temp\8DD8.tmp"
    3⤵
    PID:1272
  - - C:\Users\Admin\AppData\Local\Temp\8E26.tmp
      "C:\Users\Admin\AppData\Local\Temp\8E26.tmp"
      4⤵
      PID:3008
  - - C:\Users\Admin\AppData\Local\Temp\84A1.tmp
      "C:\Users\Admin\AppData\Local\Temp\84A1.tmp"
      4⤵
      PID:3008
- C:\Users\Admin\AppData\Local\Temp\E416.tmp
  "C:\Users\Admin\AppData\Local\Temp\E416.tmp"
  2⤵
  PID:4648
- - C:\Users\Admin\AppData\Local\Temp\E465.tmp
    "C:\Users\Admin\AppData\Local\Temp\E465.tmp"
    3⤵
    PID:3840

C:\Users\Admin\AppData\Local\Temp\9645.tmp
"C:\Users\Admin\AppData\Local\Temp\9645.tmp"
1⤵
PID:1548

C:\Users\Admin\AppData\Local\Temp\9904.tmp
"C:\Users\Admin\AppData\Local\Temp\9904.tmp"
1⤵
PID:3836
- C:\Users\Admin\AppData\Local\Temp\9952.tmp
  "C:\Users\Admin\AppData\Local\Temp\9952.tmp"
  2⤵
  PID:2128
- - C:\Users\Admin\AppData\Local\Temp\99A0.tmp
    "C:\Users\Admin\AppData\Local\Temp\99A0.tmp"
    3⤵
    PID:4912
  - - C:\Users\Admin\AppData\Local\Temp\99EE.tmp
      "C:\Users\Admin\AppData\Local\Temp\99EE.tmp"
      4⤵
      PID:4964
- - C:\Users\Admin\AppData\Local\Temp\AFE7.tmp
    "C:\Users\Admin\AppData\Local\Temp\AFE7.tmp"
    3⤵
    PID:4964
  - - C:\Users\Admin\AppData\Local\Temp\B035.tmp
      "C:\Users\Admin\AppData\Local\Temp\B035.tmp"
      4⤵
      PID:4384
- C:\Users\Admin\AppData\Local\Temp\A45E.tmp
  "C:\Users\Admin\AppData\Local\Temp\A45E.tmp"
  2⤵
  PID:3876
- - C:\Users\Admin\AppData\Local\Temp\A4AC.tmp
    "C:\Users\Admin\AppData\Local\Temp\A4AC.tmp"
    3⤵
    PID:4912
  - - C:\Users\Admin\AppData\Local\Temp\A4FA.tmp
      "C:\Users\Admin\AppData\Local\Temp\A4FA.tmp"
      4⤵
      PID:4964
    - - C:\Users\Admin\AppData\Local\Temp\A548.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A548.tmp"
        5⤵
        
        PID:4384
      - C:\Users\Admin\AppData\Local\Temp\B074.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B074.tmp"
        6⤵
        
        PID:2436
        
        C:\Users\Admin\AppData\Local\Temp\B0C2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B0C2.tmp"
        7⤵
        
        PID:1700
        
        C:\Users\Admin\AppData\Local\Temp\B110.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B110.tmp"
        8⤵
        
        PID:3672
        
        C:\Users\Admin\AppData\Local\Temp\B15E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B15E.tmp"
        9⤵
        
        PID:2388
        
        C:\Users\Admin\AppData\Local\Temp\B1AC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B1AC.tmp"
        10⤵
        
        PID:2708
        
        C:\Users\Admin\AppData\Local\Temp\B1FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B1FA.tmp"
        11⤵
        
        PID:544
        
        C:\Users\Admin\AppData\Local\Temp\B248.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B248.tmp"
        12⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\BBAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBAF.tmp"
        9⤵
        
        PID:2388
        
        C:\Users\Admin\AppData\Local\Temp\BBFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBFD.tmp"
        10⤵
        
        PID:5032
        
        C:\Users\Admin\AppData\Local\Temp\BC4B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC4B.tmp"
        11⤵
        
        PID:4936
        
        C:\Users\Admin\AppData\Local\Temp\BC99.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC99.tmp"
        12⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\BCE7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BCE7.tmp"
        13⤵
        
        PID:4928
        
        C:\Users\Admin\AppData\Local\Temp\D3AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D3AB.tmp"
        13⤵
        
        PID:4928
        
        C:\Users\Admin\AppData\Local\Temp\D3F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D3F9.tmp"
        14⤵
        
        PID:3552
        
        C:\Users\Admin\AppData\Local\Temp\D448.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D448.tmp"
        15⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\BD35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD35.tmp"
        14⤵
        
        PID:2660
        
        C:\Users\Admin\AppData\Local\Temp\43DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\43DF.tmp"
        15⤵
        
        PID:3752
        
        C:\Users\Admin\AppData\Local\Temp\7753.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7753.tmp"
        14⤵
        
        PID:3848
        
        C:\Users\Admin\AppData\Local\Temp\29F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\29F9.tmp"
        15⤵
        
        PID:1012
        
        C:\Users\Admin\AppData\Local\Temp\2A47.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A47.tmp"
        16⤵
        
        PID:3256
        
        C:\Users\Admin\AppData\Local\Temp\2A95.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A95.tmp"
        17⤵
        
        PID:1216
        
        C:\Users\Admin\AppData\Local\Temp\2AE3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2AE3.tmp"
        18⤵
        
        PID:2364
        
        C:\Users\Admin\AppData\Local\Temp\C65D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C65D.tmp"
        10⤵
        
        PID:4604
        
        C:\Users\Admin\AppData\Local\Temp\C6AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6AB.tmp"
        11⤵
        
        PID:3728
        
        C:\Users\Admin\AppData\Local\Temp\C6F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6F9.tmp"
        12⤵
        
        PID:1700
        
        C:\Users\Admin\AppData\Local\Temp\9BC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9BC3.tmp"
        11⤵
        
        PID:1192
        
        C:\Users\Admin\AppData\Local\Temp\F57C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F57C.tmp"
        11⤵
        
        PID:3728
        
        C:\Users\Admin\AppData\Local\Temp\F5CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5CA.tmp"
        12⤵
        
        PID:3208
        
        C:\Users\Admin\AppData\Local\Temp\F618.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F618.tmp"
        13⤵
        
        PID:4936
        
        C:\Users\Admin\AppData\Local\Temp\1037.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1037.tmp"
        13⤵
        
        PID:4936
        
        C:\Users\Admin\AppData\Local\Temp\1095.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1095.tmp"
        14⤵
        
        PID:1200
        
        C:\Users\Admin\AppData\Local\Temp\10E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\10E3.tmp"
        15⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\1131.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1131.tmp"
        16⤵
        
        PID:2700
        
        C:\Users\Admin\AppData\Local\Temp\118F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\118F.tmp"
        17⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\11DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\11DD.tmp"
        18⤵
        
        PID:4512
        
        C:\Users\Admin\AppData\Local\Temp\122B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\122B.tmp"
        19⤵
        
        PID:3272
        
        C:\Users\Admin\AppData\Local\Temp\C747.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C747.tmp"
        8⤵
        
        PID:5032
        
        C:\Users\Admin\AppData\Local\Temp\C796.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C796.tmp"
        9⤵
        
        PID:3724
        
        C:\Users\Admin\AppData\Local\Temp\C7E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C7E4.tmp"
        10⤵
        
        PID:2420
        
        C:\Users\Admin\AppData\Local\Temp\C832.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C832.tmp"
        11⤵
        
        PID:1200
        
        C:\Users\Admin\AppData\Local\Temp\C880.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C880.tmp"
        12⤵
        
        PID:3592
        
        C:\Users\Admin\AppData\Local\Temp\C525.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C525.tmp"
        7⤵
        
        PID:2180
        
        C:\Users\Admin\AppData\Local\Temp\C573.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C573.tmp"
        8⤵
        
        PID:4280
        
        C:\Users\Admin\AppData\Local\Temp\C5C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C5C1.tmp"
        9⤵
        
        PID:3672
        
        C:\Users\Admin\AppData\Local\Temp\C60F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C60F.tmp"
        10⤵
        
        PID:2388
- - C:\Users\Admin\AppData\Local\Temp\BA76.tmp
    "C:\Users\Admin\AppData\Local\Temp\BA76.tmp"
    3⤵
    PID:444
  - - C:\Users\Admin\AppData\Local\Temp\BAC4.tmp
      "C:\Users\Admin\AppData\Local\Temp\BAC4.tmp"
      4⤵
      PID:2260
    - - C:\Users\Admin\AppData\Local\Temp\BB12.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB12.tmp"
        5⤵
        
        PID:4280
      - C:\Users\Admin\AppData\Local\Temp\BB61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB61.tmp"
        6⤵
        
        PID:3672
- C:\Users\Admin\AppData\Local\Temp\DB2D.tmp
  "C:\Users\Admin\AppData\Local\Temp\DB2D.tmp"
  2⤵
  PID:2260
- - C:\Users\Admin\AppData\Local\Temp\DB7B.tmp
    "C:\Users\Admin\AppData\Local\Temp\DB7B.tmp"
    3⤵
    PID:4060
  - - C:\Users\Admin\AppData\Local\Temp\DBC9.tmp
      "C:\Users\Admin\AppData\Local\Temp\DBC9.tmp"
      4⤵
      PID:3192
    - - C:\Users\Admin\AppData\Local\Temp\DC18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC18.tmp"
        5⤵
        
        PID:3440
      - C:\Users\Admin\AppData\Local\Temp\DC66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC66.tmp"
        6⤵
        
        PID:2704
  - - C:\Users\Admin\AppData\Local\Temp\AC8C.tmp
      "C:\Users\Admin\AppData\Local\Temp\AC8C.tmp"
      4⤵
      PID:4668
  - - C:\Users\Admin\AppData\Local\Temp\E7A1.tmp
      "C:\Users\Admin\AppData\Local\Temp\E7A1.tmp"
      4⤵
      PID:3192
    - - C:\Users\Admin\AppData\Local\Temp\E7EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7EF.tmp"
        5⤵
        
        PID:3440
      - C:\Users\Admin\AppData\Local\Temp\E83D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E83D.tmp"
        6⤵
        
        PID:3480

C:\Users\Admin\AppData\Local\Temp\9A3C.tmp
"C:\Users\Admin\AppData\Local\Temp\9A3C.tmp"
1⤵
PID:3424
- C:\Users\Admin\AppData\Local\Temp\9A8A.tmp
  "C:\Users\Admin\AppData\Local\Temp\9A8A.tmp"
  2⤵
  PID:4040

C:\Users\Admin\AppData\Local\Temp\9C11.tmp
"C:\Users\Admin\AppData\Local\Temp\9C11.tmp"
1⤵
PID:4932
- C:\Users\Admin\AppData\Local\Temp\9C5F.tmp
  "C:\Users\Admin\AppData\Local\Temp\9C5F.tmp"
  2⤵
  PID:3832
- - C:\Users\Admin\AppData\Local\Temp\9CAD.tmp
    "C:\Users\Admin\AppData\Local\Temp\9CAD.tmp"
    3⤵
    PID:544
- - C:\Users\Admin\AppData\Local\Temp\1A0B.tmp
    "C:\Users\Admin\AppData\Local\Temp\1A0B.tmp"
    3⤵
    PID:3992
  - - C:\Users\Admin\AppData\Local\Temp\1A59.tmp
      "C:\Users\Admin\AppData\Local\Temp\1A59.tmp"
      4⤵
      PID:1448
    - - C:\Users\Admin\AppData\Local\Temp\1AA7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AA7.tmp"
        5⤵
        
        PID:3192
      - C:\Users\Admin\AppData\Local\Temp\1AF5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AF5.tmp"
        6⤵
        
        PID:4460
    - - C:\Users\Admin\AppData\Local\Temp\5CC1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5CC1.tmp"
        5⤵
        
        PID:2708
      - C:\Users\Admin\AppData\Local\Temp\5D0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D0F.tmp"
        6⤵
        
        PID:3424
        
        C:\Users\Admin\AppData\Local\Temp\5D5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D5D.tmp"
        7⤵
        
        PID:3560
        
        C:\Users\Admin\AppData\Local\Temp\5DAB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DAB.tmp"
        8⤵
        
        PID:2124
        
        C:\Users\Admin\AppData\Local\Temp\5DFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DFA.tmp"
        9⤵
        
        PID:4400
  - - C:\Users\Admin\AppData\Local\Temp\504E.tmp
      "C:\Users\Admin\AppData\Local\Temp\504E.tmp"
      4⤵
      PID:1084
    - - C:\Users\Admin\AppData\Local\Temp\509C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\509C.tmp"
        5⤵
        
        PID:1564
      - C:\Users\Admin\AppData\Local\Temp\50EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50EA.tmp"
        6⤵
        
        PID:4400
        
        C:\Users\Admin\AppData\Local\Temp\5138.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5138.tmp"
        7⤵
        
        PID:364
        
        C:\Users\Admin\AppData\Local\Temp\5E48.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E48.tmp"
        7⤵
        
        PID:364
        
        C:\Users\Admin\AppData\Local\Temp\5E96.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E96.tmp"
        8⤵
        
        PID:2884
        
        C:\Users\Admin\AppData\Local\Temp\5EE4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5EE4.tmp"
        9⤵
        
        PID:2960
        
        C:\Users\Admin\AppData\Local\Temp\5F32.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F32.tmp"
        10⤵
        
        PID:2808
- C:\Users\Admin\AppData\Local\Temp\26BD.tmp
  "C:\Users\Admin\AppData\Local\Temp\26BD.tmp"
  2⤵
  PID:4320
- - C:\Users\Admin\AppData\Local\Temp\270B.tmp
    "C:\Users\Admin\AppData\Local\Temp\270B.tmp"
    3⤵
    PID:2708

C:\Users\Admin\AppData\Local\Temp\A066.tmp
"C:\Users\Admin\AppData\Local\Temp\A066.tmp"
1⤵
PID:1108
- C:\Users\Admin\AppData\Local\Temp\A0B4.tmp
  "C:\Users\Admin\AppData\Local\Temp\A0B4.tmp"
  2⤵
  PID:4020
- - C:\Users\Admin\AppData\Local\Temp\A103.tmp
    "C:\Users\Admin\AppData\Local\Temp\A103.tmp"
    3⤵
    PID:4060
- - C:\Users\Admin\AppData\Local\Temp\AC3E.tmp
    "C:\Users\Admin\AppData\Local\Temp\AC3E.tmp"
    3⤵
    PID:4060
- C:\Users\Admin\AppData\Local\Temp\B6CD.tmp
  "C:\Users\Admin\AppData\Local\Temp\B6CD.tmp"
  2⤵
  PID:3196
- - C:\Users\Admin\AppData\Local\Temp\B71B.tmp
    "C:\Users\Admin\AppData\Local\Temp\B71B.tmp"
    3⤵
    PID:4844
  - - C:\Users\Admin\AppData\Local\Temp\B769.tmp
      "C:\Users\Admin\AppData\Local\Temp\B769.tmp"
      4⤵
      PID:4528
- - C:\Users\Admin\AppData\Local\Temp\C1BA.tmp
    "C:\Users\Admin\AppData\Local\Temp\C1BA.tmp"
    3⤵
    PID:4648
  - - C:\Users\Admin\AppData\Local\Temp\C208.tmp
      "C:\Users\Admin\AppData\Local\Temp\C208.tmp"
      4⤵
      PID:2688
    - - C:\Users\Admin\AppData\Local\Temp\C256.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C256.tmp"
        5⤵
        
        PID:4872

C:\Users\Admin\AppData\Local\Temp\A151.tmp
"C:\Users\Admin\AppData\Local\Temp\A151.tmp"
1⤵
PID:4668
- C:\Users\Admin\AppData\Local\Temp\A19F.tmp
  "C:\Users\Admin\AppData\Local\Temp\A19F.tmp"
  2⤵
  PID:3840
- - C:\Users\Admin\AppData\Local\Temp\A1ED.tmp
    "C:\Users\Admin\AppData\Local\Temp\A1ED.tmp"
    3⤵
    PID:2360
- C:\Users\Admin\AppData\Local\Temp\ACDA.tmp
  "C:\Users\Admin\AppData\Local\Temp\ACDA.tmp"
  2⤵
  PID:3840
- - C:\Users\Admin\AppData\Local\Temp\AD28.tmp
    "C:\Users\Admin\AppData\Local\Temp\AD28.tmp"
    3⤵
    PID:2360
  - - C:\Users\Admin\AppData\Local\Temp\AD76.tmp
      "C:\Users\Admin\AppData\Local\Temp\AD76.tmp"
      4⤵
      PID:552
    - - C:\Users\Admin\AppData\Local\Temp\ADC4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ADC4.tmp"
        5⤵
        
        PID:3164
      - C:\Users\Admin\AppData\Local\Temp\AE12.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE12.tmp"
        6⤵
        
        PID:2692
        
        C:\Users\Admin\AppData\Local\Temp\AE60.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE60.tmp"
        7⤵
        
        PID:1620
        
        C:\Users\Admin\AppData\Local\Temp\AEAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AEAF.tmp"
        8⤵
        
        PID:4444
  - - C:\Users\Admin\AppData\Local\Temp\A23B.tmp
      "C:\Users\Admin\AppData\Local\Temp\A23B.tmp"
      4⤵
      PID:552

C:\Users\Admin\AppData\Local\Temp\A289.tmp
"C:\Users\Admin\AppData\Local\Temp\A289.tmp"
1⤵
PID:392
- C:\Users\Admin\AppData\Local\Temp\A2D7.tmp
  "C:\Users\Admin\AppData\Local\Temp\A2D7.tmp"
  2⤵
  PID:4276
- - C:\Users\Admin\AppData\Local\Temp\C331.tmp
    "C:\Users\Admin\AppData\Local\Temp\C331.tmp"
    3⤵
    PID:4880
  - - C:\Users\Admin\AppData\Local\Temp\C36F.tmp
      "C:\Users\Admin\AppData\Local\Temp\C36F.tmp"
      4⤵
      PID:848
    - - C:\Users\Admin\AppData\Local\Temp\B93E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B93E.tmp"
        5⤵
        
        PID:3708
    - - C:\Users\Admin\AppData\Local\Temp\98B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\98B6.tmp"
        5⤵
        
        PID:372

C:\Users\Admin\AppData\Local\Temp\A374.tmp
"C:\Users\Admin\AppData\Local\Temp\A374.tmp"
1⤵
PID:5064
- C:\Users\Admin\AppData\Local\Temp\A3C2.tmp
  "C:\Users\Admin\AppData\Local\Temp\A3C2.tmp"
  2⤵
  PID:3536

C:\Users\Admin\AppData\Local\Temp\A596.tmp
"C:\Users\Admin\AppData\Local\Temp\A596.tmp"
1⤵
PID:2088
- C:\Users\Admin\AppData\Local\Temp\A5E5.tmp
  "C:\Users\Admin\AppData\Local\Temp\A5E5.tmp"
  2⤵
  PID:2184
- - C:\Users\Admin\AppData\Local\Temp\A633.tmp
    "C:\Users\Admin\AppData\Local\Temp\A633.tmp"
    3⤵
    PID:1448
  - - C:\Users\Admin\AppData\Local\Temp\A681.tmp
      "C:\Users\Admin\AppData\Local\Temp\A681.tmp"
      4⤵
      PID:2388
  - - C:\Users\Admin\AppData\Local\Temp\F388.tmp
      "C:\Users\Admin\AppData\Local\Temp\F388.tmp"
      4⤵
      PID:4320
    - - C:\Users\Admin\AppData\Local\Temp\F3D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3D6.tmp"
        5⤵
        
        PID:1284
      - C:\Users\Admin\AppData\Local\Temp\F424.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F424.tmp"
        6⤵
        
        PID:1340
    - - C:\Users\Admin\AppData\Local\Temp\41DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\41DB.tmp"
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2392
- C:\Users\Admin\AppData\Local\Temp\FEF1.tmp
  "C:\Users\Admin\AppData\Local\Temp\FEF1.tmp"
  2⤵
  PID:4916
- - C:\Users\Admin\AppData\Local\Temp\FF40.tmp
    "C:\Users\Admin\AppData\Local\Temp\FF40.tmp"
    3⤵
    PID:3236
  - - C:\Users\Admin\AppData\Local\Temp\FF8E.tmp
      "C:\Users\Admin\AppData\Local\Temp\FF8E.tmp"
      4⤵
      PID:4300
    - - C:\Users\Admin\AppData\Local\Temp\FFDC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFDC.tmp"
        5⤵
        
        PID:3992

C:\Users\Admin\AppData\Local\Temp\A8F2.tmp
"C:\Users\Admin\AppData\Local\Temp\A8F2.tmp"
1⤵
PID:4464
- C:\Users\Admin\AppData\Local\Temp\A930.tmp
  "C:\Users\Admin\AppData\Local\Temp\A930.tmp"
  2⤵
  PID:2700
- - C:\Users\Admin\AppData\Local\Temp\A98E.tmp
    "C:\Users\Admin\AppData\Local\Temp\A98E.tmp"
    3⤵
    PID:3108
  - - C:\Users\Admin\AppData\Local\Temp\A9DC.tmp
      "C:\Users\Admin\AppData\Local\Temp\A9DC.tmp"
      4⤵
      PID:5028
    - - C:\Users\Admin\AppData\Local\Temp\CA93.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA93.tmp"
        5⤵
        
        PID:4600
      - C:\Users\Admin\AppData\Local\Temp\CAE1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAE1.tmp"
        6⤵
        
        PID:3564
        
        C:\Users\Admin\AppData\Local\Temp\CB2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB2F.tmp"
        7⤵
        
        PID:3716
        
        C:\Users\Admin\AppData\Local\Temp\A018.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A018.tmp"
        7⤵
        
        PID:3204
        
        C:\Users\Admin\AppData\Local\Temp\3E22.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E22.tmp"
        8⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1424
- - C:\Users\Admin\AppData\Local\Temp\3CEA.tmp
    "C:\Users\Admin\AppData\Local\Temp\3CEA.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:392

C:\Users\Admin\AppData\Local\Temp\AB05.tmp
"C:\Users\Admin\AppData\Local\Temp\AB05.tmp"
1⤵
PID:4908
- C:\Users\Admin\AppData\Local\Temp\AB53.tmp
  "C:\Users\Admin\AppData\Local\Temp\AB53.tmp"
  2⤵
  PID:4448
- - C:\Users\Admin\AppData\Local\Temp\ABA1.tmp
    "C:\Users\Admin\AppData\Local\Temp\ABA1.tmp"
    3⤵
    PID:2264
  - - C:\Users\Admin\AppData\Local\Temp\ABEF.tmp
      "C:\Users\Admin\AppData\Local\Temp\ABEF.tmp"
      4⤵
      PID:4020
    - - C:\Users\Admin\AppData\Local\Temp\EF42.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF42.tmp"
        5⤵
        
        PID:3196
      - C:\Users\Admin\AppData\Local\Temp\EF90.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF90.tmp"
        6⤵
        
        PID:2396
        
        C:\Users\Admin\AppData\Local\Temp\EFDE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFDE.tmp"
        7⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\F02C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F02C.tmp"
        8⤵
        
        PID:552
        
        C:\Users\Admin\AppData\Local\Temp\F07A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F07A.tmp"
        9⤵
        
        PID:3472
        
        C:\Users\Admin\AppData\Local\Temp\F0C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0C8.tmp"
        10⤵
        
        PID:3740
        
        C:\Users\Admin\AppData\Local\Temp\F117.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F117.tmp"
        11⤵
        
        PID:4880
        
        C:\Users\Admin\AppData\Local\Temp\4D31.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D31.tmp"
        12⤵
        
        PID:4184
        
        C:\Users\Admin\AppData\Local\Temp\4D7F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D7F.tmp"
        13⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\4DCD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4DCD.tmp"
        14⤵
        
        PID:3836
        
        C:\Users\Admin\AppData\Local\Temp\4E1B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E1B.tmp"
        15⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\4E79.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E79.tmp"
        16⤵
        
        PID:4512
        
        C:\Users\Admin\AppData\Local\Temp\4EC7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4EC7.tmp"
        17⤵
        
        PID:2092
        
        C:\Users\Admin\AppData\Local\Temp\4F15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F15.tmp"
        18⤵
        
        PID:1336
        
        C:\Users\Admin\AppData\Local\Temp\1661.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1661.tmp"
        8⤵
        
        PID:2528
        
        C:\Users\Admin\AppData\Local\Temp\16B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16B0.tmp"
        9⤵
        
        PID:3788
        
        C:\Users\Admin\AppData\Local\Temp\16FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16FE.tmp"
        10⤵
        
        PID:5064
        
        C:\Users\Admin\AppData\Local\Temp\174C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\174C.tmp"
        11⤵
        
        PID:744
        
        C:\Users\Admin\AppData\Local\Temp\17AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\17AA.tmp"
        12⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\17F8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\17F8.tmp"
        13⤵
        
        PID:3508
        
        C:\Users\Admin\AppData\Local\Temp\1846.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1846.tmp"
        14⤵
        
        PID:4444
        
        C:\Users\Admin\AppData\Local\Temp\1894.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1894.tmp"
        15⤵
        
        PID:3924
        
        C:\Users\Admin\AppData\Local\Temp\18E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\18E2.tmp"
        16⤵
        
        PID:4020
  - - C:\Users\Admin\AppData\Local\Temp\2E20.tmp
      "C:\Users\Admin\AppData\Local\Temp\2E20.tmp"
      4⤵
      PID:3564
    - - C:\Users\Admin\AppData\Local\Temp\2E6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E6E.tmp"
        5⤵
        
        PID:3732
      - C:\Users\Admin\AppData\Local\Temp\2EBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2EBC.tmp"
        6⤵
        
        PID:1612
        
        C:\Users\Admin\AppData\Local\Temp\2F0A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F0A.tmp"
        7⤵
        
        PID:4456
        
        C:\Users\Admin\AppData\Local\Temp\2F58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F58.tmp"
        8⤵
        
        PID:2368

C:\Users\Admin\AppData\Local\Temp\AEFD.tmp
"C:\Users\Admin\AppData\Local\Temp\AEFD.tmp"
1⤵
PID:4800
- C:\Users\Admin\AppData\Local\Temp\AF4B.tmp
  "C:\Users\Admin\AppData\Local\Temp\AF4B.tmp"
  2⤵
  PID:532

C:\Users\Admin\AppData\Local\Temp\B45C.tmp
"C:\Users\Admin\AppData\Local\Temp\B45C.tmp"
1⤵
PID:3272
- C:\Users\Admin\AppData\Local\Temp\B4AA.tmp
  "C:\Users\Admin\AppData\Local\Temp\B4AA.tmp"
  2⤵
  PID:1556
- - C:\Users\Admin\AppData\Local\Temp\B4F8.tmp
    "C:\Users\Admin\AppData\Local\Temp\B4F8.tmp"
    3⤵
    PID:4524
  - - C:\Users\Admin\AppData\Local\Temp\B546.tmp
      "C:\Users\Admin\AppData\Local\Temp\B546.tmp"
      4⤵
      PID:2876
    - - C:\Users\Admin\AppData\Local\Temp\B594.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B594.tmp"
        5⤵
        
        PID:3436
      - C:\Users\Admin\AppData\Local\Temp\FAAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FAAC.tmp"
        6⤵
        
        PID:4296
        
        C:\Users\Admin\AppData\Local\Temp\FAFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FAFA.tmp"
        7⤵
        
        PID:4708
  - - C:\Users\Admin\AppData\Local\Temp\3DD4.tmp
      "C:\Users\Admin\AppData\Local\Temp\3DD4.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:3204
    - - C:\Users\Admin\AppData\Local\Temp\57A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57A1.tmp"
        5⤵
        
        PID:904
      - C:\Users\Admin\AppData\Local\Temp\57EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57EF.tmp"
        6⤵
        
        PID:2848
      - C:\Users\Admin\AppData\Local\Temp\751B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\751B.tmp"
        6⤵
        
        PID:4904
        
        C:\Users\Admin\AppData\Local\Temp\756A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\756A.tmp"
        7⤵
        
        PID:428
        
        C:\Users\Admin\AppData\Local\Temp\75B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75B8.tmp"
        8⤵
        
        PID:3380

C:\Users\Admin\AppData\Local\Temp\B5E2.tmp
"C:\Users\Admin\AppData\Local\Temp\B5E2.tmp"
1⤵
PID:4420
- C:\Users\Admin\AppData\Local\Temp\B630.tmp
  "C:\Users\Admin\AppData\Local\Temp\B630.tmp"
  2⤵
  PID:3596
- - C:\Users\Admin\AppData\Local\Temp\B67F.tmp
    "C:\Users\Admin\AppData\Local\Temp\B67F.tmp"
    3⤵
    PID:1108

C:\Users\Admin\AppData\Local\Temp\C091.tmp
"C:\Users\Admin\AppData\Local\Temp\C091.tmp"
1⤵
PID:4420
- C:\Users\Admin\AppData\Local\Temp\C0DF.tmp
  "C:\Users\Admin\AppData\Local\Temp\C0DF.tmp"
  2⤵
  PID:3964
- - C:\Users\Admin\AppData\Local\Temp\809A.tmp
    "C:\Users\Admin\AppData\Local\Temp\809A.tmp"
    3⤵
    PID:3660
  - - C:\Users\Admin\AppData\Local\Temp\2D9.tmp
      "C:\Users\Admin\AppData\Local\Temp\2D9.tmp"
      4⤵
      PID:852
    - - C:\Users\Admin\AppData\Local\Temp\328.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\328.tmp"
        5⤵
        Executes dropped EXE
        
        PID:2420
      - C:\Users\Admin\AppData\Local\Temp\376.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\376.tmp"
        6⤵
        
        PID:3520
        
        C:\Users\Admin\AppData\Local\Temp\3C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C4.tmp"
        7⤵
        
        PID:2200
        
        C:\Users\Admin\AppData\Local\Temp\412.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\412.tmp"
        8⤵
        
        PID:2404
        
        C:\Users\Admin\AppData\Local\Temp\460.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\460.tmp"
        9⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\4AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4AE.tmp"
        10⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\4FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FC.tmp"
        11⤵
        
        PID:4616
        
        C:\Users\Admin\AppData\Local\Temp\54A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54A.tmp"
        12⤵
        
        PID:4588
        
        C:\Users\Admin\AppData\Local\Temp\395B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\395B.tmp"
        12⤵
        
        PID:1556
        
        C:\Users\Admin\AppData\Local\Temp\3999.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3999.tmp"
        13⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\39D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\39D8.tmp"
        14⤵
        
        PID:3592
        
        C:\Users\Admin\AppData\Local\Temp\3A26.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A26.tmp"
        15⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\1E9F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E9F.tmp"
        9⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\1EED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1EED.tmp"
        10⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\1F3B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F3B.tmp"
        11⤵
        
        PID:2092
    - - C:\Users\Admin\AppData\Local\Temp\6D7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D7A.tmp"
        5⤵
        Suspicious use of WriteProcessMemory
        
        PID:2420
      - C:\Users\Admin\AppData\Local\Temp\6DC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DC8.tmp"
        6⤵
        
        PID:3576
        
        C:\Users\Admin\AppData\Local\Temp\6E17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E17.tmp"
        7⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\6E65.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E65.tmp"
        8⤵
        
        PID:3256
        
        C:\Users\Admin\AppData\Local\Temp\6EB3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6EB3.tmp"
        9⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\6F01.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F01.tmp"
        10⤵
        
        PID:3520
        
        C:\Users\Admin\AppData\Local\Temp\6F4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F4F.tmp"
        11⤵
        
        PID:828
- C:\Users\Admin\AppData\Local\Temp\148D.tmp
  "C:\Users\Admin\AppData\Local\Temp\148D.tmp"
  2⤵
  PID:2412
- - C:\Users\Admin\AppData\Local\Temp\14DB.tmp
    "C:\Users\Admin\AppData\Local\Temp\14DB.tmp"
    3⤵
    PID:4528
  - - C:\Users\Admin\AppData\Local\Temp\1529.tmp
      "C:\Users\Admin\AppData\Local\Temp\1529.tmp"
      4⤵
      PID:2360
    - - C:\Users\Admin\AppData\Local\Temp\1577.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1577.tmp"
        5⤵
        
        PID:4896
      - C:\Users\Admin\AppData\Local\Temp\15C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15C5.tmp"
        6⤵
        
        PID:2396
        
        C:\Users\Admin\AppData\Local\Temp\1613.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1613.tmp"
        7⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\72F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72F9.tmp"
        7⤵
        
        PID:4648
        
        C:\Users\Admin\AppData\Local\Temp\7347.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7347.tmp"
        8⤵
        
        PID:1772
        
        C:\Users\Admin\AppData\Local\Temp\7395.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7395.tmp"
        9⤵
        
        PID:2608
        
        C:\Users\Admin\AppData\Local\Temp\73E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73E3.tmp"
        10⤵
        
        PID:3128
        
        C:\Users\Admin\AppData\Local\Temp\7431.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7431.tmp"
        11⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\747F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\747F.tmp"
        12⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\74CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\74CD.tmp"
        13⤵
        
        PID:904

C:\Users\Admin\AppData\Local\Temp\C498.tmp
"C:\Users\Admin\AppData\Local\Temp\C498.tmp"
1⤵
PID:1732
- C:\Users\Admin\AppData\Local\Temp\C4D6.tmp
  "C:\Users\Admin\AppData\Local\Temp\C4D6.tmp"
  2⤵
  PID:2436
- - C:\Users\Admin\AppData\Local\Temp\7E09.tmp
    "C:\Users\Admin\AppData\Local\Temp\7E09.tmp"
    3⤵
    PID:4196
- - C:\Users\Admin\AppData\Local\Temp\D78.tmp
    "C:\Users\Admin\AppData\Local\Temp\D78.tmp"
    3⤵
    PID:2704
  - - C:\Users\Admin\AppData\Local\Temp\DC6.tmp
      "C:\Users\Admin\AppData\Local\Temp\DC6.tmp"
      4⤵
      PID:632
    - - C:\Users\Admin\AppData\Local\Temp\E14.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E14.tmp"
        5⤵
        
        PID:392
      - C:\Users\Admin\AppData\Local\Temp\E63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E63.tmp"
        6⤵
        
        PID:676
        
        C:\Users\Admin\AppData\Local\Temp\EB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB1.tmp"
        7⤵
        
        PID:2960
        
        C:\Users\Admin\AppData\Local\Temp\EFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFF.tmp"
        8⤵
        
        PID:872
        
        C:\Users\Admin\AppData\Local\Temp\F4D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4D.tmp"
        9⤵
        
        PID:4604
        
        C:\Users\Admin\AppData\Local\Temp\F9B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9B.tmp"
        10⤵
        
        PID:3728
        
        C:\Users\Admin\AppData\Local\Temp\FE9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE9.tmp"
        11⤵
        
        PID:3208
      - C:\Users\Admin\AppData\Local\Temp\4282.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4282.tmp"
        6⤵
        
        PID:2132
        
        C:\Users\Admin\AppData\Local\Temp\42D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42D0.tmp"
        7⤵
        
        PID:3656
        
        C:\Users\Admin\AppData\Local\Temp\431F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\431F.tmp"
        8⤵
        
        PID:2124
- C:\Users\Admin\AppData\Local\Temp\5592.tmp
  "C:\Users\Admin\AppData\Local\Temp\5592.tmp"
  2⤵
  PID:1284
- C:\Users\Admin\AppData\Local\Temp\40C2.tmp
  "C:\Users\Admin\AppData\Local\Temp\40C2.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:4180

C:\Users\Admin\AppData\Local\Temp\CB7E.tmp
"C:\Users\Admin\AppData\Local\Temp\CB7E.tmp"
1⤵
PID:4908
- C:\Users\Admin\AppData\Local\Temp\CBCC.tmp
  "C:\Users\Admin\AppData\Local\Temp\CBCC.tmp"
  2⤵
  PID:1548
- - C:\Users\Admin\AppData\Local\Temp\CC1A.tmp
    "C:\Users\Admin\AppData\Local\Temp\CC1A.tmp"
    3⤵
    PID:1612
  - - C:\Users\Admin\AppData\Local\Temp\21EB.tmp
      "C:\Users\Admin\AppData\Local\Temp\21EB.tmp"
      4⤵
      PID:3980
    - - C:\Users\Admin\AppData\Local\Temp\2239.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2239.tmp"
        5⤵
        
        PID:1972
      - C:\Users\Admin\AppData\Local\Temp\2287.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2287.tmp"
        6⤵
        
        PID:1272
        
        C:\Users\Admin\AppData\Local\Temp\22D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\22D5.tmp"
        7⤵
        
        PID:3840
        
        C:\Users\Admin\AppData\Local\Temp\2323.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2323.tmp"
        8⤵
        
        PID:968
        
        C:\Users\Admin\AppData\Local\Temp\2371.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2371.tmp"
        9⤵
        
        PID:1924
- - C:\Users\Admin\AppData\Local\Temp\9693.tmp
    "C:\Users\Admin\AppData\Local\Temp\9693.tmp"
    3⤵
    PID:4856
  - - C:\Users\Admin\AppData\Local\Temp\830B.tmp
      "C:\Users\Admin\AppData\Local\Temp\830B.tmp"
      4⤵
      PID:460
    - - C:\Users\Admin\AppData\Local\Temp\7172.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7172.tmp"
        5⤵
        
        PID:4560
      - C:\Users\Admin\AppData\Local\Temp\71C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71C0.tmp"
        6⤵
        
        PID:2464
        
        C:\Users\Admin\AppData\Local\Temp\720E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\720E.tmp"
        7⤵
        
        PID:1488
        
        C:\Users\Admin\AppData\Local\Temp\725C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\725C.tmp"
        8⤵
        
        PID:4456
        
        C:\Users\Admin\AppData\Local\Temp\72AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72AA.tmp"
        9⤵
        
        PID:2396
  - - C:\Users\Admin\AppData\Local\Temp\3C9B.tmp
      "C:\Users\Admin\AppData\Local\Temp\3C9B.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:2700
- - C:\Users\Admin\AppData\Local\Temp\80A.tmp
    "C:\Users\Admin\AppData\Local\Temp\80A.tmp"
    3⤵
    PID:4560
  - - C:\Users\Admin\AppData\Local\Temp\858.tmp
      "C:\Users\Admin\AppData\Local\Temp\858.tmp"
      4⤵
      PID:5024
    - - C:\Users\Admin\AppData\Local\Temp\8A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A6.tmp"
        5⤵
        
        PID:2688
      - C:\Users\Admin\AppData\Local\Temp\8F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F4.tmp"
        6⤵
        
        PID:4572
        
        C:\Users\Admin\AppData\Local\Temp\942.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\942.tmp"
        7⤵
        
        PID:1924
        
        C:\Users\Admin\AppData\Local\Temp\990.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\990.tmp"
        8⤵
        
        PID:756
        
        C:\Users\Admin\AppData\Local\Temp\9DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DE.tmp"
        9⤵
        
        PID:552
        
        C:\Users\Admin\AppData\Local\Temp\A2C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A2C.tmp"
        10⤵
        
        PID:5112
        
        C:\Users\Admin\AppData\Local\Temp\A7B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A7B.tmp"
        11⤵
        
        PID:428
        
        C:\Users\Admin\AppData\Local\Temp\24AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24AA.tmp"
        12⤵
        
        PID:2236
        
        C:\Users\Admin\AppData\Local\Temp\24F8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24F8.tmp"
        13⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\2546.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2546.tmp"
        14⤵
        
        PID:4916
        
        C:\Users\Admin\AppData\Local\Temp\2594.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2594.tmp"
        15⤵
        
        PID:3704
        
        C:\Users\Admin\AppData\Local\Temp\25E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\25E2.tmp"
        16⤵
        
        PID:1252
        
        C:\Users\Admin\AppData\Local\Temp\23BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23BF.tmp"
        8⤵
        
        PID:1036
        
        C:\Users\Admin\AppData\Local\Temp\240D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\240D.tmp"
        9⤵
        
        PID:3740
        
        C:\Users\Admin\AppData\Local\Temp\245C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\245C.tmp"
        10⤵
        
        PID:428
      - C:\Users\Admin\AppData\Local\Temp\3C1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C1A.tmp"
        6⤵
        
        PID:4648
        
        C:\Users\Admin\AppData\Local\Temp\3C68.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C68.tmp"
        7⤵
        
        PID:1772
        
        C:\Users\Admin\AppData\Local\Temp\3CB6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CB6.tmp"
        8⤵
        
        PID:4964
        
        C:\Users\Admin\AppData\Local\Temp\3D04.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D04.tmp"
        9⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\4B0E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B0E.tmp"
        10⤵
        
        PID:2384
        
        C:\Users\Admin\AppData\Local\Temp\4B5C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B5C.tmp"
        11⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\4BAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BAA.tmp"
        12⤵
        
        PID:4904
        
        C:\Users\Admin\AppData\Local\Temp\4BF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BF8.tmp"
        13⤵
        
        PID:3508
        
        C:\Users\Admin\AppData\Local\Temp\4C46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C46.tmp"
        14⤵
        
        PID:2692
        
        C:\Users\Admin\AppData\Local\Temp\6627.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6627.tmp"
        11⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\6675.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6675.tmp"
        12⤵
        
        PID:532
        
        C:\Users\Admin\AppData\Local\Temp\66C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\66C4.tmp"
        13⤵
        
        PID:1220
        
        C:\Users\Admin\AppData\Local\Temp\6712.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6712.tmp"
        14⤵
        
        PID:2236
        
        C:\Users\Admin\AppData\Local\Temp\6760.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6760.tmp"
        15⤵
        
        PID:3224
        
        C:\Users\Admin\AppData\Local\Temp\67AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\67AE.tmp"
        16⤵
        
        PID:1048
        
        C:\Users\Admin\AppData\Local\Temp\67FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\67FC.tmp"
        17⤵
        
        PID:3316
        
        C:\Users\Admin\AppData\Local\Temp\4A72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A72.tmp"
        8⤵
        
        PID:4964
        
        C:\Users\Admin\AppData\Local\Temp\4AC0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4AC0.tmp"
        9⤵
        
        PID:2212
- C:\Users\Admin\AppData\Local\Temp\EE57.tmp
  "C:\Users\Admin\AppData\Local\Temp\EE57.tmp"
  2⤵
  PID:3596
- - C:\Users\Admin\AppData\Local\Temp\EEA6.tmp
    "C:\Users\Admin\AppData\Local\Temp\EEA6.tmp"
    3⤵
    PID:4844
  - - C:\Users\Admin\AppData\Local\Temp\EEF4.tmp
      "C:\Users\Admin\AppData\Local\Temp\EEF4.tmp"
      4⤵
      PID:4020
    - - C:\Users\Admin\AppData\Local\Temp\1921.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1921.tmp"
        5⤵
        
        PID:2508
      - C:\Users\Admin\AppData\Local\Temp\196F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\196F.tmp"
        6⤵
        
        PID:2984
        
        C:\Users\Admin\AppData\Local\Temp\19BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\19BD.tmp"
        7⤵
        
        PID:3832

C:\Users\Admin\AppData\Local\Temp\CC68.tmp
"C:\Users\Admin\AppData\Local\Temp\CC68.tmp"
1⤵
PID:1420
- C:\Users\Admin\AppData\Local\Temp\CCB6.tmp
  "C:\Users\Admin\AppData\Local\Temp\CCB6.tmp"
  2⤵
  PID:1336
- - C:\Users\Admin\AppData\Local\Temp\CD04.tmp
    "C:\Users\Admin\AppData\Local\Temp\CD04.tmp"
    3⤵
    PID:1920
  - - C:\Users\Admin\AppData\Local\Temp\CD52.tmp
      "C:\Users\Admin\AppData\Local\Temp\CD52.tmp"
      4⤵
      PID:1972
    - - C:\Users\Admin\AppData\Local\Temp\CDA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDA0.tmp"
        5⤵
        
        PID:2368
      - C:\Users\Admin\AppData\Local\Temp\CDEF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDEF.tmp"
        6⤵
        
        PID:3740
        
        C:\Users\Admin\AppData\Local\Temp\CE3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE3D.tmp"
        7⤵
        
        PID:392
        
        C:\Users\Admin\AppData\Local\Temp\CE8B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE8B.tmp"
        8⤵
        
        PID:1484
        
        C:\Users\Admin\AppData\Local\Temp\CED9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CED9.tmp"
        9⤵
        
        PID:2564
        
        C:\Users\Admin\AppData\Local\Temp\FE55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE55.tmp"
        10⤵
        
        PID:4184
        
        C:\Users\Admin\AppData\Local\Temp\FEA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEA3.tmp"
        11⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\3FB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3FB8.tmp"
        12⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4964
      - C:\Users\Admin\AppData\Local\Temp\2FA6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2FA6.tmp"
        6⤵
        
        PID:4472
        
        C:\Users\Admin\AppData\Local\Temp\2FF4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2FF4.tmp"
        7⤵
        
        PID:4284
        
        C:\Users\Admin\AppData\Local\Temp\3042.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3042.tmp"
        8⤵
        
        PID:5100
        
        C:\Users\Admin\AppData\Local\Temp\5668.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5668.tmp"
        7⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\56B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56B6.tmp"
        8⤵
        
        PID:2608
        
        C:\Users\Admin\AppData\Local\Temp\5704.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5704.tmp"
        9⤵
        
        PID:1696
        
        C:\Users\Admin\AppData\Local\Temp\5752.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5752.tmp"
        10⤵
        
        PID:3204
- C:\Users\Admin\AppData\Local\Temp\8CEE.tmp
  "C:\Users\Admin\AppData\Local\Temp\8CEE.tmp"
  2⤵
  PID:1336

C:\Users\Admin\AppData\Local\Temp\CF27.tmp
"C:\Users\Admin\AppData\Local\Temp\CF27.tmp"
1⤵
PID:3028
- C:\Users\Admin\AppData\Local\Temp\CF75.tmp
  "C:\Users\Admin\AppData\Local\Temp\CF75.tmp"
  2⤵
  PID:532
- - C:\Users\Admin\AppData\Local\Temp\CFC3.tmp
    "C:\Users\Admin\AppData\Local\Temp\CFC3.tmp"
    3⤵
    PID:4300
  - - C:\Users\Admin\AppData\Local\Temp\D011.tmp
      "C:\Users\Admin\AppData\Local\Temp\D011.tmp"
      4⤵
      PID:4320
    - - C:\Users\Admin\AppData\Local\Temp\D060.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D060.tmp"
        5⤵
        
        PID:1284
- - C:\Users\Admin\AppData\Local\Temp\AF99.tmp
    "C:\Users\Admin\AppData\Local\Temp\AF99.tmp"
    3⤵
    PID:2128

C:\Users\Admin\AppData\Local\Temp\D5CE.tmp
"C:\Users\Admin\AppData\Local\Temp\D5CE.tmp"
1⤵
PID:2244
- C:\Users\Admin\AppData\Local\Temp\D61C.tmp
  "C:\Users\Admin\AppData\Local\Temp\D61C.tmp"
  2⤵
  PID:1444
- - C:\Users\Admin\AppData\Local\Temp\D66A.tmp
    "C:\Users\Admin\AppData\Local\Temp\D66A.tmp"
    3⤵
    PID:4424
- - C:\Users\Admin\AppData\Local\Temp\417D.tmp
    "C:\Users\Admin\AppData\Local\Temp\417D.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:4320
- C:\Users\Admin\AppData\Local\Temp\8220.tmp
  "C:\Users\Admin\AppData\Local\Temp\8220.tmp"
  2⤵
  PID:3496
- - C:\Users\Admin\AppData\Local\Temp\20B2.tmp
    "C:\Users\Admin\AppData\Local\Temp\20B2.tmp"
    3⤵
    PID:4848
  - - C:\Users\Admin\AppData\Local\Temp\2100.tmp
      "C:\Users\Admin\AppData\Local\Temp\2100.tmp"
      4⤵
      PID:3564
    - - C:\Users\Admin\AppData\Local\Temp\214E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\214E.tmp"
        5⤵
        
        PID:3964
      - C:\Users\Admin\AppData\Local\Temp\219C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\219C.tmp"
        6⤵
        
        PID:1612

C:\Users\Admin\AppData\Local\Temp\D745.tmp
"C:\Users\Admin\AppData\Local\Temp\D745.tmp"
1⤵
PID:4708
- C:\Users\Admin\AppData\Local\Temp\D784.tmp
  "C:\Users\Admin\AppData\Local\Temp\D784.tmp"
  2⤵
  PID:460
- - C:\Users\Admin\AppData\Local\Temp\D7D2.tmp
    "C:\Users\Admin\AppData\Local\Temp\D7D2.tmp"
    3⤵
    PID:3732
- C:\Users\Admin\AppData\Local\Temp\FB48.tmp
  "C:\Users\Admin\AppData\Local\Temp\FB48.tmp"
  2⤵
  PID:5024
- - C:\Users\Admin\AppData\Local\Temp\FB96.tmp
    "C:\Users\Admin\AppData\Local\Temp\FB96.tmp"
    3⤵
    PID:4668
  - - C:\Users\Admin\AppData\Local\Temp\FBE4.tmp
      "C:\Users\Admin\AppData\Local\Temp\FBE4.tmp"
      4⤵
      PID:460
    - - C:\Users\Admin\AppData\Local\Temp\FC32.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC32.tmp"
        5⤵
        
        PID:672
      - C:\Users\Admin\AppData\Local\Temp\FC80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC80.tmp"
        6⤵
        
        PID:4648
        
        C:\Users\Admin\AppData\Local\Temp\FCCF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FCCF.tmp"
        7⤵
        
        PID:1036

C:\Users\Admin\AppData\Local\Temp\DF25.tmp
"C:\Users\Admin\AppData\Local\Temp\DF25.tmp"
1⤵
PID:5072
- C:\Users\Admin\AppData\Local\Temp\DF73.tmp
  "C:\Users\Admin\AppData\Local\Temp\DF73.tmp"
  2⤵
  PID:1492
- - C:\Users\Admin\AppData\Local\Temp\DFC1.tmp
    "C:\Users\Admin\AppData\Local\Temp\DFC1.tmp"
    3⤵
    PID:2256
  - - C:\Users\Admin\AppData\Local\Temp\E00F.tmp
      "C:\Users\Admin\AppData\Local\Temp\E00F.tmp"
      4⤵
      PID:4512
    - - C:\Users\Admin\AppData\Local\Temp\E05D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E05D.tmp"
        5⤵
        
        PID:4840
- - C:\Users\Admin\AppData\Local\Temp\45DE.tmp
    "C:\Users\Admin\AppData\Local\Temp\45DE.tmp"
    3⤵
    PID:4464
  - - C:\Users\Admin\AppData\Local\Temp\462C.tmp
      "C:\Users\Admin\AppData\Local\Temp\462C.tmp"
      4⤵
      PID:944
    - - C:\Users\Admin\AppData\Local\Temp\467A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\467A.tmp"
        5⤵
        
        PID:828
      - C:\Users\Admin\AppData\Local\Temp\46C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46C8.tmp"
        6⤵
        
        PID:212
      - C:\Users\Admin\AppData\Local\Temp\6F9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F9D.tmp"
        6⤵
        
        PID:2404
        
        C:\Users\Admin\AppData\Local\Temp\6FEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6FEB.tmp"
        7⤵
        
        PID:3652
        
        C:\Users\Admin\AppData\Local\Temp\7039.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7039.tmp"
        8⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\7088.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7088.tmp"
        9⤵
        
        PID:4844
        
        C:\Users\Admin\AppData\Local\Temp\70D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\70D6.tmp"
        10⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\7124.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7124.tmp"
        11⤵
        
        PID:460
- C:\Users\Admin\AppData\Local\Temp\A7B9.tmp
  "C:\Users\Admin\AppData\Local\Temp\A7B9.tmp"
  2⤵
  PID:4180

C:\Users\Admin\AppData\Local\Temp\E88B.tmp
"C:\Users\Admin\AppData\Local\Temp\E88B.tmp"
1⤵
PID:4400
- C:\Users\Admin\AppData\Local\Temp\E8D9.tmp
  "C:\Users\Admin\AppData\Local\Temp\E8D9.tmp"
  2⤵
  PID:3764
- - C:\Users\Admin\AppData\Local\Temp\E927.tmp
    "C:\Users\Admin\AppData\Local\Temp\E927.tmp"
    3⤵
    PID:3100
- - C:\Users\Admin\AppData\Local\Temp\54A8.tmp
    "C:\Users\Admin\AppData\Local\Temp\54A8.tmp"
    3⤵
    PID:1436

C:\Users\Admin\AppData\Local\Temp\F8D7.tmp
"C:\Users\Admin\AppData\Local\Temp\F8D7.tmp"
1⤵
PID:2876
- C:\Users\Admin\AppData\Local\Temp\F925.tmp
  "C:\Users\Admin\AppData\Local\Temp\F925.tmp"
  2⤵
  PID:4124
- - C:\Users\Admin\AppData\Local\Temp\F973.tmp
    "C:\Users\Admin\AppData\Local\Temp\F973.tmp"
    3⤵
    PID:3496
  - - C:\Users\Admin\AppData\Local\Temp\F9C1.tmp
      "C:\Users\Admin\AppData\Local\Temp\F9C1.tmp"
      4⤵
      PID:916
    - - C:\Users\Admin\AppData\Local\Temp\FA0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA0F.tmp"
        5⤵
        
        PID:1488
      - C:\Users\Admin\AppData\Local\Temp\FA5E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA5E.tmp"
        6⤵
        
        PID:3436
        
        C:\Users\Admin\AppData\Local\Temp\5B4A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B4A.tmp"
        7⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\5B89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B89.tmp"
        8⤵
        
        PID:4240
        
        C:\Users\Admin\AppData\Local\Temp\5BD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5BD7.tmp"
        9⤵
        
        PID:2984
        
        C:\Users\Admin\AppData\Local\Temp\5C25.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C25.tmp"
        10⤵
        
        PID:3832
        
        C:\Users\Admin\AppData\Local\Temp\5C73.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C73.tmp"
        11⤵
        
        PID:1448

C:\Users\Admin\AppData\Local\Temp\FD1D.tmp
"C:\Users\Admin\AppData\Local\Temp\FD1D.tmp"
1⤵
PID:5112
- C:\Users\Admin\AppData\Local\Temp\FD6B.tmp
  "C:\Users\Admin\AppData\Local\Temp\FD6B.tmp"
  2⤵
  PID:428
- - C:\Users\Admin\AppData\Local\Temp\FDB9.tmp
    "C:\Users\Admin\AppData\Local\Temp\FDB9.tmp"
    3⤵
    PID:2692
  - - C:\Users\Admin\AppData\Local\Temp\FE07.tmp
      "C:\Users\Admin\AppData\Local\Temp\FE07.tmp"
      4⤵
      PID:2564
    - - C:\Users\Admin\AppData\Local\Temp\B55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B55.tmp"
        5⤵
        
        PID:3924
      - C:\Users\Admin\AppData\Local\Temp\BA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA3.tmp"
        6⤵
        
        PID:4832
        
        C:\Users\Admin\AppData\Local\Temp\BF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF2.tmp"
        7⤵
        
        PID:2508
        
        C:\Users\Admin\AppData\Local\Temp\3302.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3302.tmp"
        7⤵
        
        PID:2260
        
        C:\Users\Admin\AppData\Local\Temp\3350.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3350.tmp"
        8⤵
        
        PID:3568
        
        C:\Users\Admin\AppData\Local\Temp\339E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\339E.tmp"
        9⤵
        
        PID:4240
        
        C:\Users\Admin\AppData\Local\Temp\33EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\33EC.tmp"
        10⤵
        
        PID:4780
        
        C:\Users\Admin\AppData\Local\Temp\343A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\343A.tmp"
        11⤵
        
        PID:1084
        
        C:\Users\Admin\AppData\Local\Temp\3488.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3488.tmp"
        12⤵
        
        PID:1564
        
        C:\Users\Admin\AppData\Local\Temp\34D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\34D6.tmp"
        13⤵
        
        PID:2704
        
        C:\Users\Admin\AppData\Local\Temp\3524.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3524.tmp"
        14⤵
        
        PID:3096
        
        C:\Users\Admin\AppData\Local\Temp\3573.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3573.tmp"
        15⤵
        
        PID:4460
        
        C:\Users\Admin\AppData\Local\Temp\35C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\35C1.tmp"
        16⤵
        
        PID:3672
        
        C:\Users\Admin\AppData\Local\Temp\360F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\360F.tmp"
        17⤵
        
        PID:856
        
        C:\Users\Admin\AppData\Local\Temp\6C42.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C42.tmp"
        17⤵
        
        PID:3656
        
        C:\Users\Admin\AppData\Local\Temp\6C90.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C90.tmp"
        18⤵
        
        PID:1060
        
        C:\Users\Admin\AppData\Local\Temp\6CDE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CDE.tmp"
        19⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\6D2C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D2C.tmp"
        20⤵
        
        PID:852
  - - C:\Users\Admin\AppData\Local\Temp\45E2.tmp
      "C:\Users\Admin\AppData\Local\Temp\45E2.tmp"
      4⤵
      PID:4424
- - C:\Users\Admin\AppData\Local\Temp\AC9.tmp
    "C:\Users\Admin\AppData\Local\Temp\AC9.tmp"
    3⤵
    PID:2692
  - - C:\Users\Admin\AppData\Local\Temp\B07.tmp
      "C:\Users\Admin\AppData\Local\Temp\B07.tmp"
      4⤵
      PID:2564
    - - C:\Users\Admin\AppData\Local\Temp\3265.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3265.tmp"
        5⤵
        
        PID:4444
      - C:\Users\Admin\AppData\Local\Temp\32B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\32B3.tmp"
        6⤵
        
        PID:4832
        
        C:\Users\Admin\AppData\Local\Temp\5975.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5975.tmp"
        7⤵
        
        PID:2208
        
        C:\Users\Admin\AppData\Local\Temp\59C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59C3.tmp"
        8⤵
        
        PID:2508
        
        C:\Users\Admin\AppData\Local\Temp\5A12.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A12.tmp"
        9⤵
        
        PID:1516
  - - C:\Users\Admin\AppData\Local\Temp\4C94.tmp
      "C:\Users\Admin\AppData\Local\Temp\4C94.tmp"
      4⤵
      PID:1912
    - - C:\Users\Admin\AppData\Local\Temp\4CE3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4CE3.tmp"
        5⤵
        
        PID:4880

C:\Users\Admin\AppData\Local\Temp\46DC.tmp
"C:\Users\Admin\AppData\Local\Temp\46DC.tmp"
1⤵
- Executes dropped EXE
PID:4324

C:\Users\Admin\AppData\Local\Temp\468E.tmp
"C:\Users\Admin\AppData\Local\Temp\468E.tmp"
1⤵
- Executes dropped EXE
PID:1876

C:\Users\Admin\AppData\Local\Temp\4371.tmp
"C:\Users\Admin\AppData\Local\Temp\4371.tmp"
1⤵
PID:2660

C:\Users\Admin\AppData\Local\Temp\4323.tmp
"C:\Users\Admin\AppData\Local\Temp\4323.tmp"
1⤵
- Executes dropped EXE
PID:1104

C:\Users\Admin\AppData\Local\Temp\4229.tmp
"C:\Users\Admin\AppData\Local\Temp\4229.tmp"
1⤵
PID:2420

C:\Users\Admin\AppData\Local\Temp\3F6A.tmp
"C:\Users\Admin\AppData\Local\Temp\3F6A.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2088

C:\Users\Admin\AppData\Local\Temp\3F1C.tmp
"C:\Users\Admin\AppData\Local\Temp\3F1C.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1796

C:\Users\Admin\AppData\Local\Temp\3EBE.tmp
"C:\Users\Admin\AppData\Local\Temp\3EBE.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1680

C:\Users\Admin\AppData\Local\Temp\3E70.tmp
"C:\Users\Admin\AppData\Local\Temp\3E70.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4100

C:\Users\Admin\AppData\Local\Temp\C6.tmp
"C:\Users\Admin\AppData\Local\Temp\C6.tmp"
1⤵
PID:3612
- C:\Users\Admin\AppData\Local\Temp\114.tmp
  "C:\Users\Admin\AppData\Local\Temp\114.tmp"
  2⤵
  PID:2388
- - C:\Users\Admin\AppData\Local\Temp\162.tmp
    "C:\Users\Admin\AppData\Local\Temp\162.tmp"
    3⤵
    PID:856
  - - C:\Users\Admin\AppData\Local\Temp\365D.tmp
      "C:\Users\Admin\AppData\Local\Temp\365D.tmp"
      4⤵
      PID:1936
    - - C:\Users\Admin\AppData\Local\Temp\36AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36AB.tmp"
        5⤵
        
        PID:4628
      - C:\Users\Admin\AppData\Local\Temp\36F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36F9.tmp"
        6⤵
        
        PID:2808
        
        C:\Users\Admin\AppData\Local\Temp\3757.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3757.tmp"
        7⤵
        
        PID:3456
        
        C:\Users\Admin\AppData\Local\Temp\37A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37A5.tmp"
        8⤵
        
        PID:4928
        
        C:\Users\Admin\AppData\Local\Temp\37F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37F3.tmp"
        9⤵
        
        PID:1044
        
        C:\Users\Admin\AppData\Local\Temp\3841.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3841.tmp"
        10⤵
        
        PID:3520
        
        C:\Users\Admin\AppData\Local\Temp\3880.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3880.tmp"
        11⤵
        
        PID:4484

C:\Users\Admin\AppData\Local\Temp\13F0.tmp
"C:\Users\Admin\AppData\Local\Temp\13F0.tmp"
1⤵
PID:1488
- C:\Users\Admin\AppData\Local\Temp\143F.tmp
  "C:\Users\Admin\AppData\Local\Temp\143F.tmp"
  2⤵
  PID:4420

C:\Users\Admin\AppData\Local\Temp\1B43.tmp
"C:\Users\Admin\AppData\Local\Temp\1B43.tmp"
1⤵
PID:3672
- C:\Users\Admin\AppData\Local\Temp\1B92.tmp
  "C:\Users\Admin\AppData\Local\Temp\1B92.tmp"
  2⤵
  PID:3424
- - C:\Users\Admin\AppData\Local\Temp\1BE0.tmp
    "C:\Users\Admin\AppData\Local\Temp\1BE0.tmp"
    3⤵
    PID:2020

C:\Users\Admin\AppData\Local\Temp\2630.tmp
"C:\Users\Admin\AppData\Local\Temp\2630.tmp"
1⤵
PID:4780
- C:\Users\Admin\AppData\Local\Temp\266F.tmp
  "C:\Users\Admin\AppData\Local\Temp\266F.tmp"
  2⤵
  PID:4932

C:\Users\Admin\AppData\Local\Temp\27E6.tmp
"C:\Users\Admin\AppData\Local\Temp\27E6.tmp"
1⤵
PID:3612
- C:\Users\Admin\AppData\Local\Temp\2834.tmp
  "C:\Users\Admin\AppData\Local\Temp\2834.tmp"
  2⤵
  PID:2128
- - C:\Users\Admin\AppData\Local\Temp\2882.tmp
    "C:\Users\Admin\AppData\Local\Temp\2882.tmp"
    3⤵
    PID:1700
  - - C:\Users\Admin\AppData\Local\Temp\28D0.tmp
      "C:\Users\Admin\AppData\Local\Temp\28D0.tmp"
      4⤵
      PID:1356
    - - C:\Users\Admin\AppData\Local\Temp\291E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\291E.tmp"
        5⤵
        
        PID:3724
      - C:\Users\Admin\AppData\Local\Temp\296C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\296C.tmp"
        6⤵
        
        PID:3728
        
        C:\Users\Admin\AppData\Local\Temp\29BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\29BB.tmp"
        7⤵
        
        PID:3848

C:\Users\Admin\AppData\Local\Temp\3091.tmp
"C:\Users\Admin\AppData\Local\Temp\3091.tmp"
1⤵
PID:1924
- C:\Users\Admin\AppData\Local\Temp\30DF.tmp
  "C:\Users\Admin\AppData\Local\Temp\30DF.tmp"
  2⤵
  PID:5064
- - C:\Users\Admin\AppData\Local\Temp\312D.tmp
    "C:\Users\Admin\AppData\Local\Temp\312D.tmp"
    3⤵
    PID:3708
  - - C:\Users\Admin\AppData\Local\Temp\317B.tmp
      "C:\Users\Admin\AppData\Local\Temp\317B.tmp"
      4⤵
      PID:428
    - - C:\Users\Admin\AppData\Local\Temp\31C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\31C9.tmp"
        5⤵
        
        PID:8
      - C:\Users\Admin\AppData\Local\Temp\3217.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3217.tmp"
        6⤵
        
        PID:2564

C:\Users\Admin\AppData\Local\Temp\3D52.tmp
"C:\Users\Admin\AppData\Local\Temp\3D52.tmp"
1⤵
PID:756
- C:\Users\Admin\AppData\Local\Temp\3DA0.tmp
  "C:\Users\Admin\AppData\Local\Temp\3DA0.tmp"
  2⤵
  PID:3740
- - C:\Users\Admin\AppData\Local\Temp\3DEE.tmp
    "C:\Users\Admin\AppData\Local\Temp\3DEE.tmp"
    3⤵
    PID:5064
  - - C:\Users\Admin\AppData\Local\Temp\3E3D.tmp
      "C:\Users\Admin\AppData\Local\Temp\3E3D.tmp"
      4⤵
      PID:3708
    - - C:\Users\Admin\AppData\Local\Temp\3E9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E9A.tmp"
        5⤵
        
        PID:4428

C:\Users\Admin\AppData\Local\Temp\436D.tmp
"C:\Users\Admin\AppData\Local\Temp\436D.tmp"
1⤵
PID:2088
- C:\Users\Admin\AppData\Local\Temp\43BB.tmp
  "C:\Users\Admin\AppData\Local\Temp\43BB.tmp"
  2⤵
  PID:2960
- - C:\Users\Admin\AppData\Local\Temp\4409.tmp
    "C:\Users\Admin\AppData\Local\Temp\4409.tmp"
    3⤵
    PID:3660

C:\Users\Admin\AppData\Local\Temp\5186.tmp
"C:\Users\Admin\AppData\Local\Temp\5186.tmp"
1⤵
PID:2884
- C:\Users\Admin\AppData\Local\Temp\51D4.tmp
  "C:\Users\Admin\AppData\Local\Temp\51D4.tmp"
  2⤵
  PID:2960
- - C:\Users\Admin\AppData\Local\Temp\5222.tmp
    "C:\Users\Admin\AppData\Local\Temp\5222.tmp"
    3⤵
    PID:2808
  - - C:\Users\Admin\AppData\Local\Temp\5270.tmp
      "C:\Users\Admin\AppData\Local\Temp\5270.tmp"
      4⤵
      PID:2256
    - - C:\Users\Admin\AppData\Local\Temp\52BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52BF.tmp"
        5⤵
        
        PID:4936
      - C:\Users\Admin\AppData\Local\Temp\530D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\530D.tmp"
        6⤵
        
        PID:1860
  - - C:\Users\Admin\AppData\Local\Temp\5F80.tmp
      "C:\Users\Admin\AppData\Local\Temp\5F80.tmp"
      4⤵
      PID:2256
    - - C:\Users\Admin\AppData\Local\Temp\5FCE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FCE.tmp"
        5⤵
        
        PID:4936
      - C:\Users\Admin\AppData\Local\Temp\601C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\601C.tmp"
        6⤵
        
        PID:1860
        
        C:\Users\Admin\AppData\Local\Temp\606B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\606B.tmp"
        7⤵
        
        PID:4280
        
        C:\Users\Admin\AppData\Local\Temp\60B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\60B9.tmp"
        8⤵
        
        PID:4616
        
        C:\Users\Admin\AppData\Local\Temp\6107.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6107.tmp"
        9⤵
        
        PID:1900

C:\Users\Admin\AppData\Local\Temp\5A60.tmp
"C:\Users\Admin\AppData\Local\Temp\5A60.tmp"
1⤵
PID:3108
- C:\Users\Admin\AppData\Local\Temp\5AAE.tmp
  "C:\Users\Admin\AppData\Local\Temp\5AAE.tmp"
  2⤵
  PID:1864
- - C:\Users\Admin\AppData\Local\Temp\5AFC.tmp
    "C:\Users\Admin\AppData\Local\Temp\5AFC.tmp"
    3⤵
    PID:3436

C:\Users\Admin\AppData\Local\Temp\62CC.tmp
"C:\Users\Admin\AppData\Local\Temp\62CC.tmp"
1⤵
PID:4668
- C:\Users\Admin\AppData\Local\Temp\631A.tmp
  "C:\Users\Admin\AppData\Local\Temp\631A.tmp"
  2⤵
  PID:1612
- - C:\Users\Admin\AppData\Local\Temp\6368.tmp
    "C:\Users\Admin\AppData\Local\Temp\6368.tmp"
    3⤵
    PID:5080
  - - C:\Users\Admin\AppData\Local\Temp\63B6.tmp
      "C:\Users\Admin\AppData\Local\Temp\63B6.tmp"
      4⤵
      PID:2360
    - - C:\Users\Admin\AppData\Local\Temp\6404.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6404.tmp"
        5⤵
        
        PID:3500

C:\Users\Admin\AppData\Local\Temp\6453.tmp
"C:\Users\Admin\AppData\Local\Temp\6453.tmp"
1⤵
PID:4284
- C:\Users\Admin\AppData\Local\Temp\64A1.tmp
  "C:\Users\Admin\AppData\Local\Temp\64A1.tmp"
  2⤵
  PID:1616
- - C:\Users\Admin\AppData\Local\Temp\64EF.tmp
    "C:\Users\Admin\AppData\Local\Temp\64EF.tmp"
    3⤵
    - Executes dropped EXE
    PID:3752
  - - C:\Users\Admin\AppData\Local\Temp\653D.tmp
      "C:\Users\Admin\AppData\Local\Temp\653D.tmp"
      4⤵
      PID:5112
    - - C:\Users\Admin\AppData\Local\Temp\658B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\658B.tmp"
        5⤵
        
        PID:744
      - C:\Users\Admin\AppData\Local\Temp\65D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\65D9.tmp"
        6⤵
        
        PID:2384

C:\Users\Admin\AppData\Local\Temp\684A.tmp
"C:\Users\Admin\AppData\Local\Temp\684A.tmp"
1⤵
PID:2244
- C:\Users\Admin\AppData\Local\Temp\6898.tmp
  "C:\Users\Admin\AppData\Local\Temp\6898.tmp"
  2⤵
  PID:5072
- - C:\Users\Admin\AppData\Local\Temp\68E6.tmp
    "C:\Users\Admin\AppData\Local\Temp\68E6.tmp"
    3⤵
    PID:4512
  - - C:\Users\Admin\AppData\Local\Temp\6935.tmp
      "C:\Users\Admin\AppData\Local\Temp\6935.tmp"
      4⤵
      PID:3264

C:\Users\Admin\AppData\Local\Temp\6983.tmp
"C:\Users\Admin\AppData\Local\Temp\6983.tmp"
1⤵
PID:1360
- C:\Users\Admin\AppData\Local\Temp\69D1.tmp
  "C:\Users\Admin\AppData\Local\Temp\69D1.tmp"
  2⤵
  PID:4848
- - C:\Users\Admin\AppData\Local\Temp\6A1F.tmp
    "C:\Users\Admin\AppData\Local\Temp\6A1F.tmp"
    3⤵
    PID:4300
  - - C:\Users\Admin\AppData\Local\Temp\6A6D.tmp
      "C:\Users\Admin\AppData\Local\Temp\6A6D.tmp"
      4⤵
      PID:2436

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\3C3E.tmp

Filesize
527KB

MD5
dd8aaaed2bdf59312f422e341392d3e4

SHA1
bb38a8e29c943704fb334e0a174bf02752ef371d

SHA256
e0fbb8e3efbdb236e10cb8e8928a353d52716c770d5dd012d9c523e00afcff29

SHA512
6279195d352b844da805e4889fb773288fcfe82dee92f1a4c28f261a48d7cc5af0c759793c4f2c66b8bd62812fe3e28e1fa763e174b51ce5779f6cd22babb7ed

Download Submit
C:\Users\Admin\AppData\Local\Temp\3C9B.tmp

Filesize
527KB

MD5
f7707e529b599fa382eaa19f40cb8aec

SHA1
43bddd213ade349d94881ca35507d63d555c835a

SHA256
04b78e662b2bd035549a4165a99173526757323ffdd3e6573a21a818d07ea129

SHA512
b63000901f44403c1e27eaf78099624e5def8e629a70b078c33ea1336e63a6f76a7704997d465db3b9e004ee9af2b2617aca8873fbdd1eaf796feb19e986cb31

Download Submit
C:\Users\Admin\AppData\Local\Temp\3CEA.tmp

Filesize
527KB

MD5
d20d262ed767805259d6077137c0b2cc

SHA1
2aef1d36f150f858dd3972bf436a397cbbd49cc5

SHA256
cbc10c66cdf0affd34e4600fd7a9a622116bebe3b2277dd10c82a215ae84f8a1

SHA512
6e15d02e21b9a43250127972189c4fb52f52426557ff300b0f1fe77ed88a51ec09666dbd6eee54592b29ce05f5d8ace5432a4041c4ffa5162212abe9d43b5e6f

Download Submit
C:\Users\Admin\AppData\Local\Temp\3D38.tmp

Filesize
527KB

MD5
2ab547fbe573f915f7abc1a94626e88f

SHA1
7f9f5a371df8717eaf501b65c331357cea563ba9

SHA256
49b787cd6a13e4425b0327f4d8f2838961198092503770eecc8dc79d0b551574

SHA512
d3c7a50436e55b2c7437a3dd09a79b139c863ae903872e29ef66180835feecc242bd9e8ea33eff0a4365762b8b19489873f5792e49f617180577d8197387b305

Download Submit
C:\Users\Admin\AppData\Local\Temp\3E70.tmp

Filesize
527KB

MD5
4fcf2db70970dd5a1916fd6d3f7879f2

SHA1
92df7f0fd7f702fa2358a4f31dc6dcaff1407a31

SHA256
bfeb31e221174c5be33dfd9a66ad8bf0613ac0536640ecee084ac104ab386483

SHA512
7bf3b76c29cb89633efaf7aa0bbd6c65ca0b8577ffa64fab53e77369e6be57b9a84b6d98dad058fd0ec14dd6061a28538c5a633cbd0f044347326eb64811e4be

Download Submit
C:\Users\Admin\AppData\Local\Temp\3F1C.tmp

Filesize
527KB

MD5
5266eff376c1801badc7147035e491b5

SHA1
0067c45bc17b92e6df3d35d2f32a41dcfe8275f5

SHA256
cd7a0e702cda71b8026e895121ce018106f0520ed32fa6bef544a8455c6506df

SHA512
408f6bb5cd51df900a0ad5dd593c72a920333114afb547bc2c6159301677b30dc20a6088a622a6c29d2600f6acff0ed40646a59ddd1d338e9f9ae3e629cf3eec

Download Submit
C:\Users\Admin\AppData\Local\Temp\3FB8.tmp

Filesize
527KB

MD5
ba090c6126a7cd352a0919605265fdf0

SHA1
bfd6acb1b1cef474e01d943f4771ea4399ee6664

SHA256
0505bf5d9670b1fddbd3953c794c19e274e047a9f37c267c37783383eb045f2a

SHA512
c0a870e81299336107d350c30c93103383e4e7ed3f5a72808f64b0cee26f61e3d977f4c8fcc395e34a9f938a04420e1f9e00ad73a17e9edf8fa24cdfb445f49f

Download Submit
C:\Users\Admin\AppData\Local\Temp\4064.tmp

Filesize
527KB

MD5
0cf1d77fa4e6df0aee2bbee6656ab5a2

SHA1
222fc85c3b1338d06cf2972ae4839c93a87d3c5a

SHA256
bac335bf9b1d208ea6704e1a6ba1d8ea8d6cc6a1bad3d2c68e56bc1a125e67f1

SHA512
66f1bebc00df6a0267dfd032eb2385750810660187b54fdfe223902740e8ac64dbf14cf770b02d1116c9a48b9b2b7501fdce08b4d5d437d7d108483c3c84c3f4

Download Submit
C:\Users\Admin\AppData\Local\Temp\40C2.tmp

Filesize
527KB

MD5
feae93dcfa9a810983845d32d1092416

SHA1
e421e4eac236257f4531ccf67d199be2fab8c274

SHA256
f7b5d7255a887f66298fd5806933a7c926a6be2ec7697c987480064efb57863d

SHA512
e6b238f97adb8c1fe9d8b225dfc2bcb37987c28fb6da1218379df48b406e4bd08bc96240bd0dad9e53ad95c56dc67ec587ee010e477874c2c7f0959a5d5fb310

Download Submit
C:\Users\Admin\AppData\Local\Temp\417D.tmp

Filesize
527KB

MD5
f2716006bf4e7bf56419f21296873295

SHA1
7a6215d499edbed4d0aeee4a62746a6cb535ce31

SHA256
32764f898e54b1c857bf207cd01ecb848d010bbc8c6697e1f44d44f9616f80aa

SHA512
b3a5474176faafb6bbcd0da0307c316fb249002107711b73ecf6f0055303d4549f390daa4eb611364d55fba4665cf744fde2e87a25474805be9e5bf25b7bb991

Download Submit
C:\Users\Admin\AppData\Local\Temp\4229.tmp

Filesize
527KB

MD5
1de5d811795d7ca7240c37f460575465

SHA1
41015fee420ca89086a46f10681f07fd1dd2b674

SHA256
ce932db13e72883d067527736fb1cb611bb9f52cdf950c750272c66dee5d9275

SHA512
6b1fbedfd6f44ceecb1415fd45180cd547b5ca60d6943b272ad71527fc5e58a91286f6034f47a60b41a533dcc4d1b66b494f6ceafa5359d944cbf00d8f807011

Download Submit
C:\Users\Admin\AppData\Local\Temp\4287.tmp

Filesize
527KB

MD5
9d47f5153e58a84e7ae51f5bacaaee29

SHA1
3c543eaf00407a4851a0a8248153788f90789286

SHA256
4454e5ad4bb1023eb3410b7e8155a66b55c95d6e40401a636c377ff89cd6a967

SHA512
d3ae3deb78c684dfccc1e2670ecfb95db57e07158b640cff946869859043d2b6cc2724e517611ea8f34717786c6a71a7fdd8a821670741d5e68458b0563c9aaa

Download Submit
C:\Users\Admin\AppData\Local\Temp\42D5.tmp

Filesize
527KB

MD5
950e6fd5ea2434b2404025a19f85526e

SHA1
09a7a9891148507e0a380d97b6db8132ed2eeb72

SHA256
7cf74735c1a464c39770c2c243759bdb30d6300c0013b3b3792b546233ba5deb

SHA512
b32b194633d16cda52c2e54faddb1ca66d32255d6813ab78c95bdc4d50db1bb1c769c6c02ec57c50953482466b630dd2445b248b17f0896704e66dbff9c20baf

Download Submit
C:\Users\Admin\AppData\Local\Temp\4371.tmp

Filesize
527KB

MD5
d6644c07b3e747387f983793f035d284

SHA1
16c35f35bc18ad15760cea0e4e8db9026a07c42a

SHA256
8d24ee23538b2a5572b7adb339d327b7e5ffe3056908a06add844a3a1b6e2dad

SHA512
0dd1368a0e2c564ba31bb7a1b0f936e5e5c917f98144c07abc1e0060b05ed4c73c3a78c9c5a2134543e896ac2d990a54d64769cbf3a1b4388c3dafde241b3c5e

Download Submit
C:\Users\Admin\AppData\Local\Temp\443D.tmp

Filesize
527KB

MD5
c0217181a2a7e3be855bc180becd4ab8

SHA1
a63111d31d52fcad312ce47d91648d23332af690

SHA256
8169e4802b767041be17398a338b9092d1705f03b167a0fcf27ffe4594255cab

SHA512
4e06c6a5681879a19bb5c415eb09daa5d1317002cc6c1f2e759c544305eeab1a8041c0d28721d84c4915b763d5282fa875f0fea5f02770125659b97a81ba6c75

Download Submit
C:\Users\Admin\AppData\Local\Temp\448B.tmp

Filesize
527KB

MD5
258e8075653aead8569dc6853384d69b

SHA1
95558f91864f684d1c42a5e040481990377ab269

SHA256
080ce995565664e679bb140ef19ca247b35b40a87243c9e256ebee2eeb5139d3

SHA512
1fb1d2803a5848b123d8f42c9bbff43034e7bd9e0d29311d6bcc6a1e0d3486d58b8730a0990e73509afcb67ff740bc13251b02d4362a1d63d19c18240b679e06

Download Submit
C:\Users\Admin\AppData\Local\Temp\4546.tmp

Filesize
527KB

MD5
e253c053bcd7e0eba89621ba3ffcf26e

SHA1
276bd57fa15ae82d5cebcade9b262b630f9920cf

SHA256
d832e445de3eb632bda23a356bb4b08182a2b3d1b76087b520eb381f0a4b5194

SHA512
26b8a0f016a09f8e3042e608d5c0a37ebb45dc99569af694fdf3375d6e3047d869710891b3c051b41c5005da1a063a2fc532cc4b1f73973c7c73bd0d5f1ad7bc

Download Submit
C:\Users\Admin\AppData\Local\Temp\4631.tmp

Filesize
527KB

MD5
c7ac2a4c7ac4089a907da359668de690

SHA1
871aa61e008b1762dec3a6fda00bd863023f536c

SHA256
e73902c34b162eaefaa65e433baa4f1f1a2ed7c8bfe64317d03304f4e5257c57

SHA512
2b095cfe53047794285e895db7c802c890bdd5c605e7a50fffb8901287327c0714e8fc0f20c542cfef7d3289d4ada47ac89e1888daebac27217ec973218c3b73

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads