919e70a78119e284221bfd52ef617b917b0d788aebc62fca0170bf16d0e2aac5

Analysis

max time kernel
148s
max time network
120s
platform
windows7_x64
resource
win7-20231215-en
resource tags

arch:x64arch:x86image:win7-20231215-enlocale:en-usos:windows7-x64system
submitted
11/01/2024, 05:48

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2024-01-10_332c574978c312639012a4c9dcfac2ff_mafia.exe
Size

486KB
MD5

332c574978c312639012a4c9dcfac2ff
SHA1

a4ee30c6515d4e32cdf3baf53a5ba82e56e4b770
SHA256

919e70a78119e284221bfd52ef617b917b0d788aebc62fca0170bf16d0e2aac5
SHA512

fd1e77aae00627464d0561ec242595da71c50b129dc3892174dbabdc4ef419513990a2b6df4d42b778488c5c27ce7a2793af7b409eaef8ce40cfb3569c45e813
SSDEEP

12288:/U5rCOTeiD983xQXMxkRjnUZDyRsNs6YNZ:/UQOJD9qxIqDyRPbN

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
1532	B66.tmp
2376	B95.tmp
2696	BD3.tmp
2756	C12.tmp
2904	C50.tmp
3020	C8E.tmp
2368	7E63.tmp
2988	D0B.tmp
2776	D4A.tmp
2600	D88.tmp
1588	7FDA.tmp
2548	E05.tmp
1300	E43.tmp
2836	E82.tmp
1984	EC0.tmp
1052	EFE.tmp
912	F3D.tmp
2884	388E.tmp
624	FBA.tmp
2852	FF8.tmp
2948	1036.tmp
1292	1075.tmp
2700	10C3.tmp
1092	56E6.tmp
1736	5725.tmp
1680	117E.tmp
2784	3B0D.tmp
1912	120A.tmp
3044	75BC.tmp
2500	3BB9.tmp
324	3BF7.tmp
484	3C36.tmp
1480	4AB6.tmp
588	1381.tmp
1744	13BF.tmp
1996	2202.tmp
1012	143C.tmp
1140	147A.tmp
1808	5AAE.tmp
2244	14F7.tmp
1548	8862.tmp
500	1574.tmp
1100	23B6.tmp
612	15E1.tmp
808	1620.tmp
952	2472.tmp
696	169C.tmp
1800	16DB.tmp
304	7B77.tmp
1988	4106.tmp
1000	1786.tmp
1500	339E.tmp
2108	1803.tmp
2568	2665.tmp
2224	26A3.tmp
2516	18BE.tmp
2684	9D1A.tmp
2420	9C20.tmp
2804	7DB8.tmp
2800	19B8.tmp
2916	19F6.tmp
2724	1A35.tmp
2332	1A73.tmp
2648	7EA2.tmp

Loads dropped DLL 64 IoCs

pid	Process
2172	2024-01-10_332c574978c312639012a4c9dcfac2ff_mafia.exe
1532	B66.tmp
2376	B95.tmp
2696	BD3.tmp
2756	C12.tmp
2904	C50.tmp
3020	C8E.tmp
2368	7E63.tmp
2988	D0B.tmp
2776	D4A.tmp
2600	D88.tmp
1588	7FDA.tmp
2548	E05.tmp
1300	E43.tmp
2836	E82.tmp
1984	EC0.tmp
1052	EFE.tmp
912	F3D.tmp
2884	388E.tmp
624	FBA.tmp
2852	FF8.tmp
2948	1036.tmp
1292	1075.tmp
2700	10C3.tmp
1092	56E6.tmp
1736	5725.tmp
1680	117E.tmp
2784	3B0D.tmp
1912	120A.tmp
3044	75BC.tmp
2500	3BB9.tmp
324	3BF7.tmp
484	3C36.tmp
1480	4AB6.tmp
588	1381.tmp
1744	13BF.tmp
1996	2202.tmp
1012	143C.tmp
1140	147A.tmp
1808	5AAE.tmp
2244	88A0.tmp
1548	8862.tmp
500	1574.tmp
1100	23B6.tmp
612	15E1.tmp
808	1620.tmp
952	2472.tmp
696	169C.tmp
1800	16DB.tmp
304	7B77.tmp
1988	4106.tmp
1000	1786.tmp
1500	339E.tmp
2108	1803.tmp
2568	2665.tmp
2224	26A3.tmp
2516	18BE.tmp
2684	9D1A.tmp
2420	9C20.tmp
2804	7DB8.tmp
2800	19B8.tmp
2916	19F6.tmp
2724	1A35.tmp
2332	1A73.tmp

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2172 wrote to memory of 1532	2172	2024-01-10_332c574978c312639012a4c9dcfac2ff_mafia.exe	486
PID 2172 wrote to memory of 1532	2172	2024-01-10_332c574978c312639012a4c9dcfac2ff_mafia.exe	486
PID 2172 wrote to memory of 1532	2172	2024-01-10_332c574978c312639012a4c9dcfac2ff_mafia.exe	486
PID 2172 wrote to memory of 1532	2172	2024-01-10_332c574978c312639012a4c9dcfac2ff_mafia.exe	486
PID 1532 wrote to memory of 2376	1532	B66.tmp	484
PID 1532 wrote to memory of 2376	1532	B66.tmp	484
PID 1532 wrote to memory of 2376	1532	B66.tmp	484
PID 1532 wrote to memory of 2376	1532	B66.tmp	484
PID 2376 wrote to memory of 2696	2376	B95.tmp	483
PID 2376 wrote to memory of 2696	2376	B95.tmp	483
PID 2376 wrote to memory of 2696	2376	B95.tmp	483
PID 2376 wrote to memory of 2696	2376	B95.tmp	483
PID 2696 wrote to memory of 2756	2696	BD3.tmp	482
PID 2696 wrote to memory of 2756	2696	BD3.tmp	482
PID 2696 wrote to memory of 2756	2696	BD3.tmp	482
PID 2696 wrote to memory of 2756	2696	BD3.tmp	482
PID 2756 wrote to memory of 2904	2756	C12.tmp	481
PID 2756 wrote to memory of 2904	2756	C12.tmp	481
PID 2756 wrote to memory of 2904	2756	C12.tmp	481
PID 2756 wrote to memory of 2904	2756	C12.tmp	481
PID 2904 wrote to memory of 3020	2904	C50.tmp	480
PID 2904 wrote to memory of 3020	2904	C50.tmp	480
PID 2904 wrote to memory of 3020	2904	C50.tmp	480
PID 2904 wrote to memory of 3020	2904	C50.tmp	480
PID 3020 wrote to memory of 2368	3020	C8E.tmp	513
PID 3020 wrote to memory of 2368	3020	C8E.tmp	513
PID 3020 wrote to memory of 2368	3020	C8E.tmp	513
PID 3020 wrote to memory of 2368	3020	C8E.tmp	513
PID 2368 wrote to memory of 2988	2368	7E63.tmp	478
PID 2368 wrote to memory of 2988	2368	7E63.tmp	478
PID 2368 wrote to memory of 2988	2368	7E63.tmp	478
PID 2368 wrote to memory of 2988	2368	7E63.tmp	478
PID 2988 wrote to memory of 2776	2988	D0B.tmp	477
PID 2988 wrote to memory of 2776	2988	D0B.tmp	477
PID 2988 wrote to memory of 2776	2988	D0B.tmp	477
PID 2988 wrote to memory of 2776	2988	D0B.tmp	477
PID 2776 wrote to memory of 2600	2776	D4A.tmp	476
PID 2776 wrote to memory of 2600	2776	D4A.tmp	476
PID 2776 wrote to memory of 2600	2776	D4A.tmp	476
PID 2776 wrote to memory of 2600	2776	D4A.tmp	476
PID 2600 wrote to memory of 1588	2600	D88.tmp	523
PID 2600 wrote to memory of 1588	2600	D88.tmp	523
PID 2600 wrote to memory of 1588	2600	D88.tmp	523
PID 2600 wrote to memory of 1588	2600	D88.tmp	523
PID 1588 wrote to memory of 2548	1588	7FDA.tmp	474
PID 1588 wrote to memory of 2548	1588	7FDA.tmp	474
PID 1588 wrote to memory of 2548	1588	7FDA.tmp	474
PID 1588 wrote to memory of 2548	1588	7FDA.tmp	474
PID 2548 wrote to memory of 1300	2548	E05.tmp	473
PID 2548 wrote to memory of 1300	2548	E05.tmp	473
PID 2548 wrote to memory of 1300	2548	E05.tmp	473
PID 2548 wrote to memory of 1300	2548	E05.tmp	473
PID 1300 wrote to memory of 2836	1300	E43.tmp	472
PID 1300 wrote to memory of 2836	1300	E43.tmp	472
PID 1300 wrote to memory of 2836	1300	E43.tmp	472
PID 1300 wrote to memory of 2836	1300	E43.tmp	472
PID 2836 wrote to memory of 1984	2836	E82.tmp	471
PID 2836 wrote to memory of 1984	2836	E82.tmp	471
PID 2836 wrote to memory of 1984	2836	E82.tmp	471
PID 2836 wrote to memory of 1984	2836	E82.tmp	471
PID 1984 wrote to memory of 1052	1984	EC0.tmp	470
PID 1984 wrote to memory of 1052	1984	EC0.tmp	470
PID 1984 wrote to memory of 1052	1984	EC0.tmp	470
PID 1984 wrote to memory of 1052	1984	EC0.tmp	470

C:\Users\Admin\AppData\Local\Temp\2024-01-10_332c574978c312639012a4c9dcfac2ff_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-10_332c574978c312639012a4c9dcfac2ff_mafia.exe"
1⤵
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2172
- C:\Users\Admin\AppData\Local\Temp\B66.tmp
  "C:\Users\Admin\AppData\Local\Temp\B66.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:1532
- - C:\Users\Admin\AppData\Local\Temp\7DB8.tmp
    "C:\Users\Admin\AppData\Local\Temp\7DB8.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:2804
- C:\Users\Admin\AppData\Local\Temp\AC08.tmp
  "C:\Users\Admin\AppData\Local\Temp\AC08.tmp"
  2⤵
  PID:2736

C:\Users\Admin\AppData\Local\Temp\F7B.tmp
"C:\Users\Admin\AppData\Local\Temp\F7B.tmp"
1⤵
PID:2884
- C:\Users\Admin\AppData\Local\Temp\38CC.tmp
  "C:\Users\Admin\AppData\Local\Temp\38CC.tmp"
  2⤵
  PID:1420
- C:\Users\Admin\AppData\Local\Temp\5580.tmp
  "C:\Users\Admin\AppData\Local\Temp\5580.tmp"
  2⤵
  PID:1420
- - C:\Users\Admin\AppData\Local\Temp\55BE.tmp
    "C:\Users\Admin\AppData\Local\Temp\55BE.tmp"
    3⤵
    PID:2856
  - - C:\Users\Admin\AppData\Local\Temp\55FC.tmp
      "C:\Users\Admin\AppData\Local\Temp\55FC.tmp"
      4⤵
      PID:1132
    - - C:\Users\Admin\AppData\Local\Temp\B1B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B1B3.tmp"
        5⤵
        
        PID:344
  - - C:\Users\Admin\AppData\Local\Temp\2BA2.tmp
      "C:\Users\Admin\AppData\Local\Temp\2BA2.tmp"
      4⤵
      PID:2956
    - - C:\Users\Admin\AppData\Local\Temp\843D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\843D.tmp"
        5⤵
        
        PID:856
      - C:\Users\Admin\AppData\Local\Temp\B2CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B2CB.tmp"
        6⤵
        
        PID:3040
- - C:\Users\Admin\AppData\Local\Temp\738B.tmp
    "C:\Users\Admin\AppData\Local\Temp\738B.tmp"
    3⤵
    PID:1584
  - - C:\Users\Admin\AppData\Local\Temp\1E1B.tmp
      "C:\Users\Admin\AppData\Local\Temp\1E1B.tmp"
      4⤵
      PID:856
    - - C:\Users\Admin\AppData\Local\Temp\846C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\846C.tmp"
        5⤵
        
        PID:1976

C:\Users\Admin\AppData\Local\Temp\1101.tmp
"C:\Users\Admin\AppData\Local\Temp\1101.tmp"
1⤵
PID:1092
- C:\Users\Admin\AppData\Local\Temp\1140.tmp
  "C:\Users\Admin\AppData\Local\Temp\1140.tmp"
  2⤵
  PID:1736
- - C:\Users\Admin\AppData\Local\Temp\5763.tmp
    "C:\Users\Admin\AppData\Local\Temp\5763.tmp"
    3⤵
    PID:3040
  - - C:\Users\Admin\AppData\Local\Temp\57A2.tmp
      "C:\Users\Admin\AppData\Local\Temp\57A2.tmp"
      4⤵
      PID:2240
- C:\Users\Admin\AppData\Local\Temp\5725.tmp
  "C:\Users\Admin\AppData\Local\Temp\5725.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1736
- - C:\Users\Admin\AppData\Local\Temp\117E.tmp
    "C:\Users\Admin\AppData\Local\Temp\117E.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1680

C:\Users\Admin\AppData\Local\Temp\11CC.tmp
"C:\Users\Admin\AppData\Local\Temp\11CC.tmp"
1⤵
PID:2784
- C:\Users\Admin\AppData\Local\Temp\498E.tmp
  "C:\Users\Admin\AppData\Local\Temp\498E.tmp"
  2⤵
  PID:3048
- - C:\Users\Admin\AppData\Local\Temp\49CC.tmp
    "C:\Users\Admin\AppData\Local\Temp\49CC.tmp"
    3⤵
    PID:996
  - - C:\Users\Admin\AppData\Local\Temp\3BB9.tmp
      "C:\Users\Admin\AppData\Local\Temp\3BB9.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2500
    - - C:\Users\Admin\AppData\Local\Temp\8601.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8601.tmp"
        5⤵
        
        PID:336

C:\Users\Admin\AppData\Local\Temp\1287.tmp
"C:\Users\Admin\AppData\Local\Temp\1287.tmp"
1⤵
PID:2500
- C:\Users\Admin\AppData\Local\Temp\12C6.tmp
  "C:\Users\Admin\AppData\Local\Temp\12C6.tmp"
  2⤵
  PID:324
- - C:\Users\Admin\AppData\Local\Temp\3C36.tmp
    "C:\Users\Admin\AppData\Local\Temp\3C36.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:484
- C:\Users\Admin\AppData\Local\Temp\3BF7.tmp
  "C:\Users\Admin\AppData\Local\Temp\3BF7.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:324

C:\Users\Admin\AppData\Local\Temp\1304.tmp
"C:\Users\Admin\AppData\Local\Temp\1304.tmp"
1⤵
PID:484
- C:\Users\Admin\AppData\Local\Temp\1342.tmp
  "C:\Users\Admin\AppData\Local\Temp\1342.tmp"
  2⤵
  PID:1480
- C:\Users\Admin\AppData\Local\Temp\3C64.tmp
  "C:\Users\Admin\AppData\Local\Temp\3C64.tmp"
  2⤵
  PID:2000

C:\Users\Admin\AppData\Local\Temp\1249.tmp
"C:\Users\Admin\AppData\Local\Temp\1249.tmp"
1⤵
PID:3044
- C:\Users\Admin\AppData\Local\Temp\75EB.tmp
  "C:\Users\Admin\AppData\Local\Temp\75EB.tmp"
  2⤵
  PID:2072
- - C:\Users\Admin\AppData\Local\Temp\7629.tmp
    "C:\Users\Admin\AppData\Local\Temp\7629.tmp"
    3⤵
    PID:2564
  - - C:\Users\Admin\AppData\Local\Temp\7668.tmp
      "C:\Users\Admin\AppData\Local\Temp\7668.tmp"
      4⤵
      PID:2060
  - - C:\Users\Admin\AppData\Local\Temp\58BA.tmp
      "C:\Users\Admin\AppData\Local\Temp\58BA.tmp"
      4⤵
      PID:2060
    - - C:\Users\Admin\AppData\Local\Temp\2E60.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E60.tmp"
        5⤵
        
        PID:540
    - - C:\Users\Admin\AppData\Local\Temp\204D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\204D.tmp"
        5⤵
        
        PID:336
      - C:\Users\Admin\AppData\Local\Temp\8640.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8640.tmp"
        6⤵
        
        PID:1580
        
        C:\Users\Admin\AppData\Local\Temp\867E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\867E.tmp"
        7⤵
        
        PID:1488
        
        C:\Users\Admin\AppData\Local\Temp\B4FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B4FD.tmp"
        8⤵
        
        PID:1088
        
        C:\Users\Admin\AppData\Local\Temp\E4C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E4C4.tmp"
        7⤵
        
        PID:1552

C:\Users\Admin\AppData\Local\Temp\13FE.tmp
"C:\Users\Admin\AppData\Local\Temp\13FE.tmp"
1⤵
PID:1996

C:\Users\Admin\AppData\Local\Temp\14B9.tmp
"C:\Users\Admin\AppData\Local\Temp\14B9.tmp"
1⤵
PID:1808
- C:\Users\Admin\AppData\Local\Temp\5AEC.tmp
  "C:\Users\Admin\AppData\Local\Temp\5AEC.tmp"
  2⤵
  PID:2244
- - C:\Users\Admin\AppData\Local\Temp\5B2A.tmp
    "C:\Users\Admin\AppData\Local\Temp\5B2A.tmp"
    3⤵
    PID:1680
- - C:\Users\Admin\AppData\Local\Temp\1536.tmp
    "C:\Users\Admin\AppData\Local\Temp\1536.tmp"
    3⤵
    PID:1548
  - - C:\Users\Admin\AppData\Local\Temp\88A0.tmp
      "C:\Users\Admin\AppData\Local\Temp\88A0.tmp"
      4⤵
      Loads dropped DLL
      PID:2244

C:\Users\Admin\AppData\Local\Temp\15A3.tmp
"C:\Users\Admin\AppData\Local\Temp\15A3.tmp"
1⤵
PID:1100
- C:\Users\Admin\AppData\Local\Temp\23F5.tmp
  "C:\Users\Admin\AppData\Local\Temp\23F5.tmp"
  2⤵
  PID:612
- C:\Users\Admin\AppData\Local\Temp\31E9.tmp
  "C:\Users\Admin\AppData\Local\Temp\31E9.tmp"
  2⤵
  PID:612
- - C:\Users\Admin\AppData\Local\Temp\3228.tmp
    "C:\Users\Admin\AppData\Local\Temp\3228.tmp"
    3⤵
    PID:1064
  - - C:\Users\Admin\AppData\Local\Temp\8E4B.tmp
      "C:\Users\Admin\AppData\Local\Temp\8E4B.tmp"
      4⤵
      PID:2904
    - - C:\Users\Admin\AppData\Local\Temp\8E89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E89.tmp"
        5⤵
        
        PID:2892
- - C:\Users\Admin\AppData\Local\Temp\2433.tmp
    "C:\Users\Admin\AppData\Local\Temp\2433.tmp"
    3⤵
    PID:808
- - C:\Users\Admin\AppData\Local\Temp\1620.tmp
    "C:\Users\Admin\AppData\Local\Temp\1620.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:808

C:\Users\Admin\AppData\Local\Temp\165E.tmp
"C:\Users\Admin\AppData\Local\Temp\165E.tmp"
1⤵
PID:952
- C:\Users\Admin\AppData\Local\Temp\24B0.tmp
  "C:\Users\Admin\AppData\Local\Temp\24B0.tmp"
  2⤵
  PID:696
- C:\Users\Admin\AppData\Local\Temp\404B.tmp
  "C:\Users\Admin\AppData\Local\Temp\404B.tmp"
  2⤵
  PID:696
- - C:\Users\Admin\AppData\Local\Temp\4089.tmp
    "C:\Users\Admin\AppData\Local\Temp\4089.tmp"
    3⤵
    PID:988
- - C:\Users\Admin\AppData\Local\Temp\24EE.tmp
    "C:\Users\Admin\AppData\Local\Temp\24EE.tmp"
    3⤵
    PID:1800
  - - C:\Users\Admin\AppData\Local\Temp\170A.tmp
      "C:\Users\Admin\AppData\Local\Temp\170A.tmp"
      4⤵
      PID:304
    - - C:\Users\Admin\AppData\Local\Temp\7BB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BB5.tmp"
        5⤵
        
        PID:3052
      - C:\Users\Admin\AppData\Local\Temp\7BF3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BF3.tmp"
        6⤵
        
        PID:1732
      - C:\Users\Admin\AppData\Local\Temp\AB0E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB0E.tmp"
        6⤵
        
        PID:1988
- - C:\Users\Admin\AppData\Local\Temp\16DB.tmp
    "C:\Users\Admin\AppData\Local\Temp\16DB.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1800
- C:\Users\Admin\AppData\Local\Temp\4E8D.tmp
  "C:\Users\Admin\AppData\Local\Temp\4E8D.tmp"
  2⤵
  PID:3056
- - C:\Users\Admin\AppData\Local\Temp\6C89.tmp
    "C:\Users\Admin\AppData\Local\Temp\6C89.tmp"
    3⤵
    PID:2308

C:\Users\Admin\AppData\Local\Temp\1748.tmp
"C:\Users\Admin\AppData\Local\Temp\1748.tmp"
1⤵
PID:1988

C:\Users\Admin\AppData\Local\Temp\17C5.tmp
"C:\Users\Admin\AppData\Local\Temp\17C5.tmp"
1⤵
PID:1500
- C:\Users\Admin\AppData\Local\Temp\5ED2.tmp
  "C:\Users\Admin\AppData\Local\Temp\5ED2.tmp"
  2⤵
  PID:2568
- - C:\Users\Admin\AppData\Local\Temp\26A3.tmp
    "C:\Users\Admin\AppData\Local\Temp\26A3.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:2224
  - - C:\Users\Admin\AppData\Local\Temp\18BE.tmp
      "C:\Users\Admin\AppData\Local\Temp\18BE.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2516

C:\Users\Admin\AppData\Local\Temp\1880.tmp
"C:\Users\Admin\AppData\Local\Temp\1880.tmp"
1⤵
PID:2224
- C:\Users\Admin\AppData\Local\Temp\26D2.tmp
  "C:\Users\Admin\AppData\Local\Temp\26D2.tmp"
  2⤵
  PID:2516
- - C:\Users\Admin\AppData\Local\Temp\4328.tmp
    "C:\Users\Admin\AppData\Local\Temp\4328.tmp"
    3⤵
    PID:2684
  - - C:\Users\Admin\AppData\Local\Temp\51F7.tmp
      "C:\Users\Admin\AppData\Local\Temp\51F7.tmp"
      4⤵
      PID:1972
    - - C:\Users\Admin\AppData\Local\Temp\43A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\43A5.tmp"
        5⤵
        
        PID:2756
    - - C:\Users\Admin\AppData\Local\Temp\3543.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3543.tmp"
        5⤵
        
        PID:2756
      - C:\Users\Admin\AppData\Local\Temp\27CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27CC.tmp"
        6⤵
        
        PID:2800
      - C:\Users\Admin\AppData\Local\Temp\C50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C50.tmp"
        6⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:2904

C:\Users\Admin\AppData\Local\Temp\1842.tmp
"C:\Users\Admin\AppData\Local\Temp\1842.tmp"
1⤵
PID:2568
- C:\Users\Admin\AppData\Local\Temp\5F11.tmp
  "C:\Users\Admin\AppData\Local\Temp\5F11.tmp"
  2⤵
  PID:2224
- - C:\Users\Admin\AppData\Local\Temp\5F4F.tmp
    "C:\Users\Admin\AppData\Local\Temp\5F4F.tmp"
    3⤵
    PID:2376
  - - C:\Users\Admin\AppData\Local\Temp\BD3.tmp
      "C:\Users\Admin\AppData\Local\Temp\BD3.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of WriteProcessMemory
      PID:2696
    - - C:\Users\Admin\AppData\Local\Temp\BC3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC3D.tmp"
        5⤵
        
        PID:2824
      - C:\Users\Admin\AppData\Local\Temp\BC7C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC7C.tmp"
        6⤵
        
        PID:2760

C:\Users\Admin\AppData\Local\Temp\193B.tmp
"C:\Users\Admin\AppData\Local\Temp\193B.tmp"
1⤵
PID:2420

C:\Users\Admin\AppData\Local\Temp\19F6.tmp
"C:\Users\Admin\AppData\Local\Temp\19F6.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2916
- C:\Users\Admin\AppData\Local\Temp\1A35.tmp
  "C:\Users\Admin\AppData\Local\Temp\1A35.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2724
- - C:\Users\Admin\AppData\Local\Temp\BCE9.tmp
    "C:\Users\Admin\AppData\Local\Temp\BCE9.tmp"
    3⤵
    PID:2648
  - - C:\Users\Admin\AppData\Local\Temp\BD27.tmp
      "C:\Users\Admin\AppData\Local\Temp\BD27.tmp"
      4⤵
      PID:2680
    - - C:\Users\Admin\AppData\Local\Temp\BD56.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD56.tmp"
        5⤵
        
        PID:2960
      - C:\Users\Admin\AppData\Local\Temp\BD85.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD85.tmp"
        6⤵
        
        PID:2428
        
        C:\Users\Admin\AppData\Local\Temp\CD5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD5D.tmp"
        7⤵
        
        PID:2136
        
        C:\Users\Admin\AppData\Local\Temp\CD9B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD9B.tmp"
        8⤵
        
        PID:1588
        
        C:\Users\Admin\AppData\Local\Temp\DE6D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE6D.tmp"
        8⤵
        
        PID:2636
        
        C:\Users\Admin\AppData\Local\Temp\EDC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDC8.tmp"
        9⤵
        
        PID:2328
        
        C:\Users\Admin\AppData\Local\Temp\FDFE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDFE.tmp"
        10⤵
        
        PID:2872

C:\Users\Admin\AppData\Local\Temp\1AE0.tmp
"C:\Users\Admin\AppData\Local\Temp\1AE0.tmp"
1⤵
PID:2624

C:\Users\Admin\AppData\Local\Temp\1B5D.tmp
"C:\Users\Admin\AppData\Local\Temp\1B5D.tmp"
1⤵
PID:2348
- C:\Users\Admin\AppData\Local\Temp\1B9C.tmp
  "C:\Users\Admin\AppData\Local\Temp\1B9C.tmp"
  2⤵
  PID:2968
- C:\Users\Admin\AppData\Local\Temp\9EBF.tmp
  "C:\Users\Admin\AppData\Local\Temp\9EBF.tmp"
  2⤵
  PID:2692

C:\Users\Admin\AppData\Local\Temp\1C18.tmp
"C:\Users\Admin\AppData\Local\Temp\1C18.tmp"
1⤵
PID:2124
- C:\Users\Admin\AppData\Local\Temp\1C57.tmp
  "C:\Users\Admin\AppData\Local\Temp\1C57.tmp"
  2⤵
  PID:2840
- - C:\Users\Admin\AppData\Local\Temp\9138.tmp
    "C:\Users\Admin\AppData\Local\Temp\9138.tmp"
    3⤵
    PID:1324
  - - C:\Users\Admin\AppData\Local\Temp\9176.tmp
      "C:\Users\Admin\AppData\Local\Temp\9176.tmp"
      4⤵
      PID:2480
- C:\Users\Admin\AppData\Local\Temp\BE50.tmp
  "C:\Users\Admin\AppData\Local\Temp\BE50.tmp"
  2⤵
  PID:2132
- - C:\Users\Admin\AppData\Local\Temp\BE8E.tmp
    "C:\Users\Admin\AppData\Local\Temp\BE8E.tmp"
    3⤵
    PID:2416
  - - C:\Users\Admin\AppData\Local\Temp\DF67.tmp
      "C:\Users\Admin\AppData\Local\Temp\DF67.tmp"
      4⤵
      PID:1692
    - - C:\Users\Admin\AppData\Local\Temp\DFA5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DFA5.tmp"
        5⤵
        
        PID:1496
      - C:\Users\Admin\AppData\Local\Temp\DFF3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DFF3.tmp"
        6⤵
        
        PID:1052
    - - C:\Users\Admin\AppData\Local\Temp\FEAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEAA.tmp"
        5⤵
        
        PID:1436
- - C:\Users\Admin\AppData\Local\Temp\DF28.tmp
    "C:\Users\Admin\AppData\Local\Temp\DF28.tmp"
    3⤵
    PID:2416

C:\Users\Admin\AppData\Local\Temp\1CD4.tmp
"C:\Users\Admin\AppData\Local\Temp\1CD4.tmp"
1⤵
PID:1648
- C:\Users\Admin\AppData\Local\Temp\1D12.tmp
  "C:\Users\Admin\AppData\Local\Temp\1D12.tmp"
  2⤵
  PID:1436
- - C:\Users\Admin\AppData\Local\Temp\2B74.tmp
    "C:\Users\Admin\AppData\Local\Temp\2B74.tmp"
    3⤵
    PID:2856
- C:\Users\Admin\AppData\Local\Temp\BF2A.tmp
  "C:\Users\Admin\AppData\Local\Temp\BF2A.tmp"
  2⤵
  PID:1052
- - C:\Users\Admin\AppData\Local\Temp\E032.tmp
    "C:\Users\Admin\AppData\Local\Temp\E032.tmp"
    3⤵
    PID:2168
  - - C:\Users\Admin\AppData\Local\Temp\E070.tmp
      "C:\Users\Admin\AppData\Local\Temp\E070.tmp"
      4⤵
      PID:2480
  - - C:\Users\Admin\AppData\Local\Temp\EF7D.tmp
      "C:\Users\Admin\AppData\Local\Temp\EF7D.tmp"
      4⤵
      PID:2912
    - - C:\Users\Admin\AppData\Local\Temp\EFBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFBC.tmp"
        5⤵
        
        PID:1636
      - C:\Users\Admin\AppData\Local\Temp\EFFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFFA.tmp"
        6⤵
        
        PID:308
        
        C:\Users\Admin\AppData\Local\Temp\F038.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F038.tmp"
        7⤵
        
        PID:2952

C:\Users\Admin\AppData\Local\Temp\1D50.tmp
"C:\Users\Admin\AppData\Local\Temp\1D50.tmp"
1⤵
PID:2592
- C:\Users\Admin\AppData\Local\Temp\1D9E.tmp
  "C:\Users\Admin\AppData\Local\Temp\1D9E.tmp"
  2⤵
  PID:2940
- - C:\Users\Admin\AppData\Local\Temp\1DDD.tmp
    "C:\Users\Admin\AppData\Local\Temp\1DDD.tmp"
    3⤵
    PID:1584
  - - C:\Users\Admin\AppData\Local\Temp\73B9.tmp
      "C:\Users\Admin\AppData\Local\Temp\73B9.tmp"
      4⤵
      PID:2948
    - - C:\Users\Admin\AppData\Local\Temp\73F8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73F8.tmp"
        5⤵
        
        PID:2620
      - C:\Users\Admin\AppData\Local\Temp\7436.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7436.tmp"
        6⤵
        
        PID:1820
        
        C:\Users\Admin\AppData\Local\Temp\36AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36AA.tmp"
        7⤵
        
        PID:2080
- - C:\Users\Admin\AppData\Local\Temp\645E.tmp
    "C:\Users\Admin\AppData\Local\Temp\645E.tmp"
    3⤵
    PID:2088
  - - C:\Users\Admin\AppData\Local\Temp\649D.tmp
      "C:\Users\Admin\AppData\Local\Temp\649D.tmp"
      4⤵
      PID:1252

C:\Users\Admin\AppData\Local\Temp\1C95.tmp
"C:\Users\Admin\AppData\Local\Temp\1C95.tmp"
1⤵
PID:1260
- C:\Users\Admin\AppData\Local\Temp\2AE7.tmp
  "C:\Users\Admin\AppData\Local\Temp\2AE7.tmp"
  2⤵
  PID:2168
- - C:\Users\Admin\AppData\Local\Temp\2B26.tmp
    "C:\Users\Admin\AppData\Local\Temp\2B26.tmp"
    3⤵
    PID:1436
- - C:\Users\Admin\AppData\Local\Temp\B08A.tmp
    "C:\Users\Admin\AppData\Local\Temp\B08A.tmp"
    3⤵
    PID:1572

C:\Users\Admin\AppData\Local\Temp\1E69.tmp
"C:\Users\Admin\AppData\Local\Temp\1E69.tmp"
1⤵
PID:1232
- C:\Users\Admin\AppData\Local\Temp\1EC7.tmp
  "C:\Users\Admin\AppData\Local\Temp\1EC7.tmp"
  2⤵
  PID:2096
- - C:\Users\Admin\AppData\Local\Temp\1F15.tmp
    "C:\Users\Admin\AppData\Local\Temp\1F15.tmp"
    3⤵
    PID:1716
- C:\Users\Admin\AppData\Local\Temp\6596.tmp
  "C:\Users\Admin\AppData\Local\Temp\6596.tmp"
  2⤵
  PID:1192
- - C:\Users\Admin\AppData\Local\Temp\65D5.tmp
    "C:\Users\Admin\AppData\Local\Temp\65D5.tmp"
    3⤵
    PID:1716
  - - C:\Users\Admin\AppData\Local\Temp\1F53.tmp
      "C:\Users\Admin\AppData\Local\Temp\1F53.tmp"
      4⤵
      PID:2028

C:\Users\Admin\AppData\Local\Temp\1F92.tmp
"C:\Users\Admin\AppData\Local\Temp\1F92.tmp"
1⤵
PID:2056

C:\Users\Admin\AppData\Local\Temp\200E.tmp
"C:\Users\Admin\AppData\Local\Temp\200E.tmp"
1⤵
PID:2060

C:\Users\Admin\AppData\Local\Temp\20CA.tmp
"C:\Users\Admin\AppData\Local\Temp\20CA.tmp"
1⤵
PID:1488
- C:\Users\Admin\AppData\Local\Temp\2108.tmp
  "C:\Users\Admin\AppData\Local\Temp\2108.tmp"
  2⤵
  PID:764
- C:\Users\Admin\AppData\Local\Temp\86AD.tmp
  "C:\Users\Admin\AppData\Local\Temp\86AD.tmp"
  2⤵
  PID:2452
- - C:\Users\Admin\AppData\Local\Temp\86EB.tmp
    "C:\Users\Admin\AppData\Local\Temp\86EB.tmp"
    3⤵
    PID:1752

C:\Users\Admin\AppData\Local\Temp\2146.tmp
"C:\Users\Admin\AppData\Local\Temp\2146.tmp"
1⤵
PID:1480
- C:\Users\Admin\AppData\Local\Temp\6900.tmp
  "C:\Users\Admin\AppData\Local\Temp\6900.tmp"
  2⤵
  PID:1508
- - C:\Users\Admin\AppData\Local\Temp\E531.tmp
    "C:\Users\Admin\AppData\Local\Temp\E531.tmp"
    3⤵
    PID:1196

C:\Users\Admin\AppData\Local\Temp\2202.tmp
"C:\Users\Admin\AppData\Local\Temp\2202.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1996
- C:\Users\Admin\AppData\Local\Temp\2240.tmp
  "C:\Users\Admin\AppData\Local\Temp\2240.tmp"
  2⤵
  PID:1012
- - C:\Users\Admin\AppData\Local\Temp\147A.tmp
    "C:\Users\Admin\AppData\Local\Temp\147A.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1140
- C:\Users\Admin\AppData\Local\Temp\143C.tmp
  "C:\Users\Admin\AppData\Local\Temp\143C.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1012
- C:\Users\Admin\AppData\Local\Temp\B5A9.tmp
  "C:\Users\Admin\AppData\Local\Temp\B5A9.tmp"
  2⤵
  PID:2076
- - C:\Users\Admin\AppData\Local\Temp\E5DC.tmp
    "C:\Users\Admin\AppData\Local\Temp\E5DC.tmp"
    3⤵
    PID:1808

C:\Users\Admin\AppData\Local\Temp\227E.tmp
"C:\Users\Admin\AppData\Local\Temp\227E.tmp"
1⤵
PID:2448
- C:\Users\Admin\AppData\Local\Temp\22BD.tmp
  "C:\Users\Admin\AppData\Local\Temp\22BD.tmp"
  2⤵
  PID:1540
- C:\Users\Admin\AppData\Local\Temp\A728.tmp
  "C:\Users\Admin\AppData\Local\Temp\A728.tmp"
  2⤵
  PID:836

C:\Users\Admin\AppData\Local\Temp\233A.tmp
"C:\Users\Admin\AppData\Local\Temp\233A.tmp"
1⤵
PID:1392
- C:\Users\Admin\AppData\Local\Temp\4D07.tmp
  "C:\Users\Admin\AppData\Local\Temp\4D07.tmp"
  2⤵
  PID:2920
- - C:\Users\Admin\AppData\Local\Temp\7A10.tmp
    "C:\Users\Admin\AppData\Local\Temp\7A10.tmp"
    3⤵
    PID:1684
  - - C:\Users\Admin\AppData\Local\Temp\7A3F.tmp
      "C:\Users\Admin\AppData\Local\Temp\7A3F.tmp"
      4⤵
      PID:2068
    - - C:\Users\Admin\AppData\Local\Temp\7A8D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A8D.tmp"
        5⤵
        
        PID:2712
    - - C:\Users\Admin\AppData\Local\Temp\A9B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A9B7.tmp"
        5⤵
        
        PID:2712
      - C:\Users\Admin\AppData\Local\Temp\A9F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A9F5.tmp"
        6⤵
        
        PID:2352
  - - C:\Users\Admin\AppData\Local\Temp\A979.tmp
      "C:\Users\Admin\AppData\Local\Temp\A979.tmp"
      4⤵
      PID:2068

C:\Users\Admin\AppData\Local\Temp\256B.tmp
"C:\Users\Admin\AppData\Local\Temp\256B.tmp"
1⤵
PID:1988

C:\Users\Admin\AppData\Local\Temp\2626.tmp
"C:\Users\Admin\AppData\Local\Temp\2626.tmp"
1⤵
PID:2108
- C:\Users\Admin\AppData\Local\Temp\340B.tmp
  "C:\Users\Admin\AppData\Local\Temp\340B.tmp"
  2⤵
  PID:2520
- - C:\Users\Admin\AppData\Local\Temp\50BF.tmp
    "C:\Users\Admin\AppData\Local\Temp\50BF.tmp"
    3⤵
    PID:2504

C:\Users\Admin\AppData\Local\Temp\274F.tmp
"C:\Users\Admin\AppData\Local\Temp\274F.tmp"
1⤵
PID:1972
- C:\Users\Admin\AppData\Local\Temp\278D.tmp
  "C:\Users\Admin\AppData\Local\Temp\278D.tmp"
  2⤵
  PID:2756
- - C:\Users\Admin\AppData\Local\Temp\3572.tmp
    "C:\Users\Admin\AppData\Local\Temp\3572.tmp"
    3⤵
    PID:2800
  - - C:\Users\Admin\AppData\Local\Temp\4412.tmp
      "C:\Users\Admin\AppData\Local\Temp\4412.tmp"
      4⤵
      PID:3020
- - C:\Users\Admin\AppData\Local\Temp\43E3.tmp
    "C:\Users\Admin\AppData\Local\Temp\43E3.tmp"
    3⤵
    PID:2800
  - - C:\Users\Admin\AppData\Local\Temp\35B0.tmp
      "C:\Users\Admin\AppData\Local\Temp\35B0.tmp"
      4⤵
      PID:3020
    - - C:\Users\Admin\AppData\Local\Temp\2839.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2839.tmp"
        5⤵
        
        PID:2368
      - C:\Users\Admin\AppData\Local\Temp\D0B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D0B.tmp"
        6⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:2988
        
        C:\Users\Admin\AppData\Local\Temp\9DD5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DD5.tmp"
        7⤵
        
        PID:2632
  - - C:\Users\Admin\AppData\Local\Temp\280A.tmp
      "C:\Users\Admin\AppData\Local\Temp\280A.tmp"
      4⤵
      PID:3020
    - - C:\Users\Admin\AppData\Local\Temp\CCD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCD.tmp"
        5⤵
        
        PID:2368

C:\Users\Admin\AppData\Local\Temp\2877.tmp
"C:\Users\Admin\AppData\Local\Temp\2877.tmp"
1⤵
PID:2988
- C:\Users\Admin\AppData\Local\Temp\28B6.tmp
  "C:\Users\Admin\AppData\Local\Temp\28B6.tmp"
  2⤵
  PID:2776
- - C:\Users\Admin\AppData\Local\Temp\D88.tmp
    "C:\Users\Admin\AppData\Local\Temp\D88.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of WriteProcessMemory
    PID:2600
- C:\Users\Admin\AppData\Local\Temp\D4A.tmp
  "C:\Users\Admin\AppData\Local\Temp\D4A.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:2776
- - C:\Users\Admin\AppData\Local\Temp\8F35.tmp
    "C:\Users\Admin\AppData\Local\Temp\8F35.tmp"
    3⤵
    PID:2608
  - - C:\Users\Admin\AppData\Local\Temp\8F64.tmp
      "C:\Users\Admin\AppData\Local\Temp\8F64.tmp"
      4⤵
      PID:2660
  - - C:\Users\Admin\AppData\Local\Temp\EC90.tmp
      "C:\Users\Admin\AppData\Local\Temp\EC90.tmp"
      4⤵
      PID:2756
    - - C:\Users\Admin\AppData\Local\Temp\ECCF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ECCF.tmp"
        5⤵
        
        PID:3020

C:\Users\Admin\AppData\Local\Temp\28F4.tmp
"C:\Users\Admin\AppData\Local\Temp\28F4.tmp"
1⤵
PID:2624
- C:\Users\Admin\AppData\Local\Temp\2932.tmp
  "C:\Users\Admin\AppData\Local\Temp\2932.tmp"
  2⤵
  PID:1588
- - C:\Users\Admin\AppData\Local\Temp\E05.tmp
    "C:\Users\Admin\AppData\Local\Temp\E05.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of WriteProcessMemory
    PID:2548
- C:\Users\Admin\AppData\Local\Temp\1B1F.tmp
  "C:\Users\Admin\AppData\Local\Temp\1B1F.tmp"
  2⤵
  PID:2428
- - C:\Users\Admin\AppData\Local\Temp\BDC3.tmp
    "C:\Users\Admin\AppData\Local\Temp\BDC3.tmp"
    3⤵
    PID:2136

C:\Users\Admin\AppData\Local\Temp\29AF.tmp
"C:\Users\Admin\AppData\Local\Temp\29AF.tmp"
1⤵
PID:1300
- C:\Users\Admin\AppData\Local\Temp\29EE.tmp
  "C:\Users\Admin\AppData\Local\Temp\29EE.tmp"
  2⤵
  PID:2112
- C:\Users\Admin\AppData\Local\Temp\E82.tmp
  "C:\Users\Admin\AppData\Local\Temp\E82.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:2836

C:\Users\Admin\AppData\Local\Temp\2A6A.tmp
"C:\Users\Admin\AppData\Local\Temp\2A6A.tmp"
1⤵
PID:2872
- C:\Users\Admin\AppData\Local\Temp\2AA9.tmp
  "C:\Users\Admin\AppData\Local\Temp\2AA9.tmp"
  2⤵
  PID:1260
- - C:\Users\Admin\AppData\Local\Temp\91F3.tmp
    "C:\Users\Admin\AppData\Local\Temp\91F3.tmp"
    3⤵
    PID:2440
  - - C:\Users\Admin\AppData\Local\Temp\9222.tmp
      "C:\Users\Admin\AppData\Local\Temp\9222.tmp"
      4⤵
      PID:2228
  - - C:\Users\Admin\AppData\Local\Temp\C014.tmp
      "C:\Users\Admin\AppData\Local\Temp\C014.tmp"
      4⤵
      PID:2704
    - - C:\Users\Admin\AppData\Local\Temp\D059.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D059.tmp"
        5⤵
        
        PID:2952
      - C:\Users\Admin\AppData\Local\Temp\E16A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E16A.tmp"
        6⤵
        
        PID:1132
        
        C:\Users\Admin\AppData\Local\Temp\E1A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1A8.tmp"
        7⤵
        
        PID:2888
        
        C:\Users\Admin\AppData\Local\Temp\F0B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0B5.tmp"
        7⤵
        
        PID:2700
        
        C:\Users\Admin\AppData\Local\Temp\F0F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0F4.tmp"
        8⤵
        
        PID:2948
- C:\Users\Admin\AppData\Local\Temp\90F9.tmp
  "C:\Users\Admin\AppData\Local\Temp\90F9.tmp"
  2⤵
  PID:2840

C:\Users\Admin\AppData\Local\Temp\2C1F.tmp
"C:\Users\Admin\AppData\Local\Temp\2C1F.tmp"
1⤵
PID:1312
- C:\Users\Admin\AppData\Local\Temp\3A14.tmp
  "C:\Users\Admin\AppData\Local\Temp\3A14.tmp"
  2⤵
  PID:1868
- C:\Users\Admin\AppData\Local\Temp\4856.tmp
  "C:\Users\Admin\AppData\Local\Temp\4856.tmp"
  2⤵
  PID:1868
- - C:\Users\Admin\AppData\Local\Temp\6632.tmp
    "C:\Users\Admin\AppData\Local\Temp\6632.tmp"
    3⤵
    PID:2584

C:\Users\Admin\AppData\Local\Temp\2CDA.tmp
"C:\Users\Admin\AppData\Local\Temp\2CDA.tmp"
1⤵
PID:1976
- C:\Users\Admin\AppData\Local\Temp\2D19.tmp
  "C:\Users\Admin\AppData\Local\Temp\2D19.tmp"
  2⤵
  PID:2556
- C:\Users\Admin\AppData\Local\Temp\84AA.tmp
  "C:\Users\Admin\AppData\Local\Temp\84AA.tmp"
  2⤵
  PID:3040
- - C:\Users\Admin\AppData\Local\Temp\84D9.tmp
    "C:\Users\Admin\AppData\Local\Temp\84D9.tmp"
    3⤵
    PID:1608
  - - C:\Users\Admin\AppData\Local\Temp\8517.tmp
      "C:\Users\Admin\AppData\Local\Temp\8517.tmp"
      4⤵
      PID:2240
- - C:\Users\Admin\AppData\Local\Temp\B2FA.tmp
    "C:\Users\Admin\AppData\Local\Temp\B2FA.tmp"
    3⤵
    PID:1908
  - - C:\Users\Admin\AppData\Local\Temp\E32E.tmp
      "C:\Users\Admin\AppData\Local\Temp\E32E.tmp"
      4⤵
      PID:2588
    - - C:\Users\Admin\AppData\Local\Temp\E36C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E36C.tmp"
        5⤵
        
        PID:1916
    - - C:\Users\Admin\AppData\Local\Temp\F2A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2A8.tmp"
        5⤵
        
        PID:1916
      - C:\Users\Admin\AppData\Local\Temp\F2E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2E7.tmp"
        6⤵
        
        PID:1980

C:\Users\Admin\AppData\Local\Temp\2E22.tmp
"C:\Users\Admin\AppData\Local\Temp\2E22.tmp"
1⤵
PID:2060
- C:\Users\Admin\AppData\Local\Temp\58F9.tmp
  "C:\Users\Admin\AppData\Local\Temp\58F9.tmp"
  2⤵
  PID:540
- - C:\Users\Admin\AppData\Local\Temp\5937.tmp
    "C:\Users\Admin\AppData\Local\Temp\5937.tmp"
    3⤵
    PID:1152
- - C:\Users\Admin\AppData\Local\Temp\2E9F.tmp
    "C:\Users\Admin\AppData\Local\Temp\2E9F.tmp"
    3⤵
    PID:1152
  - - C:\Users\Admin\AppData\Local\Temp\8768.tmp
      "C:\Users\Admin\AppData\Local\Temp\8768.tmp"
      4⤵
      PID:2252
    - - C:\Users\Admin\AppData\Local\Temp\87A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\87A7.tmp"
        5⤵
        
        PID:604
- C:\Users\Admin\AppData\Local\Temp\76A6.tmp
  "C:\Users\Admin\AppData\Local\Temp\76A6.tmp"
  2⤵
  PID:2000
- - C:\Users\Admin\AppData\Local\Temp\76E5.tmp
    "C:\Users\Admin\AppData\Local\Temp\76E5.tmp"
    3⤵
    PID:2084
  - - C:\Users\Admin\AppData\Local\Temp\3CE1.tmp
      "C:\Users\Admin\AppData\Local\Temp\3CE1.tmp"
      4⤵
      PID:556
- - C:\Users\Admin\AppData\Local\Temp\3CA3.tmp
    "C:\Users\Admin\AppData\Local\Temp\3CA3.tmp"
    3⤵
    PID:2084
  - - C:\Users\Admin\AppData\Local\Temp\A63E.tmp
      "C:\Users\Admin\AppData\Local\Temp\A63E.tmp"
      4⤵
      PID:2676
- - C:\Users\Admin\AppData\Local\Temp\C4C5.tmp
    "C:\Users\Admin\AppData\Local\Temp\C4C5.tmp"
    3⤵
    PID:1640

C:\Users\Admin\AppData\Local\Temp\2EDD.tmp
"C:\Users\Admin\AppData\Local\Temp\2EDD.tmp"
1⤵
PID:2084
- C:\Users\Admin\AppData\Local\Temp\2F1C.tmp
  "C:\Users\Admin\AppData\Local\Temp\2F1C.tmp"
  2⤵
  PID:2264
- - C:\Users\Admin\AppData\Local\Temp\7761.tmp
    "C:\Users\Admin\AppData\Local\Temp\7761.tmp"
    3⤵
    PID:2292
  - - C:\Users\Admin\AppData\Local\Temp\77A0.tmp
      "C:\Users\Admin\AppData\Local\Temp\77A0.tmp"
      4⤵
      PID:1084
  - - C:\Users\Admin\AppData\Local\Temp\3D5E.tmp
      "C:\Users\Admin\AppData\Local\Temp\3D5E.tmp"
      4⤵
      PID:836
    - - C:\Users\Admin\AppData\Local\Temp\A757.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A757.tmp"
        5⤵
        
        PID:1808
      - C:\Users\Admin\AppData\Local\Temp\A795.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A795.tmp"
        6⤵
        
        PID:2392
      - C:\Users\Admin\AppData\Local\Temp\E61B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E61B.tmp"
        6⤵
        
        PID:556
        
        C:\Users\Admin\AppData\Local\Temp\E659.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E659.tmp"
        7⤵
        
        PID:284
        
        C:\Users\Admin\AppData\Local\Temp\F602.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F602.tmp"
        8⤵
        
        PID:2280
- C:\Users\Admin\AppData\Local\Temp\7723.tmp
  "C:\Users\Admin\AppData\Local\Temp\7723.tmp"
  2⤵
  PID:2264
- - C:\Users\Admin\AppData\Local\Temp\2F5A.tmp
    "C:\Users\Admin\AppData\Local\Temp\2F5A.tmp"
    3⤵
    PID:1084
- - C:\Users\Admin\AppData\Local\Temp\C533.tmp
    "C:\Users\Admin\AppData\Local\Temp\C533.tmp"
    3⤵
    PID:1744
  - - C:\Users\Admin\AppData\Local\Temp\C571.tmp
      "C:\Users\Admin\AppData\Local\Temp\C571.tmp"
      4⤵
      PID:588
  - - C:\Users\Admin\AppData\Local\Temp\D633.tmp
      "C:\Users\Admin\AppData\Local\Temp\D633.tmp"
      4⤵
      PID:588
    - - C:\Users\Admin\AppData\Local\Temp\D662.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D662.tmp"
        5⤵
        
        PID:452

C:\Users\Admin\AppData\Local\Temp\2F98.tmp
"C:\Users\Admin\AppData\Local\Temp\2F98.tmp"
1⤵
PID:1156
- C:\Users\Admin\AppData\Local\Temp\4BA0.tmp
  "C:\Users\Admin\AppData\Local\Temp\4BA0.tmp"
  2⤵
  PID:836
- - C:\Users\Admin\AppData\Local\Temp\4BDF.tmp
    "C:\Users\Admin\AppData\Local\Temp\4BDF.tmp"
    3⤵
    PID:1772

C:\Users\Admin\AppData\Local\Temp\30B1.tmp
"C:\Users\Admin\AppData\Local\Temp\30B1.tmp"
1⤵
PID:1540
- C:\Users\Admin\AppData\Local\Temp\30F0.tmp
  "C:\Users\Admin\AppData\Local\Temp\30F0.tmp"
  2⤵
  PID:1612
- C:\Users\Admin\AppData\Local\Temp\22FB.tmp
  "C:\Users\Admin\AppData\Local\Temp\22FB.tmp"
  2⤵
  PID:1668
- - C:\Users\Admin\AppData\Local\Temp\B73E.tmp
    "C:\Users\Admin\AppData\Local\Temp\B73E.tmp"
    3⤵
    PID:1360

C:\Users\Admin\AppData\Local\Temp\312E.tmp
"C:\Users\Admin\AppData\Local\Temp\312E.tmp"
1⤵
PID:2344
- C:\Users\Admin\AppData\Local\Temp\316C.tmp
  "C:\Users\Admin\AppData\Local\Temp\316C.tmp"
  2⤵
  PID:500
- - C:\Users\Admin\AppData\Local\Temp\23B6.tmp
    "C:\Users\Admin\AppData\Local\Temp\23B6.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1100
  - - C:\Users\Admin\AppData\Local\Temp\15E1.tmp
      "C:\Users\Admin\AppData\Local\Temp\15E1.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:612

C:\Users\Admin\AppData\Local\Temp\32F2.tmp
"C:\Users\Admin\AppData\Local\Temp\32F2.tmp"
1⤵
PID:2176
- C:\Users\Admin\AppData\Local\Temp\3331.tmp
  "C:\Users\Admin\AppData\Local\Temp\3331.tmp"
  2⤵
  PID:2012
- - C:\Users\Admin\AppData\Local\Temp\8C77.tmp
    "C:\Users\Admin\AppData\Local\Temp\8C77.tmp"
    3⤵
    PID:320
  - - C:\Users\Admin\AppData\Local\Temp\8CB5.tmp
      "C:\Users\Admin\AppData\Local\Temp\8CB5.tmp"
      4⤵
      PID:2780
    - - C:\Users\Admin\AppData\Local\Temp\FD43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD43.tmp"
        5⤵
        
        PID:1740
  - - C:\Users\Admin\AppData\Local\Temp\E9C3.tmp
      "C:\Users\Admin\AppData\Local\Temp\E9C3.tmp"
      4⤵
      PID:2516
    - - C:\Users\Admin\AppData\Local\Temp\EA01.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA01.tmp"
        5⤵
        
        PID:2832
      - C:\Users\Admin\AppData\Local\Temp\FA37.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA37.tmp"
        6⤵
        
        PID:1500
        
        C:\Users\Admin\AppData\Local\Temp\FA75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA75.tmp"
        7⤵
        
        PID:2332
    - - C:\Users\Admin\AppData\Local\Temp\F9F8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9F8.tmp"
        5⤵
        
        PID:2832

C:\Users\Admin\AppData\Local\Temp\3488.tmp
"C:\Users\Admin\AppData\Local\Temp\3488.tmp"
1⤵
PID:1532
- C:\Users\Admin\AppData\Local\Temp\34C6.tmp
  "C:\Users\Admin\AppData\Local\Temp\34C6.tmp"
  2⤵
  PID:2684
- C:\Users\Admin\AppData\Local\Temp\B95.tmp
  "C:\Users\Admin\AppData\Local\Temp\B95.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:2376

C:\Users\Admin\AppData\Local\Temp\35EF.tmp
"C:\Users\Admin\AppData\Local\Temp\35EF.tmp"
1⤵
PID:2660

C:\Users\Admin\AppData\Local\Temp\36D9.tmp
"C:\Users\Admin\AppData\Local\Temp\36D9.tmp"
1⤵
PID:2692
- C:\Users\Admin\AppData\Local\Temp\3717.tmp
  "C:\Users\Admin\AppData\Local\Temp\3717.tmp"
  2⤵
  PID:2548
- C:\Users\Admin\AppData\Local\Temp\9EFD.tmp
  "C:\Users\Admin\AppData\Local\Temp\9EFD.tmp"
  2⤵
  PID:1300
- - C:\Users\Admin\AppData\Local\Temp\9F3C.tmp
    "C:\Users\Admin\AppData\Local\Temp\9F3C.tmp"
    3⤵
    PID:2984
  - - C:\Users\Admin\AppData\Local\Temp\9F99.tmp
      "C:\Users\Admin\AppData\Local\Temp\9F99.tmp"
      4⤵
      PID:1720

C:\Users\Admin\AppData\Local\Temp\3794.tmp
"C:\Users\Admin\AppData\Local\Temp\3794.tmp"
1⤵
PID:2112
- C:\Users\Admin\AppData\Local\Temp\6384.tmp
  "C:\Users\Admin\AppData\Local\Temp\6384.tmp"
  2⤵
  PID:1384
- - C:\Users\Admin\AppData\Local\Temp\72A1.tmp
    "C:\Users\Admin\AppData\Local\Temp\72A1.tmp"
    3⤵
    PID:624
  - - C:\Users\Admin\AppData\Local\Temp\63F1.tmp
      "C:\Users\Admin\AppData\Local\Temp\63F1.tmp"
      4⤵
      PID:2228
    - - C:\Users\Admin\AppData\Local\Temp\9251.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9251.tmp"
        5⤵
        
        PID:2884
  - - C:\Users\Admin\AppData\Local\Temp\5503.tmp
      "C:\Users\Admin\AppData\Local\Temp\5503.tmp"
      4⤵
      PID:1264
  - - C:\Users\Admin\AppData\Local\Temp\FF8.tmp
      "C:\Users\Admin\AppData\Local\Temp\FF8.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2852

C:\Users\Admin\AppData\Local\Temp\384F.tmp
"C:\Users\Admin\AppData\Local\Temp\384F.tmp"
1⤵
PID:1636
- C:\Users\Admin\AppData\Local\Temp\388E.tmp
  "C:\Users\Admin\AppData\Local\Temp\388E.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2884
- - C:\Users\Admin\AppData\Local\Temp\FBA.tmp
    "C:\Users\Admin\AppData\Local\Temp\FBA.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:624
- - C:\Users\Admin\AppData\Local\Temp\927F.tmp
    "C:\Users\Admin\AppData\Local\Temp\927F.tmp"
    3⤵
    PID:308
  - - C:\Users\Admin\AppData\Local\Temp\92BE.tmp
      "C:\Users\Admin\AppData\Local\Temp\92BE.tmp"
      4⤵
      PID:1848
- C:\Users\Admin\AppData\Local\Temp\A12F.tmp
  "C:\Users\Admin\AppData\Local\Temp\A12F.tmp"
  2⤵
  PID:1436
- - C:\Users\Admin\AppData\Local\Temp\A16D.tmp
    "C:\Users\Admin\AppData\Local\Temp\A16D.tmp"
    3⤵
    PID:2912

C:\Users\Admin\AppData\Local\Temp\3987.tmp
"C:\Users\Admin\AppData\Local\Temp\3987.tmp"
1⤵
PID:1288
- C:\Users\Admin\AppData\Local\Temp\4818.tmp
  "C:\Users\Admin\AppData\Local\Temp\4818.tmp"
  2⤵
  PID:1312

C:\Users\Admin\AppData\Local\Temp\3A90.tmp
"C:\Users\Admin\AppData\Local\Temp\3A90.tmp"
1⤵
PID:2320
- C:\Users\Admin\AppData\Local\Temp\3ACF.tmp
  "C:\Users\Admin\AppData\Local\Temp\3ACF.tmp"
  2⤵
  PID:2556
- C:\Users\Admin\AppData\Local\Temp\4911.tmp
  "C:\Users\Admin\AppData\Local\Temp\4911.tmp"
  2⤵
  PID:2556
- - C:\Users\Admin\AppData\Local\Temp\584D.tmp
    "C:\Users\Admin\AppData\Local\Temp\584D.tmp"
    3⤵
    PID:2056
  - - C:\Users\Admin\AppData\Local\Temp\588C.tmp
      "C:\Users\Admin\AppData\Local\Temp\588C.tmp"
      4⤵
      PID:2564
  - - C:\Users\Admin\AppData\Local\Temp\2DE4.tmp
      "C:\Users\Admin\AppData\Local\Temp\2DE4.tmp"
      4⤵
      PID:2564
- - C:\Users\Admin\AppData\Local\Temp\75BC.tmp
    "C:\Users\Admin\AppData\Local\Temp\75BC.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:3044

C:\Users\Admin\AppData\Local\Temp\3B7A.tmp
"C:\Users\Admin\AppData\Local\Temp\3B7A.tmp"
1⤵
PID:996
- C:\Users\Admin\AppData\Local\Temp\4A0B.tmp
  "C:\Users\Admin\AppData\Local\Temp\4A0B.tmp"
  2⤵
  PID:840

C:\Users\Admin\AppData\Local\Temp\3D20.tmp
"C:\Users\Admin\AppData\Local\Temp\3D20.tmp"
1⤵
PID:2292

C:\Users\Admin\AppData\Local\Temp\3DDB.tmp
"C:\Users\Admin\AppData\Local\Temp\3DDB.tmp"
1⤵
PID:2572
- C:\Users\Admin\AppData\Local\Temp\3E19.tmp
  "C:\Users\Admin\AppData\Local\Temp\3E19.tmp"
  2⤵
  PID:1360
- - C:\Users\Admin\AppData\Local\Temp\4C9A.tmp
    "C:\Users\Admin\AppData\Local\Temp\4C9A.tmp"
    3⤵
    PID:1668
- C:\Users\Admin\AppData\Local\Temp\783C.tmp
  "C:\Users\Admin\AppData\Local\Temp\783C.tmp"
  2⤵
  PID:2280
- - C:\Users\Admin\AppData\Local\Temp\787A.tmp
    "C:\Users\Admin\AppData\Local\Temp\787A.tmp"
    3⤵
    PID:2392
  - - C:\Users\Admin\AppData\Local\Temp\78B9.tmp
      "C:\Users\Admin\AppData\Local\Temp\78B9.tmp"
      4⤵
      PID:2792
  - - C:\Users\Admin\AppData\Local\Temp\A7D3.tmp
      "C:\Users\Admin\AppData\Local\Temp\A7D3.tmp"
      4⤵
      PID:948
    - - C:\Users\Admin\AppData\Local\Temp\A812.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A812.tmp"
        5⤵
        
        PID:916
      - C:\Users\Admin\AppData\Local\Temp\A850.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A850.tmp"
        6⤵
        
        PID:1864
        
        C:\Users\Admin\AppData\Local\Temp\A88F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A88F.tmp"
        7⤵
        
        PID:1756

C:\Users\Admin\AppData\Local\Temp\3D9C.tmp
"C:\Users\Admin\AppData\Local\Temp\3D9C.tmp"
1⤵
PID:452
- C:\Users\Admin\AppData\Local\Temp\8823.tmp
  "C:\Users\Admin\AppData\Local\Temp\8823.tmp"
  2⤵
  PID:1156
- - C:\Users\Admin\AppData\Local\Temp\8862.tmp
    "C:\Users\Admin\AppData\Local\Temp\8862.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1548

C:\Users\Admin\AppData\Local\Temp\3E96.tmp
"C:\Users\Admin\AppData\Local\Temp\3E96.tmp"
1⤵
PID:1036
- C:\Users\Admin\AppData\Local\Temp\3ED4.tmp
  "C:\Users\Admin\AppData\Local\Temp\3ED4.tmp"
  2⤵
  PID:760

C:\Users\Admin\AppData\Local\Temp\3F51.tmp
"C:\Users\Admin\AppData\Local\Temp\3F51.tmp"
1⤵
PID:2068
- C:\Users\Admin\AppData\Local\Temp\3F90.tmp
  "C:\Users\Admin\AppData\Local\Temp\3F90.tmp"
  2⤵
  PID:2160

C:\Users\Admin\AppData\Local\Temp\3FCE.tmp
"C:\Users\Admin\AppData\Local\Temp\3FCE.tmp"
1⤵
PID:1776
- C:\Users\Admin\AppData\Local\Temp\5CEF.tmp
  "C:\Users\Admin\AppData\Local\Temp\5CEF.tmp"
  2⤵
  PID:2408

C:\Users\Admin\AppData\Local\Temp\4106.tmp
"C:\Users\Admin\AppData\Local\Temp\4106.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1988
- C:\Users\Admin\AppData\Local\Temp\4144.tmp
  "C:\Users\Admin\AppData\Local\Temp\4144.tmp"
  2⤵
  PID:2364
- - C:\Users\Admin\AppData\Local\Temp\25E8.tmp
    "C:\Users\Admin\AppData\Local\Temp\25E8.tmp"
    3⤵
    PID:1504
- C:\Users\Admin\AppData\Local\Temp\25AA.tmp
  "C:\Users\Admin\AppData\Local\Temp\25AA.tmp"
  2⤵
  PID:2364
- C:\Users\Admin\AppData\Local\Temp\1786.tmp
  "C:\Users\Admin\AppData\Local\Temp\1786.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1000
- C:\Users\Admin\AppData\Local\Temp\AB3D.tmp
  "C:\Users\Admin\AppData\Local\Temp\AB3D.tmp"
  2⤵
  PID:2496
- - C:\Users\Admin\AppData\Local\Temp\AB7B.tmp
    "C:\Users\Admin\AppData\Local\Temp\AB7B.tmp"
    3⤵
    PID:2568

C:\Users\Admin\AppData\Local\Temp\4183.tmp
"C:\Users\Admin\AppData\Local\Temp\4183.tmp"
1⤵
PID:1704
- C:\Users\Admin\AppData\Local\Temp\41C1.tmp
  "C:\Users\Admin\AppData\Local\Temp\41C1.tmp"
  2⤵
  PID:1700
- - C:\Users\Admin\AppData\Local\Temp\4200.tmp
    "C:\Users\Admin\AppData\Local\Temp\4200.tmp"
    3⤵
    PID:2688
  - - C:\Users\Admin\AppData\Local\Temp\9C20.tmp
      "C:\Users\Admin\AppData\Local\Temp\9C20.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2420
- C:\Users\Admin\AppData\Local\Temp\6DA1.tmp
  "C:\Users\Admin\AppData\Local\Temp\6DA1.tmp"
  2⤵
  PID:320

C:\Users\Admin\AppData\Local\Temp\427C.tmp
"C:\Users\Admin\AppData\Local\Temp\427C.tmp"
1⤵
PID:2420
- C:\Users\Admin\AppData\Local\Temp\42BB.tmp
  "C:\Users\Admin\AppData\Local\Temp\42BB.tmp"
  2⤵
  PID:2828
- C:\Users\Admin\AppData\Local\Temp\197A.tmp
  "C:\Users\Admin\AppData\Local\Temp\197A.tmp"
  2⤵
  PID:2804
- - C:\Users\Admin\AppData\Local\Temp\7DF6.tmp
    "C:\Users\Admin\AppData\Local\Temp\7DF6.tmp"
    3⤵
    PID:2816
  - - C:\Users\Admin\AppData\Local\Temp\AD11.tmp
      "C:\Users\Admin\AppData\Local\Temp\AD11.tmp"
      4⤵
      PID:2896
    - - C:\Users\Admin\AppData\Local\Temp\AD4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD4F.tmp"
        5⤵
        
        PID:864
      - C:\Users\Admin\AppData\Local\Temp\AD8E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD8E.tmp"
        6⤵
        
        PID:2820
- C:\Users\Admin\AppData\Local\Temp\9C4F.tmp
  "C:\Users\Admin\AppData\Local\Temp\9C4F.tmp"
  2⤵
  PID:2812

C:\Users\Admin\AppData\Local\Temp\4366.tmp
"C:\Users\Admin\AppData\Local\Temp\4366.tmp"
1⤵
PID:1972
- C:\Users\Admin\AppData\Local\Temp\5235.tmp
  "C:\Users\Admin\AppData\Local\Temp\5235.tmp"
  2⤵
  PID:2632
- - C:\Users\Admin\AppData\Local\Temp\5274.tmp
    "C:\Users\Admin\AppData\Local\Temp\5274.tmp"
    3⤵
    PID:2772
- - C:\Users\Admin\AppData\Local\Temp\9E13.tmp
    "C:\Users\Admin\AppData\Local\Temp\9E13.tmp"
    3⤵
    PID:2756
  - - C:\Users\Admin\AppData\Local\Temp\CCF0.tmp
      "C:\Users\Admin\AppData\Local\Temp\CCF0.tmp"
      4⤵
      PID:3020
    - - C:\Users\Admin\AppData\Local\Temp\DDF0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DDF0.tmp"
        5⤵
        
        PID:2428
      - C:\Users\Admin\AppData\Local\Temp\DE2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE2F.tmp"
        6⤵
        
        PID:2136
      - C:\Users\Admin\AppData\Local\Temp\ED4C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED4C.tmp"
        6⤵
        
        PID:1740
        
        C:\Users\Admin\AppData\Local\Temp\ED8A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED8A.tmp"
        7⤵
        
        PID:2636

C:\Users\Admin\AppData\Local\Temp\42F9.tmp
"C:\Users\Admin\AppData\Local\Temp\42F9.tmp"
1⤵
PID:2516
- C:\Users\Admin\AppData\Local\Temp\2710.tmp
  "C:\Users\Admin\AppData\Local\Temp\2710.tmp"
  2⤵
  PID:2684
- C:\Users\Admin\AppData\Local\Temp\18FD.tmp
  "C:\Users\Admin\AppData\Local\Temp\18FD.tmp"
  2⤵
  PID:2684
- - C:\Users\Admin\AppData\Local\Temp\9D58.tmp
    "C:\Users\Admin\AppData\Local\Temp\9D58.tmp"
    3⤵
    PID:2996
  - - C:\Users\Admin\AppData\Local\Temp\9DA6.tmp
      "C:\Users\Admin\AppData\Local\Temp\9DA6.tmp"
      4⤵
      PID:2988

C:\Users\Admin\AppData\Local\Temp\4450.tmp
"C:\Users\Admin\AppData\Local\Temp\4450.tmp"
1⤵
PID:2660
- C:\Users\Admin\AppData\Local\Temp\448F.tmp
  "C:\Users\Admin\AppData\Local\Temp\448F.tmp"
  2⤵
  PID:2600
- C:\Users\Admin\AppData\Local\Temp\362D.tmp
  "C:\Users\Admin\AppData\Local\Temp\362D.tmp"
  2⤵
  PID:2600
- - C:\Users\Admin\AppData\Local\Temp\DC6.tmp
    "C:\Users\Admin\AppData\Local\Temp\DC6.tmp"
    3⤵
    PID:1588
- C:\Users\Admin\AppData\Local\Temp\8FA2.tmp
  "C:\Users\Admin\AppData\Local\Temp\8FA2.tmp"
  2⤵
  PID:2140

C:\Users\Admin\AppData\Local\Temp\44CD.tmp
"C:\Users\Admin\AppData\Local\Temp\44CD.tmp"
1⤵
PID:1936
- C:\Users\Admin\AppData\Local\Temp\450C.tmp
  "C:\Users\Admin\AppData\Local\Temp\450C.tmp"
  2⤵
  PID:2328
- - C:\Users\Admin\AppData\Local\Temp\454A.tmp
    "C:\Users\Admin\AppData\Local\Temp\454A.tmp"
    3⤵
    PID:2984
  - - C:\Users\Admin\AppData\Local\Temp\8076.tmp
      "C:\Users\Admin\AppData\Local\Temp\8076.tmp"
      4⤵
      PID:1720
    - - C:\Users\Admin\AppData\Local\Temp\9FC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FC8.tmp"
        5⤵
        
        PID:2672
- - C:\Users\Admin\AppData\Local\Temp\CE18.tmp
    "C:\Users\Admin\AppData\Local\Temp\CE18.tmp"
    3⤵
    PID:1720
  - - C:\Users\Admin\AppData\Local\Temp\CE57.tmp
      "C:\Users\Admin\AppData\Local\Temp\CE57.tmp"
      4⤵
      PID:2384
    - - C:\Users\Admin\AppData\Local\Temp\EE84.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE84.tmp"
        5⤵
        
        PID:2876

C:\Users\Admin\AppData\Local\Temp\4588.tmp
"C:\Users\Admin\AppData\Local\Temp\4588.tmp"
1⤵
PID:1740
- C:\Users\Admin\AppData\Local\Temp\45C7.tmp
  "C:\Users\Admin\AppData\Local\Temp\45C7.tmp"
  2⤵
  PID:1496
- - C:\Users\Admin\AppData\Local\Temp\816F.tmp
    "C:\Users\Admin\AppData\Local\Temp\816F.tmp"
    3⤵
    PID:2964
  - - C:\Users\Admin\AppData\Local\Temp\819E.tmp
      "C:\Users\Admin\AppData\Local\Temp\819E.tmp"
      4⤵
      PID:2548
    - - C:\Users\Admin\AppData\Local\Temp\81CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\81CD.tmp"
        5⤵
        
        PID:2112
      - C:\Users\Admin\AppData\Local\Temp\821B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\821B.tmp"
        6⤵
        
        PID:1384
        
        C:\Users\Admin\AppData\Local\Temp\8269.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8269.tmp"
        7⤵
        
        PID:624
        
        C:\Users\Admin\AppData\Local\Temp\82A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82A7.tmp"
        8⤵
        
        PID:1264
        
        C:\Users\Admin\AppData\Local\Temp\8315.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8315.tmp"
        9⤵
        
        PID:2700
        
        C:\Users\Admin\AppData\Local\Temp\C0DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0DF.tmp"
        10⤵
        
        PID:1848
        
        C:\Users\Admin\AppData\Local\Temp\C11D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C11D.tmp"
        11⤵
        
        PID:2624
        
        C:\Users\Admin\AppData\Local\Temp\C15C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C15C.tmp"
        12⤵
        
        PID:2620
        
        C:\Users\Admin\AppData\Local\Temp\C19A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C19A.tmp"
        13⤵
        
        PID:2956
        
        C:\Users\Admin\AppData\Local\Temp\E282.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E282.tmp"
        13⤵
        
        PID:1760
        
        C:\Users\Admin\AppData\Local\Temp\E2B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E2B1.tmp"
        14⤵
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\F1ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1ED.tmp"
        14⤵
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\F22C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F22C.tmp"
        15⤵
        
        PID:1908
        
        C:\Users\Admin\AppData\Local\Temp\D143.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D143.tmp"
        11⤵
        
        PID:2624
        
        C:\Users\Admin\AppData\Local\Temp\D182.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D182.tmp"
        12⤵
        
        PID:1232
        
        C:\Users\Admin\AppData\Local\Temp\F170.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F170.tmp"
        12⤵
        
        PID:2620
        
        C:\Users\Admin\AppData\Local\Temp\F1AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1AF.tmp"
        13⤵
        
        PID:1760
        
        C:\Users\Admin\AppData\Local\Temp\C0B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0B0.tmp"
        9⤵
        
        PID:2700
        
        C:\Users\Admin\AppData\Local\Temp\D105.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D105.tmp"
        10⤵
        
        PID:1848
        
        C:\Users\Admin\AppData\Local\Temp\B0F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B0F7.tmp"
        7⤵
        
        PID:1296
        
        C:\Users\Admin\AppData\Local\Temp\B136.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B136.tmp"
        8⤵
        
        PID:2032

C:\Users\Admin\AppData\Local\Temp\4692.tmp
"C:\Users\Admin\AppData\Local\Temp\4692.tmp"
1⤵
PID:1260
- C:\Users\Admin\AppData\Local\Temp\46D0.tmp
  "C:\Users\Admin\AppData\Local\Temp\46D0.tmp"
  2⤵
  PID:2852
- - C:\Users\Admin\AppData\Local\Temp\1036.tmp
    "C:\Users\Admin\AppData\Local\Temp\1036.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:2948
  - - C:\Users\Admin\AppData\Local\Temp\840E.tmp
      "C:\Users\Admin\AppData\Local\Temp\840E.tmp"
      4⤵
      PID:2956
    - - C:\Users\Admin\AppData\Local\Temp\C1D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C1D9.tmp"
        5⤵
        
        PID:1944

C:\Users\Admin\AppData\Local\Temp\470E.tmp
"C:\Users\Admin\AppData\Local\Temp\470E.tmp"
1⤵
PID:2952
- C:\Users\Admin\AppData\Local\Temp\474D.tmp
  "C:\Users\Admin\AppData\Local\Temp\474D.tmp"
  2⤵
  PID:308
- C:\Users\Admin\AppData\Local\Temp\C072.tmp
  "C:\Users\Admin\AppData\Local\Temp\C072.tmp"
  2⤵
  PID:1264

C:\Users\Admin\AppData\Local\Temp\47BA.tmp
"C:\Users\Admin\AppData\Local\Temp\47BA.tmp"
1⤵
PID:1056
- C:\Users\Admin\AppData\Local\Temp\47E9.tmp
  "C:\Users\Admin\AppData\Local\Temp\47E9.tmp"
  2⤵
  PID:1288
- - C:\Users\Admin\AppData\Local\Temp\39C6.tmp
    "C:\Users\Admin\AppData\Local\Temp\39C6.tmp"
    3⤵
    PID:1312
  - - C:\Users\Admin\AppData\Local\Temp\2C5E.tmp
      "C:\Users\Admin\AppData\Local\Temp\2C5E.tmp"
      4⤵
      PID:1868

C:\Users\Admin\AppData\Local\Temp\4B24.tmp
"C:\Users\Admin\AppData\Local\Temp\4B24.tmp"
1⤵
PID:556

C:\Users\Admin\AppData\Local\Temp\4C1D.tmp
"C:\Users\Admin\AppData\Local\Temp\4C1D.tmp"
1⤵
PID:1344
- C:\Users\Admin\AppData\Local\Temp\4C5C.tmp
  "C:\Users\Admin\AppData\Local\Temp\4C5C.tmp"
  2⤵
  PID:1360
- - C:\Users\Admin\AppData\Local\Temp\3E58.tmp
    "C:\Users\Admin\AppData\Local\Temp\3E58.tmp"
    3⤵
    PID:284
  - - C:\Users\Admin\AppData\Local\Temp\97EC.tmp
      "C:\Users\Admin\AppData\Local\Temp\97EC.tmp"
      4⤵
      PID:680

C:\Users\Admin\AppData\Local\Temp\4D84.tmp
"C:\Users\Admin\AppData\Local\Temp\4D84.tmp"
1⤵
PID:808
- C:\Users\Admin\AppData\Local\Temp\4DC2.tmp
  "C:\Users\Admin\AppData\Local\Temp\4DC2.tmp"
  2⤵
  PID:3008
- - C:\Users\Admin\AppData\Local\Temp\BBFF.tmp
    "C:\Users\Admin\AppData\Local\Temp\BBFF.tmp"
    3⤵
    PID:2696
- C:\Users\Admin\AppData\Local\Temp\2472.tmp
  "C:\Users\Admin\AppData\Local\Temp\2472.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:952
- - C:\Users\Admin\AppData\Local\Temp\169C.tmp
    "C:\Users\Admin\AppData\Local\Temp\169C.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:696
  - - C:\Users\Admin\AppData\Local\Temp\B8F3.tmp
      "C:\Users\Admin\AppData\Local\Temp\B8F3.tmp"
      4⤵
      PID:2176
    - - C:\Users\Admin\AppData\Local\Temp\B931.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B931.tmp"
        5⤵
        
        PID:2380

C:\Users\Admin\AppData\Local\Temp\4E01.tmp
"C:\Users\Admin\AppData\Local\Temp\4E01.tmp"
1⤵
PID:2752
- C:\Users\Admin\AppData\Local\Temp\6C1B.tmp
  "C:\Users\Admin\AppData\Local\Temp\6C1B.tmp"
  2⤵
  PID:1160
- - C:\Users\Admin\AppData\Local\Temp\AA63.tmp
    "C:\Users\Admin\AppData\Local\Temp\AA63.tmp"
    3⤵
    PID:3056

C:\Users\Admin\AppData\Local\Temp\4F0A.tmp
"C:\Users\Admin\AppData\Local\Temp\4F0A.tmp"
1⤵
PID:2484
- C:\Users\Admin\AppData\Local\Temp\4F48.tmp
  "C:\Users\Admin\AppData\Local\Temp\4F48.tmp"
  2⤵
  PID:1000

C:\Users\Admin\AppData\Local\Temp\4ECC.tmp
"C:\Users\Admin\AppData\Local\Temp\4ECC.tmp"
1⤵
PID:2308
- C:\Users\Admin\AppData\Local\Temp\6CB7.tmp
  "C:\Users\Admin\AppData\Local\Temp\6CB7.tmp"
  2⤵
  PID:332
- - C:\Users\Admin\AppData\Local\Temp\6CF6.tmp
    "C:\Users\Admin\AppData\Local\Temp\6CF6.tmp"
    3⤵
    PID:1576
  - - C:\Users\Admin\AppData\Local\Temp\6D34.tmp
      "C:\Users\Admin\AppData\Local\Temp\6D34.tmp"
      4⤵
      PID:1604
    - - C:\Users\Admin\AppData\Local\Temp\BA5A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA5A.tmp"
        5⤵
        
        PID:1704
  - - C:\Users\Admin\AppData\Local\Temp\9B36.tmp
      "C:\Users\Admin\AppData\Local\Temp\9B36.tmp"
      4⤵
      PID:1732
    - - C:\Users\Admin\AppData\Local\Temp\9B75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9B75.tmp"
        5⤵
        
        PID:1504
      - C:\Users\Admin\AppData\Local\Temp\9BB3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9BB3.tmp"
        6⤵
        
        PID:2468
    - - C:\Users\Admin\AppData\Local\Temp\C986.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C986.tmp"
        5⤵
        
        PID:3060
      - C:\Users\Admin\AppData\Local\Temp\C9C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9C5.tmp"
        6⤵
        
        PID:2248

C:\Users\Admin\AppData\Local\Temp\4F87.tmp
"C:\Users\Admin\AppData\Local\Temp\4F87.tmp"
1⤵
PID:3060
- C:\Users\Admin\AppData\Local\Temp\4FC5.tmp
  "C:\Users\Admin\AppData\Local\Temp\4FC5.tmp"
  2⤵
  PID:1596
- C:\Users\Admin\AppData\Local\Temp\8C39.tmp
  "C:\Users\Admin\AppData\Local\Temp\8C39.tmp"
  2⤵
  PID:2012

C:\Users\Admin\AppData\Local\Temp\5042.tmp
"C:\Users\Admin\AppData\Local\Temp\5042.tmp"
1⤵
PID:2780
- C:\Users\Admin\AppData\Local\Temp\5080.tmp
  "C:\Users\Admin\AppData\Local\Temp\5080.tmp"
  2⤵
  PID:2520
- - C:\Users\Admin\AppData\Local\Temp\344A.tmp
    "C:\Users\Admin\AppData\Local\Temp\344A.tmp"
    3⤵
    PID:2504
  - - C:\Users\Admin\AppData\Local\Temp\8DCE.tmp
      "C:\Users\Admin\AppData\Local\Temp\8DCE.tmp"
      4⤵
      PID:360
    - - C:\Users\Admin\AppData\Local\Temp\EB58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB58.tmp"
        5⤵
        
        PID:2920
      - C:\Users\Admin\AppData\Local\Temp\FB9E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB9E.tmp"
        6⤵
        
        PID:2820
- - C:\Users\Admin\AppData\Local\Temp\BB44.tmp
    "C:\Users\Admin\AppData\Local\Temp\BB44.tmp"
    3⤵
    PID:2924
  - - C:\Users\Admin\AppData\Local\Temp\BB82.tmp
      "C:\Users\Admin\AppData\Local\Temp\BB82.tmp"
      4⤵
      PID:2376
    - - C:\Users\Admin\AppData\Local\Temp\BBC1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBC1.tmp"
        5⤵
        
        PID:3008
  - - C:\Users\Admin\AppData\Local\Temp\DB61.tmp
      "C:\Users\Admin\AppData\Local\Temp\DB61.tmp"
      4⤵
      PID:3028
- C:\Users\Admin\AppData\Local\Temp\8CF4.tmp
  "C:\Users\Admin\AppData\Local\Temp\8CF4.tmp"
  2⤵
  PID:1600

C:\Users\Admin\AppData\Local\Temp\50FD.tmp
"C:\Users\Admin\AppData\Local\Temp\50FD.tmp"
1⤵
PID:2804
- C:\Users\Admin\AppData\Local\Temp\513C.tmp
  "C:\Users\Admin\AppData\Local\Temp\513C.tmp"
  2⤵
  PID:2816
- - C:\Users\Admin\AppData\Local\Temp\7E25.tmp
    "C:\Users\Admin\AppData\Local\Temp\7E25.tmp"
    3⤵
    PID:2896
- C:\Users\Admin\AppData\Local\Temp\19B8.tmp
  "C:\Users\Admin\AppData\Local\Temp\19B8.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2800

C:\Users\Admin\AppData\Local\Temp\517A.tmp
"C:\Users\Admin\AppData\Local\Temp\517A.tmp"
1⤵
PID:360
- C:\Users\Admin\AppData\Local\Temp\51B8.tmp
  "C:\Users\Admin\AppData\Local\Temp\51B8.tmp"
  2⤵
  PID:2684
- - C:\Users\Admin\AppData\Local\Temp\3505.tmp
    "C:\Users\Admin\AppData\Local\Temp\3505.tmp"
    3⤵
    PID:1972
- C:\Users\Admin\AppData\Local\Temp\8E0D.tmp
  "C:\Users\Admin\AppData\Local\Temp\8E0D.tmp"
  2⤵
  PID:1064

C:\Users\Admin\AppData\Local\Temp\52B2.tmp
"C:\Users\Admin\AppData\Local\Temp\52B2.tmp"
1⤵
PID:2744
- C:\Users\Admin\AppData\Local\Temp\61EE.tmp
  "C:\Users\Admin\AppData\Local\Temp\61EE.tmp"
  2⤵
  PID:2636

C:\Users\Admin\AppData\Local\Temp\532F.tmp
"C:\Users\Admin\AppData\Local\Temp\532F.tmp"
1⤵
PID:2600
- C:\Users\Admin\AppData\Local\Temp\536D.tmp
  "C:\Users\Admin\AppData\Local\Temp\536D.tmp"
  2⤵
  PID:1936
- C:\Users\Admin\AppData\Local\Temp\366C.tmp
  "C:\Users\Admin\AppData\Local\Temp\366C.tmp"
  2⤵
  PID:1820
- - C:\Users\Admin\AppData\Local\Temp\93D7.tmp
    "C:\Users\Admin\AppData\Local\Temp\93D7.tmp"
    3⤵
    PID:2100

C:\Users\Admin\AppData\Local\Temp\53EA.tmp
"C:\Users\Admin\AppData\Local\Temp\53EA.tmp"
1⤵
PID:2416
- C:\Users\Admin\AppData\Local\Temp\5428.tmp
  "C:\Users\Admin\AppData\Local\Temp\5428.tmp"
  2⤵
  PID:2548
- - C:\Users\Admin\AppData\Local\Temp\3756.tmp
    "C:\Users\Admin\AppData\Local\Temp\3756.tmp"
    3⤵
    PID:2836
  - - C:\Users\Admin\AppData\Local\Temp\EC0.tmp
      "C:\Users\Admin\AppData\Local\Temp\EC0.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of WriteProcessMemory
      PID:1984
    - - C:\Users\Admin\AppData\Local\Temp\AED5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AED5.tmp"
        5⤵
        
        PID:1740

C:\Users\Admin\AppData\Local\Temp\54D4.tmp
"C:\Users\Admin\AppData\Local\Temp\54D4.tmp"
1⤵
PID:624

C:\Users\Admin\AppData\Local\Temp\5541.tmp
"C:\Users\Admin\AppData\Local\Temp\5541.tmp"
1⤵
PID:2884

C:\Users\Admin\AppData\Local\Temp\56A8.tmp
"C:\Users\Admin\AppData\Local\Temp\56A8.tmp"
1⤵
PID:2656
- C:\Users\Admin\AppData\Local\Temp\56E6.tmp
  "C:\Users\Admin\AppData\Local\Temp\56E6.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1092
- - C:\Users\Admin\AppData\Local\Temp\A39F.tmp
    "C:\Users\Admin\AppData\Local\Temp\A39F.tmp"
    3⤵
    PID:2296
- C:\Users\Admin\AppData\Local\Temp\935A.tmp
  "C:\Users\Admin\AppData\Local\Temp\935A.tmp"
  2⤵
  PID:1192
- - C:\Users\Admin\AppData\Local\Temp\9398.tmp
    "C:\Users\Admin\AppData\Local\Temp\9398.tmp"
    3⤵
    PID:1820

C:\Users\Admin\AppData\Local\Temp\5985.tmp
"C:\Users\Admin\AppData\Local\Temp\5985.tmp"
1⤵
PID:1644
- C:\Users\Admin\AppData\Local\Temp\59C4.tmp
  "C:\Users\Admin\AppData\Local\Temp\59C4.tmp"
  2⤵
  PID:1356
- - C:\Users\Admin\AppData\Local\Temp\9702.tmp
    "C:\Users\Admin\AppData\Local\Temp\9702.tmp"
    3⤵
    PID:588
  - - C:\Users\Admin\AppData\Local\Temp\C5AF.tmp
      "C:\Users\Admin\AppData\Local\Temp\C5AF.tmp"
      4⤵
      PID:452
    - - C:\Users\Admin\AppData\Local\Temp\D6A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6A0.tmp"
        5⤵
        
        PID:2768
- C:\Users\Admin\AppData\Local\Temp\B56A.tmp
  "C:\Users\Admin\AppData\Local\Temp\B56A.tmp"
  2⤵
  PID:1996

C:\Users\Admin\AppData\Local\Temp\5A40.tmp
"C:\Users\Admin\AppData\Local\Temp\5A40.tmp"
1⤵
PID:556
- C:\Users\Admin\AppData\Local\Temp\5A7F.tmp
  "C:\Users\Admin\AppData\Local\Temp\5A7F.tmp"
  2⤵
  PID:1140
- C:\Users\Admin\AppData\Local\Temp\4B62.tmp
  "C:\Users\Admin\AppData\Local\Temp\4B62.tmp"
  2⤵
  PID:1156
- - C:\Users\Admin\AppData\Local\Temp\2FD7.tmp
    "C:\Users\Admin\AppData\Local\Temp\2FD7.tmp"
    3⤵
    PID:2576

C:\Users\Admin\AppData\Local\Temp\5C05.tmp
"C:\Users\Admin\AppData\Local\Temp\5C05.tmp"
1⤵
PID:868
- C:\Users\Admin\AppData\Local\Temp\5C34.tmp
  "C:\Users\Admin\AppData\Local\Temp\5C34.tmp"
  2⤵
  PID:2040
- - C:\Users\Admin\AppData\Local\Temp\B828.tmp
    "C:\Users\Admin\AppData\Local\Temp\B828.tmp"
    3⤵
    PID:3068
  - - C:\Users\Admin\AppData\Local\Temp\B867.tmp
      "C:\Users\Admin\AppData\Local\Temp\B867.tmp"
      4⤵
      PID:1776
    - - C:\Users\Admin\AppData\Local\Temp\B8B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8B5.tmp"
        5⤵
        
        PID:696

C:\Users\Admin\AppData\Local\Temp\5C72.tmp
"C:\Users\Admin\AppData\Local\Temp\5C72.tmp"
1⤵
PID:2160
- C:\Users\Admin\AppData\Local\Temp\5CB0.tmp
  "C:\Users\Admin\AppData\Local\Temp\5CB0.tmp"
  2⤵
  PID:1776
- - C:\Users\Admin\AppData\Local\Temp\400C.tmp
    "C:\Users\Admin\AppData\Local\Temp\400C.tmp"
    3⤵
    PID:952

C:\Users\Admin\AppData\Local\Temp\5D2D.tmp
"C:\Users\Admin\AppData\Local\Temp\5D2D.tmp"
1⤵
PID:2628
- C:\Users\Admin\AppData\Local\Temp\5D6C.tmp
  "C:\Users\Admin\AppData\Local\Temp\5D6C.tmp"
  2⤵
  PID:1676

C:\Users\Admin\AppData\Local\Temp\5DAA.tmp
"C:\Users\Admin\AppData\Local\Temp\5DAA.tmp"
1⤵
PID:2380
- C:\Users\Admin\AppData\Local\Temp\5DD9.tmp
  "C:\Users\Admin\AppData\Local\Temp\5DD9.tmp"
  2⤵
  PID:3012
- C:\Users\Admin\AppData\Local\Temp\B960.tmp
  "C:\Users\Admin\AppData\Local\Temp\B960.tmp"
  2⤵
  PID:2360

C:\Users\Admin\AppData\Local\Temp\5E56.tmp
"C:\Users\Admin\AppData\Local\Temp\5E56.tmp"
1⤵
PID:1832
- C:\Users\Admin\AppData\Local\Temp\5E94.tmp
  "C:\Users\Admin\AppData\Local\Temp\5E94.tmp"
  2⤵
  PID:1500
- - C:\Users\Admin\AppData\Local\Temp\33DC.tmp
    "C:\Users\Admin\AppData\Local\Temp\33DC.tmp"
    3⤵
    PID:2108
  - - C:\Users\Admin\AppData\Local\Temp\2665.tmp
      "C:\Users\Admin\AppData\Local\Temp\2665.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2568
    - - C:\Users\Admin\AppData\Local\Temp\ABAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABAA.tmp"
        5⤵
        
        PID:1560
      - C:\Users\Admin\AppData\Local\Temp\ABD9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABD9.tmp"
        6⤵
        
        PID:2172
      - C:\Users\Admin\AppData\Local\Temp\CA70.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA70.tmp"
        6⤵
        
        PID:1620
        
        C:\Users\Admin\AppData\Local\Temp\CAAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAAF.tmp"
        7⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\DB90.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB90.tmp"
        8⤵
        
        PID:3064
        
        C:\Users\Admin\AppData\Local\Temp\EADC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EADC.tmp"
        7⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\EB1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB1A.tmp"
        8⤵
        
        PID:360
        
        C:\Users\Admin\AppData\Local\Temp\FB5F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB5F.tmp"
        9⤵
        
        PID:2920
- C:\Users\Admin\AppData\Local\Temp\E88B.tmp
  "C:\Users\Admin\AppData\Local\Temp\E88B.tmp"
  2⤵
  PID:3052
- - C:\Users\Admin\AppData\Local\Temp\F8C0.tmp
    "C:\Users\Admin\AppData\Local\Temp\F8C0.tmp"
    3⤵
    PID:2224
  - - C:\Users\Admin\AppData\Local\Temp\F8FF.tmp
      "C:\Users\Admin\AppData\Local\Temp\F8FF.tmp"
      4⤵
      PID:3056

C:\Users\Admin\AppData\Local\Temp\5FCC.tmp
"C:\Users\Admin\AppData\Local\Temp\5FCC.tmp"
1⤵
PID:2732
- C:\Users\Admin\AppData\Local\Temp\6F18.tmp
  "C:\Users\Admin\AppData\Local\Temp\6F18.tmp"
  2⤵
  PID:2824

C:\Users\Admin\AppData\Local\Temp\6087.tmp
"C:\Users\Admin\AppData\Local\Temp\6087.tmp"
1⤵
PID:1960
- C:\Users\Admin\AppData\Local\Temp\60C6.tmp
  "C:\Users\Admin\AppData\Local\Temp\60C6.tmp"
  2⤵
  PID:2612
- C:\Users\Admin\AppData\Local\Temp\ACD3.tmp
  "C:\Users\Admin\AppData\Local\Temp\ACD3.tmp"
  2⤵
  PID:2816

C:\Users\Admin\AppData\Local\Temp\6104.tmp
"C:\Users\Admin\AppData\Local\Temp\6104.tmp"
1⤵
PID:864
- C:\Users\Admin\AppData\Local\Temp\6142.tmp
  "C:\Users\Admin\AppData\Local\Temp\6142.tmp"
  2⤵
  PID:2608

C:\Users\Admin\AppData\Local\Temp\6181.tmp
"C:\Users\Admin\AppData\Local\Temp\6181.tmp"
1⤵
PID:2492
- C:\Users\Admin\AppData\Local\Temp\61BF.tmp
  "C:\Users\Admin\AppData\Local\Temp\61BF.tmp"
  2⤵
  PID:2744
- - C:\Users\Admin\AppData\Local\Temp\52F0.tmp
    "C:\Users\Admin\AppData\Local\Temp\52F0.tmp"
    3⤵
    PID:2636
  - - C:\Users\Admin\AppData\Local\Temp\DEAC.tmp
      "C:\Users\Admin\AppData\Local\Temp\DEAC.tmp"
      4⤵
      PID:2328
    - - C:\Users\Admin\AppData\Local\Temp\DEEA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DEEA.tmp"
        5⤵
        
        PID:2132
    - - C:\Users\Admin\AppData\Local\Temp\EE07.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE07.tmp"
        5⤵
        
        PID:2132
      - C:\Users\Admin\AppData\Local\Temp\EE45.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE45.tmp"
        6⤵
        
        PID:2384
- - C:\Users\Admin\AppData\Local\Temp\900F.tmp
    "C:\Users\Admin\AppData\Local\Temp\900F.tmp"
    3⤵
    PID:2080
  - - C:\Users\Admin\AppData\Local\Temp\904E.tmp
      "C:\Users\Admin\AppData\Local\Temp\904E.tmp"
      4⤵
      PID:2356
    - - C:\Users\Admin\AppData\Local\Temp\908C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\908C.tmp"
        5⤵
        
        PID:2580
      - C:\Users\Admin\AppData\Local\Temp\BEEC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BEEC.tmp"
        6⤵
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\CF12.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF12.tmp"
        7⤵
        
        PID:2836
        
        C:\Users\Admin\AppData\Local\Temp\CF50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF50.tmp"
        8⤵
        
        PID:852
        
        C:\Users\Admin\AppData\Local\Temp\CF8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF8F.tmp"
        9⤵
        
        PID:2480
        
        C:\Users\Admin\AppData\Local\Temp\CFDD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFDD.tmp"
        10⤵
        
        PID:1636
        
        C:\Users\Admin\AppData\Local\Temp\D01B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D01B.tmp"
        11⤵
        
        PID:2704
        
        C:\Users\Admin\AppData\Local\Temp\E12B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E12B.tmp"
        12⤵
        
        PID:2952
        
        C:\Users\Admin\AppData\Local\Temp\F077.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F077.tmp"
        13⤵
        
        PID:1132
        
        C:\Users\Admin\AppData\Local\Temp\E0AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0AE.tmp"
        10⤵
        
        PID:1636
        
        C:\Users\Admin\AppData\Local\Temp\E0ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0ED.tmp"
        11⤵
        
        PID:2704
        
        C:\Users\Admin\AppData\Local\Temp\EF3F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF3F.tmp"
        8⤵
        
        PID:2168
- C:\Users\Admin\AppData\Local\Temp\7F9B.tmp
  "C:\Users\Admin\AppData\Local\Temp\7F9B.tmp"
  2⤵
  PID:2936
- - C:\Users\Admin\AppData\Local\Temp\7FDA.tmp
    "C:\Users\Admin\AppData\Local\Temp\7FDA.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of WriteProcessMemory
    PID:1588
  - - C:\Users\Admin\AppData\Local\Temp\8037.tmp
      "C:\Users\Admin\AppData\Local\Temp\8037.tmp"
      4⤵
      PID:2984
  - - C:\Users\Admin\AppData\Local\Temp\BE21.tmp
      "C:\Users\Admin\AppData\Local\Temp\BE21.tmp"
      4⤵
      PID:2124

C:\Users\Admin\AppData\Local\Temp\626B.tmp
"C:\Users\Admin\AppData\Local\Temp\626B.tmp"
1⤵
PID:1936
- C:\Users\Admin\AppData\Local\Temp\62A9.tmp
  "C:\Users\Admin\AppData\Local\Temp\62A9.tmp"
  2⤵
  PID:1524
- C:\Users\Admin\AppData\Local\Temp\53AC.tmp
  "C:\Users\Admin\AppData\Local\Temp\53AC.tmp"
  2⤵
  PID:1524

C:\Users\Admin\AppData\Local\Temp\63B3.tmp
"C:\Users\Admin\AppData\Local\Temp\63B3.tmp"
1⤵
PID:624
- C:\Users\Admin\AppData\Local\Temp\72DF.tmp
  "C:\Users\Admin\AppData\Local\Temp\72DF.tmp"
  2⤵
  PID:1264

C:\Users\Admin\AppData\Local\Temp\6355.tmp
"C:\Users\Admin\AppData\Local\Temp\6355.tmp"
1⤵
PID:2112

C:\Users\Admin\AppData\Local\Temp\64DB.tmp
"C:\Users\Admin\AppData\Local\Temp\64DB.tmp"
1⤵
PID:308
- C:\Users\Admin\AppData\Local\Temp\6519.tmp
  "C:\Users\Admin\AppData\Local\Temp\6519.tmp"
  2⤵
  PID:344
- - C:\Users\Admin\AppData\Local\Temp\B1E1.tmp
    "C:\Users\Admin\AppData\Local\Temp\B1E1.tmp"
    3⤵
    PID:2948
  - - C:\Users\Admin\AppData\Local\Temp\B220.tmp
      "C:\Users\Admin\AppData\Local\Temp\B220.tmp"
      4⤵
      PID:1288
    - - C:\Users\Admin\AppData\Local\Temp\B25E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B25E.tmp"
        5⤵
        
        PID:2092
      - C:\Users\Admin\AppData\Local\Temp\B29D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B29D.tmp"
        6⤵
        
        PID:856
- C:\Users\Admin\AppData\Local\Temp\478B.tmp
  "C:\Users\Admin\AppData\Local\Temp\478B.tmp"
  2⤵
  PID:2032
- - C:\Users\Admin\AppData\Local\Temp\B174.tmp
    "C:\Users\Admin\AppData\Local\Temp\B174.tmp"
    3⤵
    PID:1132

C:\Users\Admin\AppData\Local\Temp\6671.tmp
"C:\Users\Admin\AppData\Local\Temp\6671.tmp"
1⤵
PID:1792
- C:\Users\Admin\AppData\Local\Temp\66AF.tmp
  "C:\Users\Admin\AppData\Local\Temp\66AF.tmp"
  2⤵
  PID:1476
- - C:\Users\Admin\AppData\Local\Temp\66ED.tmp
    "C:\Users\Admin\AppData\Local\Temp\66ED.tmp"
    3⤵
    PID:2008
  - - C:\Users\Admin\AppData\Local\Temp\950F.tmp
      "C:\Users\Admin\AppData\Local\Temp\950F.tmp"
      4⤵
      PID:396

C:\Users\Admin\AppData\Local\Temp\675B.tmp
"C:\Users\Admin\AppData\Local\Temp\675B.tmp"
1⤵
PID:2992
- C:\Users\Admin\AppData\Local\Temp\6799.tmp
  "C:\Users\Admin\AppData\Local\Temp\6799.tmp"
  2⤵
  PID:1040
- - C:\Users\Admin\AppData\Local\Temp\95AB.tmp
    "C:\Users\Admin\AppData\Local\Temp\95AB.tmp"
    3⤵
    PID:1804
- C:\Users\Admin\AppData\Local\Temp\B423.tmp
  "C:\Users\Admin\AppData\Local\Temp\B423.tmp"
  2⤵
  PID:788
- - C:\Users\Admin\AppData\Local\Temp\B461.tmp
    "C:\Users\Admin\AppData\Local\Temp\B461.tmp"
    3⤵
    PID:896
  - - C:\Users\Admin\AppData\Local\Temp\B49F.tmp
      "C:\Users\Admin\AppData\Local\Temp\B49F.tmp"
      4⤵
      PID:2796
    - - C:\Users\Admin\AppData\Local\Temp\F41F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F41F.tmp"
        5⤵
        
        PID:2060
      - C:\Users\Admin\AppData\Local\Temp\F45D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F45D.tmp"
        6⤵
        
        PID:1508
  - - C:\Users\Admin\AppData\Local\Temp\E485.tmp
      "C:\Users\Admin\AppData\Local\Temp\E485.tmp"
      4⤵
      PID:1580

C:\Users\Admin\AppData\Local\Temp\6816.tmp
"C:\Users\Admin\AppData\Local\Temp\6816.tmp"
1⤵
PID:840
- C:\Users\Admin\AppData\Local\Temp\6854.tmp
  "C:\Users\Admin\AppData\Local\Temp\6854.tmp"
  2⤵
  PID:656
- - C:\Users\Admin\AppData\Local\Temp\4A88.tmp
    "C:\Users\Admin\AppData\Local\Temp\4A88.tmp"
    3⤵
    PID:1104
  - - C:\Users\Admin\AppData\Local\Temp\9685.tmp
      "C:\Users\Admin\AppData\Local\Temp\9685.tmp"
      4⤵
      PID:2292
    - - C:\Users\Admin\AppData\Local\Temp\96C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\96C3.tmp"
        5⤵
        
        PID:1356
- C:\Users\Admin\AppData\Local\Temp\4A49.tmp
  "C:\Users\Admin\AppData\Local\Temp\4A49.tmp"
  2⤵
  PID:656
- C:\Users\Admin\AppData\Local\Temp\9618.tmp
  "C:\Users\Admin\AppData\Local\Temp\9618.tmp"
  2⤵
  PID:1292

C:\Users\Admin\AppData\Local\Temp\6893.tmp
"C:\Users\Admin\AppData\Local\Temp\6893.tmp"
1⤵
PID:1104
- C:\Users\Admin\AppData\Local\Temp\68C1.tmp
  "C:\Users\Admin\AppData\Local\Temp\68C1.tmp"
  2⤵
  PID:1480
- - C:\Users\Admin\AppData\Local\Temp\4AE5.tmp
    "C:\Users\Admin\AppData\Local\Temp\4AE5.tmp"
    3⤵
    PID:588
  - - C:\Users\Admin\AppData\Local\Temp\21C3.tmp
      "C:\Users\Admin\AppData\Local\Temp\21C3.tmp"
      4⤵
      PID:1744
- C:\Users\Admin\AppData\Local\Temp\4AB6.tmp
  "C:\Users\Admin\AppData\Local\Temp\4AB6.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:1480
- - C:\Users\Admin\AppData\Local\Temp\2185.tmp
    "C:\Users\Admin\AppData\Local\Temp\2185.tmp"
    3⤵
    PID:588
  - - C:\Users\Admin\AppData\Local\Temp\13BF.tmp
      "C:\Users\Admin\AppData\Local\Temp\13BF.tmp"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:1744
- - C:\Users\Admin\AppData\Local\Temp\1381.tmp
    "C:\Users\Admin\AppData\Local\Temp\1381.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:588
  - - C:\Users\Admin\AppData\Local\Temp\9740.tmp
      "C:\Users\Admin\AppData\Local\Temp\9740.tmp"
      4⤵
      PID:556
    - - C:\Users\Admin\AppData\Local\Temp\977F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\977F.tmp"
        5⤵
        
        PID:2280
      - C:\Users\Admin\AppData\Local\Temp\97BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\97BD.tmp"
        6⤵
        
        PID:284
        
        C:\Users\Admin\AppData\Local\Temp\E698.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E698.tmp"
        7⤵
        
        PID:1428

C:\Users\Admin\AppData\Local\Temp\693E.tmp
"C:\Users\Admin\AppData\Local\Temp\693E.tmp"
1⤵
PID:2576
- C:\Users\Admin\AppData\Local\Temp\697D.tmp
  "C:\Users\Admin\AppData\Local\Temp\697D.tmp"
  2⤵
  PID:1548
- - C:\Users\Admin\AppData\Local\Temp\1574.tmp
    "C:\Users\Admin\AppData\Local\Temp\1574.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:500
  - - C:\Users\Admin\AppData\Local\Temp\B7F9.tmp
      "C:\Users\Admin\AppData\Local\Temp\B7F9.tmp"
      4⤵
      PID:2040
    - - C:\Users\Admin\AppData\Local\Temp\E7EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7EF.tmp"
        5⤵
        
        PID:1424
- C:\Users\Admin\AppData\Local\Temp\3015.tmp
  "C:\Users\Admin\AppData\Local\Temp\3015.tmp"
  2⤵
  PID:1968

C:\Users\Admin\AppData\Local\Temp\69BB.tmp
"C:\Users\Admin\AppData\Local\Temp\69BB.tmp"
1⤵
PID:2400
- C:\Users\Admin\AppData\Local\Temp\69F9.tmp
  "C:\Users\Admin\AppData\Local\Temp\69F9.tmp"
  2⤵
  PID:2152

C:\Users\Admin\AppData\Local\Temp\6A76.tmp
"C:\Users\Admin\AppData\Local\Temp\6A76.tmp"
1⤵
PID:1668
- C:\Users\Admin\AppData\Local\Temp\6AB5.tmp
  "C:\Users\Admin\AppData\Local\Temp\6AB5.tmp"
  2⤵
  PID:760
- - C:\Users\Admin\AppData\Local\Temp\3F13.tmp
    "C:\Users\Admin\AppData\Local\Temp\3F13.tmp"
    3⤵
    PID:868
  - - C:\Users\Admin\AppData\Local\Temp\9CDB.tmp
      "C:\Users\Admin\AppData\Local\Temp\9CDB.tmp"
      4⤵
      PID:2732
    - - C:\Users\Admin\AppData\Local\Temp\9D1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D1A.tmp"
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2684
- C:\Users\Admin\AppData\Local\Temp\4CD8.tmp
  "C:\Users\Admin\AppData\Local\Temp\4CD8.tmp"
  2⤵
  PID:1392
- - C:\Users\Admin\AppData\Local\Temp\2378.tmp
    "C:\Users\Admin\AppData\Local\Temp\2378.tmp"
    3⤵
    PID:500
- - C:\Users\Admin\AppData\Local\Temp\8A26.tmp
    "C:\Users\Admin\AppData\Local\Temp\8A26.tmp"
    3⤵
    PID:3068

C:\Users\Admin\AppData\Local\Temp\6AF3.tmp
"C:\Users\Admin\AppData\Local\Temp\6AF3.tmp"
1⤵
PID:500
- C:\Users\Admin\AppData\Local\Temp\6B31.tmp
  "C:\Users\Admin\AppData\Local\Temp\6B31.tmp"
  2⤵
  PID:3068
- - C:\Users\Admin\AppData\Local\Temp\8A65.tmp
    "C:\Users\Admin\AppData\Local\Temp\8A65.tmp"
    3⤵
    PID:1796
  - - C:\Users\Admin\AppData\Local\Temp\8A93.tmp
      "C:\Users\Admin\AppData\Local\Temp\8A93.tmp"
      4⤵
      PID:2808
  - - C:\Users\Admin\AppData\Local\Temp\C88D.tmp
      "C:\Users\Admin\AppData\Local\Temp\C88D.tmp"
      4⤵
      PID:1160
- C:\Users\Admin\AppData\Local\Temp\31AB.tmp
  "C:\Users\Admin\AppData\Local\Temp\31AB.tmp"
  2⤵
  PID:1100

C:\Users\Admin\AppData\Local\Temp\6BAE.tmp
"C:\Users\Admin\AppData\Local\Temp\6BAE.tmp"
1⤵
PID:2808
- C:\Users\Admin\AppData\Local\Temp\6BED.tmp
  "C:\Users\Admin\AppData\Local\Temp\6BED.tmp"
  2⤵
  PID:2752
- - C:\Users\Admin\AppData\Local\Temp\4E4F.tmp
    "C:\Users\Admin\AppData\Local\Temp\4E4F.tmp"
    3⤵
    PID:952
- - C:\Users\Admin\AppData\Local\Temp\8B10.tmp
    "C:\Users\Admin\AppData\Local\Temp\8B10.tmp"
    3⤵
    PID:1728
- C:\Users\Admin\AppData\Local\Temp\8AD2.tmp
  "C:\Users\Admin\AppData\Local\Temp\8AD2.tmp"
  2⤵
  PID:2752

C:\Users\Admin\AppData\Local\Temp\6C4A.tmp
"C:\Users\Admin\AppData\Local\Temp\6C4A.tmp"
1⤵
PID:3056
- C:\Users\Admin\AppData\Local\Temp\AA91.tmp
  "C:\Users\Admin\AppData\Local\Temp\AA91.tmp"
  2⤵
  PID:1000
- - C:\Users\Admin\AppData\Local\Temp\AAD0.tmp
    "C:\Users\Admin\AppData\Local\Temp\AAD0.tmp"
    3⤵
    PID:3052
  - - C:\Users\Admin\AppData\Local\Temp\E8C9.tmp
      "C:\Users\Admin\AppData\Local\Temp\E8C9.tmp"
      4⤵
      PID:1604
    - - C:\Users\Admin\AppData\Local\Temp\E908.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E908.tmp"
        5⤵
        
        PID:2152
      - C:\Users\Admin\AppData\Local\Temp\E946.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E946.tmp"
        6⤵
        
        PID:304
        
        C:\Users\Admin\AppData\Local\Temp\F97C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F97C.tmp"
        7⤵
        
        PID:320
        
        C:\Users\Admin\AppData\Local\Temp\F9BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9BA.tmp"
        8⤵
        
        PID:2516

C:\Users\Admin\AppData\Local\Temp\6E2E.tmp
"C:\Users\Admin\AppData\Local\Temp\6E2E.tmp"
1⤵
PID:1620
- C:\Users\Admin\AppData\Local\Temp\6E6C.tmp
  "C:\Users\Admin\AppData\Local\Temp\6E6C.tmp"
  2⤵
  PID:2376
- - C:\Users\Admin\AppData\Local\Temp\5F8E.tmp
    "C:\Users\Admin\AppData\Local\Temp\5F8E.tmp"
    3⤵
    PID:2832
  - - C:\Users\Admin\AppData\Local\Temp\EA30.tmp
      "C:\Users\Admin\AppData\Local\Temp\EA30.tmp"
      4⤵
      PID:1700

C:\Users\Admin\AppData\Local\Temp\6F75.tmp
"C:\Users\Admin\AppData\Local\Temp\6F75.tmp"
1⤵
PID:2724
- C:\Users\Admin\AppData\Local\Temp\6FA4.tmp
  "C:\Users\Admin\AppData\Local\Temp\6FA4.tmp"
  2⤵
  PID:2616
- C:\Users\Admin\AppData\Local\Temp\1A73.tmp
  "C:\Users\Admin\AppData\Local\Temp\1A73.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2332
- - C:\Users\Admin\AppData\Local\Temp\EA9D.tmp
    "C:\Users\Admin\AppData\Local\Temp\EA9D.tmp"
    3⤵
    PID:1620
  - - C:\Users\Admin\AppData\Local\Temp\FAE2.tmp
      "C:\Users\Admin\AppData\Local\Temp\FAE2.tmp"
      4⤵
      PID:2848
    - - C:\Users\Admin\AppData\Local\Temp\FB21.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB21.tmp"
        5⤵
        
        PID:360

C:\Users\Admin\AppData\Local\Temp\7050.tmp
"C:\Users\Admin\AppData\Local\Temp\7050.tmp"
1⤵
PID:2740
- C:\Users\Admin\AppData\Local\Temp\708E.tmp
  "C:\Users\Admin\AppData\Local\Temp\708E.tmp"
  2⤵
  PID:2652

C:\Users\Admin\AppData\Local\Temp\710B.tmp
"C:\Users\Admin\AppData\Local\Temp\710B.tmp"
1⤵
PID:2356
- C:\Users\Admin\AppData\Local\Temp\7149.tmp
  "C:\Users\Admin\AppData\Local\Temp\7149.tmp"
  2⤵
  PID:2604

C:\Users\Admin\AppData\Local\Temp\71B7.tmp
"C:\Users\Admin\AppData\Local\Temp\71B7.tmp"
1⤵
PID:2836
- C:\Users\Admin\AppData\Local\Temp\71F5.tmp
  "C:\Users\Admin\AppData\Local\Temp\71F5.tmp"
  2⤵
  PID:2548
- C:\Users\Admin\AppData\Local\Temp\6326.tmp
  "C:\Users\Admin\AppData\Local\Temp\6326.tmp"
  2⤵
  PID:2548
- - C:\Users\Admin\AppData\Local\Temp\5467.tmp
    "C:\Users\Admin\AppData\Local\Temp\5467.tmp"
    3⤵
    PID:2112
  - - C:\Users\Admin\AppData\Local\Temp\37D2.tmp
      "C:\Users\Admin\AppData\Local\Temp\37D2.tmp"
      4⤵
      PID:2180
  - - C:\Users\Admin\AppData\Local\Temp\2A2C.tmp
      "C:\Users\Admin\AppData\Local\Temp\2A2C.tmp"
      4⤵
      PID:2180

C:\Users\Admin\AppData\Local\Temp\7188.tmp
"C:\Users\Admin\AppData\Local\Temp\7188.tmp"
1⤵
PID:2880
- C:\Users\Admin\AppData\Local\Temp\AF91.tmp
  "C:\Users\Admin\AppData\Local\Temp\AF91.tmp"
  2⤵
  PID:2876
- - C:\Users\Admin\AppData\Local\Temp\EEC2.tmp
    "C:\Users\Admin\AppData\Local\Temp\EEC2.tmp"
    3⤵
    PID:2548
  - - C:\Users\Admin\AppData\Local\Temp\EF00.tmp
      "C:\Users\Admin\AppData\Local\Temp\EF00.tmp"
      4⤵
      PID:2836

C:\Users\Admin\AppData\Local\Temp\7233.tmp
"C:\Users\Admin\AppData\Local\Temp\7233.tmp"
1⤵
PID:2112
- C:\Users\Admin\AppData\Local\Temp\7272.tmp
  "C:\Users\Admin\AppData\Local\Temp\7272.tmp"
  2⤵
  PID:1384
- C:\Users\Admin\AppData\Local\Temp\5496.tmp
  "C:\Users\Admin\AppData\Local\Temp\5496.tmp"
  2⤵
  PID:1324

C:\Users\Admin\AppData\Local\Temp\731D.tmp
"C:\Users\Admin\AppData\Local\Temp\731D.tmp"
1⤵
PID:2884
- C:\Users\Admin\AppData\Local\Temp\734C.tmp
  "C:\Users\Admin\AppData\Local\Temp\734C.tmp"
  2⤵
  PID:1420
- - C:\Users\Admin\AppData\Local\Temp\390A.tmp
    "C:\Users\Admin\AppData\Local\Temp\390A.tmp"
    3⤵
    PID:2944
- - C:\Users\Admin\AppData\Local\Temp\8391.tmp
    "C:\Users\Admin\AppData\Local\Temp\8391.tmp"
    3⤵
    PID:2624
  - - C:\Users\Admin\AppData\Local\Temp\83D0.tmp
      "C:\Users\Admin\AppData\Local\Temp\83D0.tmp"
      4⤵
      PID:2948

C:\Users\Admin\AppData\Local\Temp\74D2.tmp
"C:\Users\Admin\AppData\Local\Temp\74D2.tmp"
1⤵
PID:1736
- C:\Users\Admin\AppData\Local\Temp\7511.tmp
  "C:\Users\Admin\AppData\Local\Temp\7511.tmp"
  2⤵
  PID:1916
- - C:\Users\Admin\AppData\Local\Temp\E3AB.tmp
    "C:\Users\Admin\AppData\Local\Temp\E3AB.tmp"
    3⤵
    PID:1980
  - - C:\Users\Admin\AppData\Local\Temp\F325.tmp
      "C:\Users\Admin\AppData\Local\Temp\F325.tmp"
      4⤵
      PID:2008

C:\Users\Admin\AppData\Local\Temp\757E.tmp
"C:\Users\Admin\AppData\Local\Temp\757E.tmp"
1⤵
PID:2556

C:\Users\Admin\AppData\Local\Temp\754F.tmp
"C:\Users\Admin\AppData\Local\Temp\754F.tmp"
1⤵
PID:1048
- C:\Users\Admin\AppData\Local\Temp\A489.tmp
  "C:\Users\Admin\AppData\Local\Temp\A489.tmp"
  2⤵
  PID:2784

C:\Users\Admin\AppData\Local\Temp\780D.tmp
"C:\Users\Admin\AppData\Local\Temp\780D.tmp"
1⤵
PID:2572

C:\Users\Admin\AppData\Local\Temp\77DE.tmp
"C:\Users\Admin\AppData\Local\Temp\77DE.tmp"
1⤵
PID:1968
- C:\Users\Admin\AppData\Local\Temp\3044.tmp
  "C:\Users\Admin\AppData\Local\Temp\3044.tmp"
  2⤵
  PID:1012

C:\Users\Admin\AppData\Local\Temp\7494.tmp
"C:\Users\Admin\AppData\Local\Temp\7494.tmp"
1⤵
PID:2100
- C:\Users\Admin\AppData\Local\Temp\9405.tmp
  "C:\Users\Admin\AppData\Local\Temp\9405.tmp"
  2⤵
  PID:2584
- - C:\Users\Admin\AppData\Local\Temp\9444.tmp
    "C:\Users\Admin\AppData\Local\Temp\9444.tmp"
    3⤵
    PID:2588
- - C:\Users\Admin\AppData\Local\Temp\D317.tmp
    "C:\Users\Admin\AppData\Local\Temp\D317.tmp"
    3⤵
    PID:1472
  - - C:\Users\Admin\AppData\Local\Temp\D356.tmp
      "C:\Users\Admin\AppData\Local\Temp\D356.tmp"
      4⤵
      PID:1856

C:\Users\Admin\AppData\Local\Temp\7465.tmp
"C:\Users\Admin\AppData\Local\Temp\7465.tmp"
1⤵
PID:1760

C:\Users\Admin\AppData\Local\Temp\70CD.tmp
"C:\Users\Admin\AppData\Local\Temp\70CD.tmp"
1⤵
PID:2080

C:\Users\Admin\AppData\Local\Temp\7011.tmp
"C:\Users\Admin\AppData\Local\Temp\7011.tmp"
1⤵
PID:2772

C:\Users\Admin\AppData\Local\Temp\6FE3.tmp
"C:\Users\Admin\AppData\Local\Temp\6FE3.tmp"
1⤵
PID:2728

C:\Users\Admin\AppData\Local\Temp\6F47.tmp
"C:\Users\Admin\AppData\Local\Temp\6F47.tmp"
1⤵
PID:2760
- C:\Users\Admin\AppData\Local\Temp\BCBA.tmp
  "C:\Users\Admin\AppData\Local\Temp\BCBA.tmp"
  2⤵
  PID:2724

C:\Users\Admin\AppData\Local\Temp\6ED9.tmp
"C:\Users\Admin\AppData\Local\Temp\6ED9.tmp"
1⤵
PID:2732
- C:\Users\Admin\AppData\Local\Temp\600A.tmp
  "C:\Users\Admin\AppData\Local\Temp\600A.tmp"
  2⤵
  PID:2904
- - C:\Users\Admin\AppData\Local\Temp\C8E.tmp
    "C:\Users\Admin\AppData\Local\Temp\C8E.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of WriteProcessMemory
    PID:3020

C:\Users\Admin\AppData\Local\Temp\6EAB.tmp
"C:\Users\Admin\AppData\Local\Temp\6EAB.tmp"
1⤵
PID:2832

C:\Users\Admin\AppData\Local\Temp\6DFF.tmp
"C:\Users\Admin\AppData\Local\Temp\6DFF.tmp"
1⤵
PID:2300

C:\Users\Admin\AppData\Local\Temp\6DD0.tmp
"C:\Users\Admin\AppData\Local\Temp\6DD0.tmp"
1⤵
PID:2688
- C:\Users\Admin\AppData\Local\Temp\423E.tmp
  "C:\Users\Admin\AppData\Local\Temp\423E.tmp"
  2⤵
  PID:2300

C:\Users\Admin\AppData\Local\Temp\7964.tmp
"C:\Users\Admin\AppData\Local\Temp\7964.tmp"
1⤵
PID:2860
- C:\Users\Admin\AppData\Local\Temp\79A3.tmp
  "C:\Users\Admin\AppData\Local\Temp\79A3.tmp"
  2⤵
  PID:1768
- C:\Users\Admin\AppData\Local\Temp\5BD6.tmp
  "C:\Users\Admin\AppData\Local\Temp\5BD6.tmp"
  2⤵
  PID:956
- - C:\Users\Admin\AppData\Local\Temp\98D6.tmp
    "C:\Users\Admin\AppData\Local\Temp\98D6.tmp"
    3⤵
    PID:2444
  - - C:\Users\Admin\AppData\Local\Temp\9914.tmp
      "C:\Users\Admin\AppData\Local\Temp\9914.tmp"
      4⤵
      PID:1724
    - - C:\Users\Admin\AppData\Local\Temp\9953.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9953.tmp"
        5⤵
        
        PID:1788
      - C:\Users\Admin\AppData\Local\Temp\9991.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9991.tmp"
        6⤵
        
        PID:2336
        
        C:\Users\Admin\AppData\Local\Temp\99DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\99DF.tmp"
        7⤵
        
        PID:2188

C:\Users\Admin\AppData\Local\Temp\79D1.tmp
"C:\Users\Admin\AppData\Local\Temp\79D1.tmp"
1⤵
PID:2920
- C:\Users\Admin\AppData\Local\Temp\4D46.tmp
  "C:\Users\Admin\AppData\Local\Temp\4D46.tmp"
  2⤵
  PID:1756
- - C:\Users\Admin\AppData\Local\Temp\A8CD.tmp
    "C:\Users\Admin\AppData\Local\Temp\A8CD.tmp"
    3⤵
    PID:1768
  - - C:\Users\Admin\AppData\Local\Temp\A90B.tmp
      "C:\Users\Admin\AppData\Local\Temp\A90B.tmp"
      4⤵
      PID:2920
    - - C:\Users\Admin\AppData\Local\Temp\EB97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB97.tmp"
        5⤵
        
        PID:2820
      - C:\Users\Admin\AppData\Local\Temp\EBD5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EBD5.tmp"
        6⤵
        
        PID:2720
        
        C:\Users\Admin\AppData\Local\Temp\EC14.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC14.tmp"
        7⤵
        
        PID:2260
  - - C:\Users\Admin\AppData\Local\Temp\D884.tmp
      "C:\Users\Admin\AppData\Local\Temp\D884.tmp"
      4⤵
      PID:1392
    - - C:\Users\Admin\AppData\Local\Temp\D8C2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D8C2.tmp"
        5⤵
        
        PID:812
- C:\Users\Admin\AppData\Local\Temp\A94A.tmp
  "C:\Users\Admin\AppData\Local\Temp\A94A.tmp"
  2⤵
  PID:1684

C:\Users\Admin\AppData\Local\Temp\7926.tmp
"C:\Users\Admin\AppData\Local\Temp\7926.tmp"
1⤵
PID:328
- C:\Users\Admin\AppData\Local\Temp\5B98.tmp
  "C:\Users\Admin\AppData\Local\Temp\5B98.tmp"
  2⤵
  PID:2860

C:\Users\Admin\AppData\Local\Temp\78F7.tmp
"C:\Users\Admin\AppData\Local\Temp\78F7.tmp"
1⤵
PID:1680
- C:\Users\Admin\AppData\Local\Temp\5B69.tmp
  "C:\Users\Admin\AppData\Local\Temp\5B69.tmp"
  2⤵
  PID:328
- - C:\Users\Admin\AppData\Local\Temp\9897.tmp
    "C:\Users\Admin\AppData\Local\Temp\9897.tmp"
    3⤵
    PID:956

C:\Users\Admin\AppData\Local\Temp\6D73.tmp
"C:\Users\Admin\AppData\Local\Temp\6D73.tmp"
1⤵
PID:1704
- C:\Users\Admin\AppData\Local\Temp\BA98.tmp
  "C:\Users\Admin\AppData\Local\Temp\BA98.tmp"
  2⤵
  PID:2268
- - C:\Users\Admin\AppData\Local\Temp\BAC7.tmp
    "C:\Users\Admin\AppData\Local\Temp\BAC7.tmp"
    3⤵
    PID:1500
  - - C:\Users\Admin\AppData\Local\Temp\BB05.tmp
      "C:\Users\Admin\AppData\Local\Temp\BB05.tmp"
      4⤵
      PID:2520
  - - C:\Users\Admin\AppData\Local\Temp\DAE4.tmp
      "C:\Users\Admin\AppData\Local\Temp\DAE4.tmp"
      4⤵
      PID:1560
    - - C:\Users\Admin\AppData\Local\Temp\DB23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB23.tmp"
        5⤵
        
        PID:2924
- - C:\Users\Admin\AppData\Local\Temp\DAA6.tmp
    "C:\Users\Admin\AppData\Local\Temp\DAA6.tmp"
    3⤵
    PID:1500

C:\Users\Admin\AppData\Local\Temp\6B70.tmp
"C:\Users\Admin\AppData\Local\Temp\6B70.tmp"
1⤵
PID:1796

C:\Users\Admin\AppData\Local\Temp\6A38.tmp
"C:\Users\Admin\AppData\Local\Temp\6A38.tmp"
1⤵
PID:1928
- C:\Users\Admin\AppData\Local\Temp\E753.tmp
  "C:\Users\Admin\AppData\Local\Temp\E753.tmp"
  2⤵
  PID:916

C:\Users\Admin\AppData\Local\Temp\67D7.tmp
"C:\Users\Admin\AppData\Local\Temp\67D7.tmp"
1⤵
PID:1804
- C:\Users\Admin\AppData\Local\Temp\95D9.tmp
  "C:\Users\Admin\AppData\Local\Temp\95D9.tmp"
  2⤵
  PID:840

C:\Users\Admin\AppData\Local\Temp\671C.tmp
"C:\Users\Admin\AppData\Local\Temp\671C.tmp"
1⤵
PID:396
- C:\Users\Admin\AppData\Local\Temp\954D.tmp
  "C:\Users\Admin\AppData\Local\Temp\954D.tmp"
  2⤵
  PID:2072
- - C:\Users\Admin\AppData\Local\Temp\957C.tmp
    "C:\Users\Admin\AppData\Local\Temp\957C.tmp"
    3⤵
    PID:1040
- - C:\Users\Admin\AppData\Local\Temp\C39D.tmp
    "C:\Users\Admin\AppData\Local\Temp\C39D.tmp"
    3⤵
    PID:1040
  - - C:\Users\Admin\AppData\Local\Temp\C3CC.tmp
      "C:\Users\Admin\AppData\Local\Temp\C3CC.tmp"
      4⤵
      PID:996
    - - C:\Users\Admin\AppData\Local\Temp\C439.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C439.tmp"
        5⤵
        
        PID:2060
      - C:\Users\Admin\AppData\Local\Temp\C497.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C497.tmp"
        6⤵
        
        PID:2000
  - - C:\Users\Admin\AppData\Local\Temp\D44F.tmp
      "C:\Users\Admin\AppData\Local\Temp\D44F.tmp"
      4⤵
      PID:996
    - - C:\Users\Admin\AppData\Local\Temp\D48E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D48E.tmp"
        5⤵
        
        PID:2060
      - C:\Users\Admin\AppData\Local\Temp\D4FB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D4FB.tmp"
        6⤵
        
        PID:2000
        
        C:\Users\Admin\AppData\Local\Temp\D568.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D568.tmp"
        7⤵
        
        PID:1640
        
        C:\Users\Admin\AppData\Local\Temp\D5B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D5B6.tmp"
        8⤵
        
        PID:1104

C:\Users\Admin\AppData\Local\Temp\6603.tmp
"C:\Users\Admin\AppData\Local\Temp\6603.tmp"
1⤵
PID:1868
- C:\Users\Admin\AppData\Local\Temp\4894.tmp
  "C:\Users\Admin\AppData\Local\Temp\4894.tmp"
  2⤵
  PID:1632
- C:\Users\Admin\AppData\Local\Temp\3A52.tmp
  "C:\Users\Admin\AppData\Local\Temp\3A52.tmp"
  2⤵
  PID:2240
- - C:\Users\Admin\AppData\Local\Temp\8556.tmp
    "C:\Users\Admin\AppData\Local\Temp\8556.tmp"
    3⤵
    PID:2976
  - - C:\Users\Admin\AppData\Local\Temp\8594.tmp
      "C:\Users\Admin\AppData\Local\Temp\8594.tmp"
      4⤵
      PID:668
- C:\Users\Admin\AppData\Local\Temp\2C9C.tmp
  "C:\Users\Admin\AppData\Local\Temp\2C9C.tmp"
  2⤵
  PID:1632

C:\Users\Admin\AppData\Local\Temp\6558.tmp
"C:\Users\Admin\AppData\Local\Temp\6558.tmp"
1⤵
PID:1232
- C:\Users\Admin\AppData\Local\Temp\D1C0.tmp
  "C:\Users\Admin\AppData\Local\Temp\D1C0.tmp"
  2⤵
  PID:2956
- - C:\Users\Admin\AppData\Local\Temp\D1FF.tmp
    "C:\Users\Admin\AppData\Local\Temp\D1FF.tmp"
    3⤵
    PID:1944
  - - C:\Users\Admin\AppData\Local\Temp\D29B.tmp
      "C:\Users\Admin\AppData\Local\Temp\D29B.tmp"
      4⤵
      PID:1632
    - - C:\Users\Admin\AppData\Local\Temp\D2D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2D9.tmp"
        5⤵
        
        PID:2584
  - - C:\Users\Admin\AppData\Local\Temp\E2F0.tmp
      "C:\Users\Admin\AppData\Local\Temp\E2F0.tmp"
      4⤵
      PID:1908
    - - C:\Users\Admin\AppData\Local\Temp\F26A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F26A.tmp"
        5⤵
        
        PID:2588

C:\Users\Admin\AppData\Local\Temp\6420.tmp
"C:\Users\Admin\AppData\Local\Temp\6420.tmp"
1⤵
PID:2940

C:\Users\Admin\AppData\Local\Temp\62E8.tmp
"C:\Users\Admin\AppData\Local\Temp\62E8.tmp"
1⤵
PID:2836

C:\Users\Admin\AppData\Local\Temp\622C.tmp
"C:\Users\Admin\AppData\Local\Temp\622C.tmp"
1⤵
PID:2132

C:\Users\Admin\AppData\Local\Temp\6049.tmp
"C:\Users\Admin\AppData\Local\Temp\6049.tmp"
1⤵
PID:2892
- C:\Users\Admin\AppData\Local\Temp\8EB8.tmp
  "C:\Users\Admin\AppData\Local\Temp\8EB8.tmp"
  2⤵
  PID:2720

C:\Users\Admin\AppData\Local\Temp\5E17.tmp
"C:\Users\Admin\AppData\Local\Temp\5E17.tmp"
1⤵
PID:2248
- C:\Users\Admin\AppData\Local\Temp\7C70.tmp
  "C:\Users\Admin\AppData\Local\Temp\7C70.tmp"
  2⤵
  PID:2268

C:\Users\Admin\AppData\Local\Temp\5AAE.tmp
"C:\Users\Admin\AppData\Local\Temp\5AAE.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1808
- C:\Users\Admin\AppData\Local\Temp\14F7.tmp
  "C:\Users\Admin\AppData\Local\Temp\14F7.tmp"
  2⤵
  - Executes dropped EXE
  PID:2244
- - C:\Users\Admin\AppData\Local\Temp\88DF.tmp
    "C:\Users\Admin\AppData\Local\Temp\88DF.tmp"
    3⤵
    PID:1360
  - - C:\Users\Admin\AppData\Local\Temp\890D.tmp
      "C:\Users\Admin\AppData\Local\Temp\890D.tmp"
      4⤵
      PID:1036
    - - C:\Users\Admin\AppData\Local\Temp\894C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\894C.tmp"
        5⤵
        
        PID:1612
      - C:\Users\Admin\AppData\Local\Temp\897B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\897B.tmp"
        6⤵
        
        PID:1424
        
        C:\Users\Admin\AppData\Local\Temp\89A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\89A9.tmp"
        7⤵
        
        PID:3032
    - - C:\Users\Admin\AppData\Local\Temp\C774.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C774.tmp"
        5⤵
        
        PID:904
  - - C:\Users\Admin\AppData\Local\Temp\B77D.tmp
      "C:\Users\Admin\AppData\Local\Temp\B77D.tmp"
      4⤵
      PID:760
    - - C:\Users\Admin\AppData\Local\Temp\B7BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7BB.tmp"
        5⤵
        
        PID:500

C:\Users\Admin\AppData\Local\Temp\5A02.tmp
"C:\Users\Admin\AppData\Local\Temp\5A02.tmp"
1⤵
PID:604
- C:\Users\Admin\AppData\Local\Temp\87E5.tmp
  "C:\Users\Admin\AppData\Local\Temp\87E5.tmp"
  2⤵
  PID:452
- - C:\Users\Admin\AppData\Local\Temp\C5EE.tmp
    "C:\Users\Admin\AppData\Local\Temp\C5EE.tmp"
    3⤵
    PID:2768
  - - C:\Users\Admin\AppData\Local\Temp\C62C.tmp
      "C:\Users\Admin\AppData\Local\Temp\C62C.tmp"
      4⤵
      PID:1548
    - - C:\Users\Admin\AppData\Local\Temp\C66B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C66B.tmp"
        5⤵
        
        PID:3036
      - C:\Users\Admin\AppData\Local\Temp\C6C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6C8.tmp"
        6⤵
        
        PID:2792
        
        C:\Users\Admin\AppData\Local\Temp\C707.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C707.tmp"
        7⤵
        
        PID:916
        
        C:\Users\Admin\AppData\Local\Temp\C735.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C735.tmp"
        8⤵
        
        PID:1036
        
        C:\Users\Admin\AppData\Local\Temp\D807.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D807.tmp"
        9⤵
        
        PID:904
        
        C:\Users\Admin\AppData\Local\Temp\D845.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D845.tmp"
        10⤵
        
        PID:1768
        
        C:\Users\Admin\AppData\Local\Temp\F805.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F805.tmp"
        11⤵
        
        PID:2644
        
        C:\Users\Admin\AppData\Local\Temp\E791.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E791.tmp"
        8⤵
        
        PID:1756
        
        C:\Users\Admin\AppData\Local\Temp\E7C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7C0.tmp"
        9⤵
        
        PID:2040
        
        C:\Users\Admin\AppData\Local\Temp\F7D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F7D6.tmp"
        10⤵
        
        PID:1768
  - - C:\Users\Admin\AppData\Local\Temp\D6DF.tmp
      "C:\Users\Admin\AppData\Local\Temp\D6DF.tmp"
      4⤵
      PID:2280
    - - C:\Users\Admin\AppData\Local\Temp\D71D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D71D.tmp"
        5⤵
        
        PID:2120
    - - C:\Users\Admin\AppData\Local\Temp\F641.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F641.tmp"
        5⤵
        
        PID:2120
      - C:\Users\Admin\AppData\Local\Temp\F67F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F67F.tmp"
        6⤵
        
        PID:1928
        
        C:\Users\Admin\AppData\Local\Temp\F6FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F6FC.tmp"
        7⤵
        
        PID:916
        
        C:\Users\Admin\AppData\Local\Temp\F75A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F75A.tmp"
        8⤵
        
        PID:1756
        
        C:\Users\Admin\AppData\Local\Temp\F798.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F798.tmp"
        9⤵
        
        PID:2040

C:\Users\Admin\AppData\Local\Temp\580F.tmp
"C:\Users\Admin\AppData\Local\Temp\580F.tmp"
1⤵
PID:2556
- C:\Users\Admin\AppData\Local\Temp\4950.tmp
  "C:\Users\Admin\AppData\Local\Temp\4950.tmp"
  2⤵
  PID:2784
- - C:\Users\Admin\AppData\Local\Temp\3B4C.tmp
    "C:\Users\Admin\AppData\Local\Temp\3B4C.tmp"
    3⤵
    PID:3036
- C:\Users\Admin\AppData\Local\Temp\3B0D.tmp
  "C:\Users\Admin\AppData\Local\Temp\3B0D.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2784
- - C:\Users\Admin\AppData\Local\Temp\120A.tmp
    "C:\Users\Admin\AppData\Local\Temp\120A.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1912
- - C:\Users\Admin\AppData\Local\Temp\A4C7.tmp
    "C:\Users\Admin\AppData\Local\Temp\A4C7.tmp"
    3⤵
    PID:3044
  - - C:\Users\Admin\AppData\Local\Temp\A506.tmp
      "C:\Users\Admin\AppData\Local\Temp\A506.tmp"
      4⤵
      PID:2156
- C:\Users\Admin\AppData\Local\Temp\2D48.tmp
  "C:\Users\Admin\AppData\Local\Temp\2D48.tmp"
  2⤵
  PID:2064

C:\Users\Admin\AppData\Local\Temp\57E0.tmp
"C:\Users\Admin\AppData\Local\Temp\57E0.tmp"
1⤵
PID:2588
- C:\Users\Admin\AppData\Local\Temp\9492.tmp
  "C:\Users\Admin\AppData\Local\Temp\9492.tmp"
  2⤵
  PID:1476
- - C:\Users\Admin\AppData\Local\Temp\94D0.tmp
    "C:\Users\Admin\AppData\Local\Temp\94D0.tmp"
    3⤵
    PID:2008
  - - C:\Users\Admin\AppData\Local\Temp\D3D3.tmp
      "C:\Users\Admin\AppData\Local\Temp\D3D3.tmp"
      4⤵
      PID:2072
    - - C:\Users\Admin\AppData\Local\Temp\D411.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D411.tmp"
        5⤵
        
        PID:1040

C:\Users\Admin\AppData\Local\Temp\5679.tmp
"C:\Users\Admin\AppData\Local\Temp\5679.tmp"
1⤵
PID:1848
- C:\Users\Admin\AppData\Local\Temp\92ED.tmp
  "C:\Users\Admin\AppData\Local\Temp\92ED.tmp"
  2⤵
  PID:768

C:\Users\Admin\AppData\Local\Temp\563B.tmp
"C:\Users\Admin\AppData\Local\Temp\563B.tmp"
1⤵
PID:2540
- C:\Users\Admin\AppData\Local\Temp\A219.tmp
  "C:\Users\Admin\AppData\Local\Temp\A219.tmp"
  2⤵
  PID:1056
- - C:\Users\Admin\AppData\Local\Temp\A277.tmp
    "C:\Users\Admin\AppData\Local\Temp\A277.tmp"
    3⤵
    PID:2668
  - - C:\Users\Admin\AppData\Local\Temp\A2C5.tmp
      "C:\Users\Admin\AppData\Local\Temp\A2C5.tmp"
      4⤵
      PID:1696

C:\Users\Admin\AppData\Local\Temp\5004.tmp
"C:\Users\Admin\AppData\Local\Temp\5004.tmp"
1⤵
PID:2468
- C:\Users\Admin\AppData\Local\Temp\9BF1.tmp
  "C:\Users\Admin\AppData\Local\Temp\9BF1.tmp"
  2⤵
  PID:2688

C:\Users\Admin\AppData\Local\Temp\48D3.tmp
"C:\Users\Admin\AppData\Local\Temp\48D3.tmp"
1⤵
PID:2320

C:\Users\Admin\AppData\Local\Temp\4663.tmp
"C:\Users\Admin\AppData\Local\Temp\4663.tmp"
1⤵
PID:2480
- C:\Users\Admin\AppData\Local\Temp\91B5.tmp
  "C:\Users\Admin\AppData\Local\Temp\91B5.tmp"
  2⤵
  PID:1260

C:\Users\Admin\AppData\Local\Temp\4634.tmp
"C:\Users\Admin\AppData\Local\Temp\4634.tmp"
1⤵
PID:1692
- C:\Users\Admin\AppData\Local\Temp\A074.tmp
  "C:\Users\Admin\AppData\Local\Temp\A074.tmp"
  2⤵
  PID:2180
- - C:\Users\Admin\AppData\Local\Temp\A0B2.tmp
    "C:\Users\Admin\AppData\Local\Temp\A0B2.tmp"
    3⤵
    PID:912

C:\Users\Admin\AppData\Local\Temp\4605.tmp
"C:\Users\Admin\AppData\Local\Temp\4605.tmp"
1⤵
PID:1052
- C:\Users\Admin\AppData\Local\Temp\F3D.tmp
  "C:\Users\Admin\AppData\Local\Temp\F3D.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:912
- - C:\Users\Admin\AppData\Local\Temp\A0F1.tmp
    "C:\Users\Admin\AppData\Local\Temp\A0F1.tmp"
    3⤵
    PID:1636

C:\Users\Admin\AppData\Local\Temp\40C8.tmp
"C:\Users\Admin\AppData\Local\Temp\40C8.tmp"
1⤵
PID:304

C:\Users\Admin\AppData\Local\Temp\3949.tmp
"C:\Users\Admin\AppData\Local\Temp\3949.tmp"
1⤵
PID:2956
- C:\Users\Admin\AppData\Local\Temp\2BE1.tmp
  "C:\Users\Admin\AppData\Local\Temp\2BE1.tmp"
  2⤵
  PID:2948
- - C:\Users\Admin\AppData\Local\Temp\1075.tmp
    "C:\Users\Admin\AppData\Local\Temp\1075.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1292
  - - C:\Users\Admin\AppData\Local\Temp\9647.tmp
      "C:\Users\Admin\AppData\Local\Temp\9647.tmp"
      4⤵
      PID:1104
    - - C:\Users\Admin\AppData\Local\Temp\D5F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D5F5.tmp"
        5⤵
        
        PID:1744
      - C:\Users\Admin\AppData\Local\Temp\F557.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F557.tmp"
        6⤵
        
        PID:2256

C:\Users\Admin\AppData\Local\Temp\3811.tmp
"C:\Users\Admin\AppData\Local\Temp\3811.tmp"
1⤵
PID:912

C:\Users\Admin\AppData\Local\Temp\339E.tmp
"C:\Users\Admin\AppData\Local\Temp\339E.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1500
- C:\Users\Admin\AppData\Local\Temp\1803.tmp
  "C:\Users\Admin\AppData\Local\Temp\1803.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  PID:2108

C:\Users\Admin\AppData\Local\Temp\3360.tmp
"C:\Users\Admin\AppData\Local\Temp\3360.tmp"
1⤵
PID:2268
- C:\Users\Admin\AppData\Local\Temp\7CAF.tmp
  "C:\Users\Admin\AppData\Local\Temp\7CAF.tmp"
  2⤵
  PID:1700
- - C:\Users\Admin\AppData\Local\Temp\CA41.tmp
    "C:\Users\Admin\AppData\Local\Temp\CA41.tmp"
    3⤵
    PID:1560

C:\Users\Admin\AppData\Local\Temp\32B4.tmp
"C:\Users\Admin\AppData\Local\Temp\32B4.tmp"
1⤵
PID:1800
- C:\Users\Admin\AppData\Local\Temp\252D.tmp
  "C:\Users\Admin\AppData\Local\Temp\252D.tmp"
  2⤵
  PID:304

C:\Users\Admin\AppData\Local\Temp\3285.tmp
"C:\Users\Admin\AppData\Local\Temp\3285.tmp"
1⤵
PID:3052

C:\Users\Admin\AppData\Local\Temp\3256.tmp
"C:\Users\Admin\AppData\Local\Temp\3256.tmp"
1⤵
PID:2044
- C:\Users\Admin\AppData\Local\Temp\7B38.tmp
  "C:\Users\Admin\AppData\Local\Temp\7B38.tmp"
  2⤵
  PID:2304
- - C:\Users\Admin\AppData\Local\Temp\7B77.tmp
    "C:\Users\Admin\AppData\Local\Temp\7B77.tmp"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:304
  - - C:\Users\Admin\AppData\Local\Temp\C948.tmp
      "C:\Users\Admin\AppData\Local\Temp\C948.tmp"
      4⤵
      PID:1732
    - - C:\Users\Admin\AppData\Local\Temp\DA39.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA39.tmp"
        5⤵
        
        PID:3060
      - C:\Users\Admin\AppData\Local\Temp\DA77.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA77.tmp"
        6⤵
        
        PID:2268
- - C:\Users\Admin\AppData\Local\Temp\9AB9.tmp
    "C:\Users\Admin\AppData\Local\Temp\9AB9.tmp"
    3⤵
    PID:2664
  - - C:\Users\Admin\AppData\Local\Temp\9AF8.tmp
      "C:\Users\Admin\AppData\Local\Temp\9AF8.tmp"
      4⤵
      PID:1576

C:\Users\Admin\AppData\Local\Temp\3082.tmp
"C:\Users\Admin\AppData\Local\Temp\3082.tmp"
1⤵
PID:1964
- C:\Users\Admin\AppData\Local\Temp\B700.tmp
  "C:\Users\Admin\AppData\Local\Temp\B700.tmp"
  2⤵
  PID:1668

C:\Users\Admin\AppData\Local\Temp\2DB5.tmp
"C:\Users\Admin\AppData\Local\Temp\2DB5.tmp"
1⤵
PID:2056
- C:\Users\Admin\AppData\Local\Temp\1FD0.tmp
  "C:\Users\Admin\AppData\Local\Temp\1FD0.tmp"
  2⤵
  PID:3032
- - C:\Users\Admin\AppData\Local\Temp\89E8.tmp
    "C:\Users\Admin\AppData\Local\Temp\89E8.tmp"
    3⤵
    PID:1392
  - - C:\Users\Admin\AppData\Local\Temp\C82F.tmp
      "C:\Users\Admin\AppData\Local\Temp\C82F.tmp"
      4⤵
      PID:812
    - - C:\Users\Admin\AppData\Local\Temp\D901.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D901.tmp"
        5⤵
        
        PID:1796
      - C:\Users\Admin\AppData\Local\Temp\D93F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D93F.tmp"
        6⤵
        
        PID:2364
- C:\Users\Admin\AppData\Local\Temp\B3B5.tmp
  "C:\Users\Admin\AppData\Local\Temp\B3B5.tmp"
  2⤵
  PID:2120
- - C:\Users\Admin\AppData\Local\Temp\D74C.tmp
    "C:\Users\Admin\AppData\Local\Temp\D74C.tmp"
    3⤵
    PID:2792
  - - C:\Users\Admin\AppData\Local\Temp\D78A.tmp
      "C:\Users\Admin\AppData\Local\Temp\D78A.tmp"
      4⤵
      PID:892

C:\Users\Admin\AppData\Local\Temp\2D76.tmp
"C:\Users\Admin\AppData\Local\Temp\2D76.tmp"
1⤵
PID:2976

C:\Users\Admin\AppData\Local\Temp\2971.tmp
"C:\Users\Admin\AppData\Local\Temp\2971.tmp"
1⤵
PID:2548
- C:\Users\Admin\AppData\Local\Temp\E43.tmp
  "C:\Users\Admin\AppData\Local\Temp\E43.tmp"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:1300

C:\Users\Admin\AppData\Local\Temp\208B.tmp
"C:\Users\Admin\AppData\Local\Temp\208B.tmp"
1⤵
PID:788

C:\Users\Admin\AppData\Local\Temp\1BDA.tmp
"C:\Users\Admin\AppData\Local\Temp\1BDA.tmp"
1⤵
PID:1740
- C:\Users\Admin\AppData\Local\Temp\AF14.tmp
  "C:\Users\Admin\AppData\Local\Temp\AF14.tmp"
  2⤵
  PID:2968
- - C:\Users\Admin\AppData\Local\Temp\AF52.tmp
    "C:\Users\Admin\AppData\Local\Temp\AF52.tmp"
    3⤵
    PID:2880

C:\Users\Admin\AppData\Local\Temp\1AB2.tmp
"C:\Users\Admin\AppData\Local\Temp\1AB2.tmp"
1⤵
PID:2648
- C:\Users\Admin\AppData\Local\Temp\7EE0.tmp
  "C:\Users\Admin\AppData\Local\Temp\7EE0.tmp"
  2⤵
  PID:2972
- - C:\Users\Admin\AppData\Local\Temp\ADFB.tmp
    "C:\Users\Admin\AppData\Local\Temp\ADFB.tmp"
    3⤵
    PID:1712

C:\Users\Admin\AppData\Local\Temp\10C3.tmp
"C:\Users\Admin\AppData\Local\Temp\10C3.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2700
- C:\Users\Admin\AppData\Local\Temp\8353.tmp
  "C:\Users\Admin\AppData\Local\Temp\8353.tmp"
  2⤵
  PID:1420

C:\Users\Admin\AppData\Local\Temp\EFE.tmp
"C:\Users\Admin\AppData\Local\Temp\EFE.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1052
- C:\Users\Admin\AppData\Local\Temp\BF69.tmp
  "C:\Users\Admin\AppData\Local\Temp\BF69.tmp"
  2⤵
  PID:852
- - C:\Users\Admin\AppData\Local\Temp\BF97.tmp
    "C:\Users\Admin\AppData\Local\Temp\BF97.tmp"
    3⤵
    PID:2480
  - - C:\Users\Admin\AppData\Local\Temp\BFD6.tmp
      "C:\Users\Admin\AppData\Local\Temp\BFD6.tmp"
      4⤵
      PID:2440

C:\Users\Admin\AppData\Local\Temp\C12.tmp
"C:\Users\Admin\AppData\Local\Temp\C12.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2756
- C:\Users\Admin\AppData\Local\Temp\9E42.tmp
  "C:\Users\Admin\AppData\Local\Temp\9E42.tmp"
  2⤵
  PID:3020
- - C:\Users\Admin\AppData\Local\Temp\9E81.tmp
    "C:\Users\Admin\AppData\Local\Temp\9E81.tmp"
    3⤵
    PID:2348
- - C:\Users\Admin\AppData\Local\Temp\CD2E.tmp
    "C:\Users\Admin\AppData\Local\Temp\CD2E.tmp"
    3⤵
    PID:2428

C:\Users\Admin\AppData\Local\Temp\7CDD.tmp
"C:\Users\Admin\AppData\Local\Temp\7CDD.tmp"
1⤵
PID:1600
- C:\Users\Admin\AppData\Local\Temp\7D0C.tmp
  "C:\Users\Admin\AppData\Local\Temp\7D0C.tmp"
  2⤵
  PID:2736
- - C:\Users\Admin\AppData\Local\Temp\7D4B.tmp
    "C:\Users\Admin\AppData\Local\Temp\7D4B.tmp"
    3⤵
    PID:2908
  - - C:\Users\Admin\AppData\Local\Temp\7D89.tmp
      "C:\Users\Admin\AppData\Local\Temp\7D89.tmp"
      4⤵
      PID:1532
    - - C:\Users\Admin\AppData\Local\Temp\AC94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC94.tmp"
        5⤵
        
        PID:1960
  - - C:\Users\Admin\AppData\Local\Temp\AC65.tmp
      "C:\Users\Admin\AppData\Local\Temp\AC65.tmp"
      4⤵
      PID:1532
- - C:\Users\Admin\AppData\Local\Temp\AC37.tmp
    "C:\Users\Admin\AppData\Local\Temp\AC37.tmp"
    3⤵
    PID:2908
- C:\Users\Admin\AppData\Local\Temp\8D32.tmp
  "C:\Users\Admin\AppData\Local\Temp\8D32.tmp"
  2⤵
  PID:2300
- - C:\Users\Admin\AppData\Local\Temp\8D71.tmp
    "C:\Users\Admin\AppData\Local\Temp\8D71.tmp"
    3⤵
    PID:2844

C:\Users\Admin\AppData\Local\Temp\7C32.tmp
"C:\Users\Admin\AppData\Local\Temp\7C32.tmp"
1⤵
PID:2248
- C:\Users\Admin\AppData\Local\Temp\CA03.tmp
  "C:\Users\Admin\AppData\Local\Temp\CA03.tmp"
  2⤵
  PID:1700
- - C:\Users\Admin\AppData\Local\Temp\EA6E.tmp
    "C:\Users\Admin\AppData\Local\Temp\EA6E.tmp"
    3⤵
    PID:2332
  - - C:\Users\Admin\AppData\Local\Temp\FAA4.tmp
      "C:\Users\Admin\AppData\Local\Temp\FAA4.tmp"
      4⤵
      PID:1620

C:\Users\Admin\AppData\Local\Temp\7AFA.tmp
"C:\Users\Admin\AppData\Local\Temp\7AFA.tmp"
1⤵
PID:2044
- C:\Users\Admin\AppData\Local\Temp\9A7B.tmp
  "C:\Users\Admin\AppData\Local\Temp\9A7B.tmp"
  2⤵
  PID:2304

C:\Users\Admin\AppData\Local\Temp\7ACB.tmp
"C:\Users\Admin\AppData\Local\Temp\7ACB.tmp"
1⤵
PID:2352
- C:\Users\Admin\AppData\Local\Temp\AA34.tmp
  "C:\Users\Admin\AppData\Local\Temp\AA34.tmp"
  2⤵
  PID:1160
- - C:\Users\Admin\AppData\Local\Temp\C8CB.tmp
    "C:\Users\Admin\AppData\Local\Temp\C8CB.tmp"
    3⤵
    PID:3056
  - - C:\Users\Admin\AppData\Local\Temp\C909.tmp
      "C:\Users\Admin\AppData\Local\Temp\C909.tmp"
      4⤵
      PID:304
    - - C:\Users\Admin\AppData\Local\Temp\E984.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E984.tmp"
        5⤵
        
        PID:320
  - - C:\Users\Admin\AppData\Local\Temp\D9BC.tmp
      "C:\Users\Admin\AppData\Local\Temp\D9BC.tmp"
      4⤵
      PID:880
    - - C:\Users\Admin\AppData\Local\Temp\D9FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D9FA.tmp"
        5⤵
        
        PID:1732

C:\Users\Admin\AppData\Local\Temp\7E63.tmp
"C:\Users\Admin\AppData\Local\Temp\7E63.tmp"
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2368
- C:\Users\Admin\AppData\Local\Temp\7EA2.tmp
  "C:\Users\Admin\AppData\Local\Temp\7EA2.tmp"
  2⤵
  - Executes dropped EXE
  PID:2648

C:\Users\Admin\AppData\Local\Temp\7F1F.tmp
"C:\Users\Admin\AppData\Local\Temp\7F1F.tmp"
1⤵
PID:1712
- C:\Users\Admin\AppData\Local\Temp\7F5D.tmp
  "C:\Users\Admin\AppData\Local\Temp\7F5D.tmp"
  2⤵
  PID:2492
- - C:\Users\Admin\AppData\Local\Temp\AE68.tmp
    "C:\Users\Admin\AppData\Local\Temp\AE68.tmp"
    3⤵
    PID:3000
  - - C:\Users\Admin\AppData\Local\Temp\AE97.tmp
      "C:\Users\Admin\AppData\Local\Temp\AE97.tmp"
      4⤵
      PID:1984
- C:\Users\Admin\AppData\Local\Temp\AE39.tmp
  "C:\Users\Admin\AppData\Local\Temp\AE39.tmp"
  2⤵
  PID:2492

C:\Users\Admin\AppData\Local\Temp\80B4.tmp
"C:\Users\Admin\AppData\Local\Temp\80B4.tmp"
1⤵
PID:2416
- C:\Users\Admin\AppData\Local\Temp\80F3.tmp
  "C:\Users\Admin\AppData\Local\Temp\80F3.tmp"
  2⤵
  PID:688
- C:\Users\Admin\AppData\Local\Temp\BEBD.tmp
  "C:\Users\Admin\AppData\Local\Temp\BEBD.tmp"
  2⤵
  PID:2580
- - C:\Users\Admin\AppData\Local\Temp\CED3.tmp
    "C:\Users\Admin\AppData\Local\Temp\CED3.tmp"
    3⤵
    PID:1648

C:\Users\Admin\AppData\Local\Temp\8131.tmp
"C:\Users\Admin\AppData\Local\Temp\8131.tmp"
1⤵
PID:1496

C:\Users\Admin\AppData\Local\Temp\85C3.tmp
"C:\Users\Admin\AppData\Local\Temp\85C3.tmp"
1⤵
PID:2500

C:\Users\Admin\AppData\Local\Temp\8B3F.tmp
"C:\Users\Admin\AppData\Local\Temp\8B3F.tmp"
1⤵
PID:2644
- C:\Users\Admin\AppData\Local\Temp\8B7D.tmp
  "C:\Users\Admin\AppData\Local\Temp\8B7D.tmp"
  2⤵
  PID:880
- C:\Users\Admin\AppData\Local\Temp\E84C.tmp
  "C:\Users\Admin\AppData\Local\Temp\E84C.tmp"
  2⤵
  PID:1832

C:\Users\Admin\AppData\Local\Temp\8BBC.tmp
"C:\Users\Admin\AppData\Local\Temp\8BBC.tmp"
1⤵
PID:332
- C:\Users\Admin\AppData\Local\Temp\8BFA.tmp
  "C:\Users\Admin\AppData\Local\Temp\8BFA.tmp"
  2⤵
  PID:3060

C:\Users\Admin\AppData\Local\Temp\8FE1.tmp
"C:\Users\Admin\AppData\Local\Temp\8FE1.tmp"
1⤵
PID:2744

C:\Users\Admin\AppData\Local\Temp\932B.tmp
"C:\Users\Admin\AppData\Local\Temp\932B.tmp"
1⤵
PID:2656

C:\Users\Admin\AppData\Local\Temp\90CB.tmp
"C:\Users\Admin\AppData\Local\Temp\90CB.tmp"
1⤵
PID:2872

C:\Users\Admin\AppData\Local\Temp\8EF7.tmp
"C:\Users\Admin\AppData\Local\Temp\8EF7.tmp"
1⤵
PID:2776

C:\Users\Admin\AppData\Local\Temp\8D9F.tmp
"C:\Users\Admin\AppData\Local\Temp\8D9F.tmp"
1⤵
PID:2504

C:\Users\Admin\AppData\Local\Temp\872A.tmp
"C:\Users\Admin\AppData\Local\Temp\872A.tmp"
1⤵
PID:1152

C:\Users\Admin\AppData\Local\Temp\982A.tmp
"C:\Users\Admin\AppData\Local\Temp\982A.tmp"
1⤵
PID:892
- C:\Users\Admin\AppData\Local\Temp\9869.tmp
  "C:\Users\Admin\AppData\Local\Temp\9869.tmp"
  2⤵
  PID:328
- C:\Users\Admin\AppData\Local\Temp\D7C9.tmp
  "C:\Users\Admin\AppData\Local\Temp\D7C9.tmp"
  2⤵
  PID:1036

C:\Users\Admin\AppData\Local\Temp\9A4C.tmp
"C:\Users\Admin\AppData\Local\Temp\9A4C.tmp"
1⤵
PID:2044

C:\Users\Admin\AppData\Local\Temp\9A0E.tmp
"C:\Users\Admin\AppData\Local\Temp\9A0E.tmp"
1⤵
PID:876

C:\Users\Admin\AppData\Local\Temp\9CAD.tmp
"C:\Users\Admin\AppData\Local\Temp\9CAD.tmp"
1⤵
PID:868

C:\Users\Admin\AppData\Local\Temp\9C7E.tmp
"C:\Users\Admin\AppData\Local\Temp\9C7E.tmp"
1⤵
PID:3028
- C:\Users\Admin\AppData\Local\Temp\CAED.tmp
  "C:\Users\Admin\AppData\Local\Temp\CAED.tmp"
  2⤵
  PID:3064
- - C:\Users\Admin\AppData\Local\Temp\CB2B.tmp
    "C:\Users\Admin\AppData\Local\Temp\CB2B.tmp"
    3⤵
    PID:868
  - - C:\Users\Admin\AppData\Local\Temp\CB6A.tmp
      "C:\Users\Admin\AppData\Local\Temp\CB6A.tmp"
      4⤵
      PID:2804
    - - C:\Users\Admin\AppData\Local\Temp\CBB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBB8.tmp"
        5⤵
        
        PID:2760
      - C:\Users\Admin\AppData\Local\Temp\CC06.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC06.tmp"
        6⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\CC54.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC54.tmp"
        7⤵
        
        PID:864
        
        C:\Users\Admin\AppData\Local\Temp\CCB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCB1.tmp"
        8⤵
        
        PID:2756
  - - C:\Users\Admin\AppData\Local\Temp\DBFD.tmp
      "C:\Users\Admin\AppData\Local\Temp\DBFD.tmp"
      4⤵
      PID:2616
    - - C:\Users\Admin\AppData\Local\Temp\DC3B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC3B.tmp"
        5⤵
        
        PID:2760
      - C:\Users\Admin\AppData\Local\Temp\DC89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC89.tmp"
        6⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\DCC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DCC8.tmp"
        7⤵
        
        PID:2800
        
        C:\Users\Admin\AppData\Local\Temp\DD54.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD54.tmp"
        8⤵
        
        PID:2756
        
        C:\Users\Admin\AppData\Local\Temp\DDB2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DDB2.tmp"
        9⤵
        
        PID:3020
        
        C:\Users\Admin\AppData\Local\Temp\ED0D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED0D.tmp"
        10⤵
        
        PID:2428
        
        C:\Users\Admin\AppData\Local\Temp\FC59.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC59.tmp"
        8⤵
        
        PID:2608
- - C:\Users\Admin\AppData\Local\Temp\DBCE.tmp
    "C:\Users\Admin\AppData\Local\Temp\DBCE.tmp"
    3⤵
    PID:868

C:\Users\Admin\AppData\Local\Temp\A1DB.tmp
"C:\Users\Admin\AppData\Local\Temp\A1DB.tmp"
1⤵
PID:2540

C:\Users\Admin\AppData\Local\Temp\A19C.tmp
"C:\Users\Admin\AppData\Local\Temp\A19C.tmp"
1⤵
PID:2020

C:\Users\Admin\AppData\Local\Temp\A035.tmp
"C:\Users\Admin\AppData\Local\Temp\A035.tmp"
1⤵
PID:1692

C:\Users\Admin\AppData\Local\Temp\A007.tmp
"C:\Users\Admin\AppData\Local\Temp\A007.tmp"
1⤵
PID:1516

C:\Users\Admin\AppData\Local\Temp\A322.tmp
"C:\Users\Admin\AppData\Local\Temp\A322.tmp"
1⤵
PID:1312
- C:\Users\Admin\AppData\Local\Temp\A361.tmp
  "C:\Users\Admin\AppData\Local\Temp\A361.tmp"
  2⤵
  PID:1092

C:\Users\Admin\AppData\Local\Temp\A3DD.tmp
"C:\Users\Admin\AppData\Local\Temp\A3DD.tmp"
1⤵
PID:1736
- C:\Users\Admin\AppData\Local\Temp\A41C.tmp
  "C:\Users\Admin\AppData\Local\Temp\A41C.tmp"
  2⤵
  PID:2288

C:\Users\Admin\AppData\Local\Temp\A544.tmp
"C:\Users\Admin\AppData\Local\Temp\A544.tmp"
1⤵
PID:1824
- C:\Users\Admin\AppData\Local\Temp\A583.tmp
  "C:\Users\Admin\AppData\Local\Temp\A583.tmp"
  2⤵
  PID:540
- - C:\Users\Admin\AppData\Local\Temp\A5D1.tmp
    "C:\Users\Admin\AppData\Local\Temp\A5D1.tmp"
    3⤵
    PID:2748
  - - C:\Users\Admin\AppData\Local\Temp\F3E0.tmp
      "C:\Users\Admin\AppData\Local\Temp\F3E0.tmp"
      4⤵
      PID:2796

C:\Users\Admin\AppData\Local\Temp\A44B.tmp
"C:\Users\Admin\AppData\Local\Temp\A44B.tmp"
1⤵
PID:1048

C:\Users\Admin\AppData\Local\Temp\A2F3.tmp
"C:\Users\Admin\AppData\Local\Temp\A2F3.tmp"
1⤵
PID:2104

C:\Users\Admin\AppData\Local\Temp\A6AB.tmp
"C:\Users\Admin\AppData\Local\Temp\A6AB.tmp"
1⤵
PID:1140
- C:\Users\Admin\AppData\Local\Temp\A6E9.tmp
  "C:\Users\Admin\AppData\Local\Temp\A6E9.tmp"
  2⤵
  PID:2448

C:\Users\Admin\AppData\Local\Temp\A66D.tmp
"C:\Users\Admin\AppData\Local\Temp\A66D.tmp"
1⤵
PID:2148

C:\Users\Admin\AppData\Local\Temp\A60F.tmp
"C:\Users\Admin\AppData\Local\Temp\A60F.tmp"
1⤵
PID:2084

C:\Users\Admin\AppData\Local\Temp\AFCF.tmp
"C:\Users\Admin\AppData\Local\Temp\AFCF.tmp"
1⤵
PID:2708
- C:\Users\Admin\AppData\Local\Temp\B00D.tmp
  "C:\Users\Admin\AppData\Local\Temp\B00D.tmp"
  2⤵
  PID:2592
- - C:\Users\Admin\AppData\Local\Temp\B04C.tmp
    "C:\Users\Admin\AppData\Local\Temp\B04C.tmp"
    3⤵
    PID:2168

C:\Users\Admin\AppData\Local\Temp\ADBD.tmp
"C:\Users\Admin\AppData\Local\Temp\ADBD.tmp"
1⤵
PID:2972

C:\Users\Admin\AppData\Local\Temp\B0C9.tmp
"C:\Users\Admin\AppData\Local\Temp\B0C9.tmp"
1⤵
PID:1384

C:\Users\Admin\AppData\Local\Temp\B339.tmp
"C:\Users\Admin\AppData\Local\Temp\B339.tmp"
1⤵
PID:1792
- C:\Users\Admin\AppData\Local\Temp\B377.tmp
  "C:\Users\Admin\AppData\Local\Temp\B377.tmp"
  2⤵
  PID:2056

C:\Users\Admin\AppData\Local\Temp\B3E4.tmp
"C:\Users\Admin\AppData\Local\Temp\B3E4.tmp"
1⤵
PID:2992

C:\Users\Admin\AppData\Local\Temp\B5D7.tmp
"C:\Users\Admin\AppData\Local\Temp\B5D7.tmp"
1⤵
PID:2256
- C:\Users\Admin\AppData\Local\Temp\B616.tmp
  "C:\Users\Admin\AppData\Local\Temp\B616.tmp"
  2⤵
  PID:2464
- C:\Users\Admin\AppData\Local\Temp\F595.tmp
  "C:\Users\Admin\AppData\Local\Temp\F595.tmp"
  2⤵
  PID:452
- - C:\Users\Admin\AppData\Local\Temp\F5C4.tmp
    "C:\Users\Admin\AppData\Local\Temp\F5C4.tmp"
    3⤵
    PID:284

C:\Users\Admin\AppData\Local\Temp\B654.tmp
"C:\Users\Admin\AppData\Local\Temp\B654.tmp"
1⤵
PID:2640
- C:\Users\Admin\AppData\Local\Temp\B693.tmp
  "C:\Users\Admin\AppData\Local\Temp\B693.tmp"
  2⤵
  PID:1344
- - C:\Users\Admin\AppData\Local\Temp\B6D1.tmp
    "C:\Users\Admin\AppData\Local\Temp\B6D1.tmp"
    3⤵
    PID:1964

C:\Users\Admin\AppData\Local\Temp\B52C.tmp
"C:\Users\Admin\AppData\Local\Temp\B52C.tmp"
1⤵
PID:1644

C:\Users\Admin\AppData\Local\Temp\B4CE.tmp
"C:\Users\Admin\AppData\Local\Temp\B4CE.tmp"
1⤵
PID:1488

C:\Users\Admin\AppData\Local\Temp\B99F.tmp
"C:\Users\Admin\AppData\Local\Temp\B99F.tmp"
1⤵
PID:2364
- C:\Users\Admin\AppData\Local\Temp\B9DD.tmp
  "C:\Users\Admin\AppData\Local\Temp\B9DD.tmp"
  2⤵
  PID:880
- - C:\Users\Admin\AppData\Local\Temp\BA1B.tmp
    "C:\Users\Admin\AppData\Local\Temp\BA1B.tmp"
    3⤵
    PID:1604
- C:\Users\Admin\AppData\Local\Temp\D97D.tmp
  "C:\Users\Admin\AppData\Local\Temp\D97D.tmp"
  2⤵
  PID:3056
- - C:\Users\Admin\AppData\Local\Temp\F93D.tmp
    "C:\Users\Admin\AppData\Local\Temp\F93D.tmp"
    3⤵
    PID:304

C:\Users\Admin\AppData\Local\Temp\BDF2.tmp
"C:\Users\Admin\AppData\Local\Temp\BDF2.tmp"
1⤵
PID:1588
- C:\Users\Admin\AppData\Local\Temp\CDDA.tmp
  "C:\Users\Admin\AppData\Local\Temp\CDDA.tmp"
  2⤵
  PID:2328

C:\Users\Admin\AppData\Local\Temp\C043.tmp
"C:\Users\Admin\AppData\Local\Temp\C043.tmp"
1⤵
PID:2952
- C:\Users\Admin\AppData\Local\Temp\D088.tmp
  "C:\Users\Admin\AppData\Local\Temp\D088.tmp"
  2⤵
  PID:1264
- - C:\Users\Admin\AppData\Local\Temp\D0C7.tmp
    "C:\Users\Admin\AppData\Local\Temp\D0C7.tmp"
    3⤵
    PID:2700

C:\Users\Admin\AppData\Local\Temp\C246.tmp
"C:\Users\Admin\AppData\Local\Temp\C246.tmp"
1⤵
PID:1608
- C:\Users\Admin\AppData\Local\Temp\C294.tmp
  "C:\Users\Admin\AppData\Local\Temp\C294.tmp"
  2⤵
  PID:1472

C:\Users\Admin\AppData\Local\Temp\C217.tmp
"C:\Users\Admin\AppData\Local\Temp\C217.tmp"
1⤵
PID:1632

C:\Users\Admin\AppData\Local\Temp\C2E2.tmp
"C:\Users\Admin\AppData\Local\Temp\C2E2.tmp"
1⤵
PID:1856
- C:\Users\Admin\AppData\Local\Temp\C320.tmp
  "C:\Users\Admin\AppData\Local\Temp\C320.tmp"
  2⤵
  PID:1656
- C:\Users\Admin\AppData\Local\Temp\D394.tmp
  "C:\Users\Admin\AppData\Local\Temp\D394.tmp"
  2⤵
  PID:2008
- - C:\Users\Admin\AppData\Local\Temp\F364.tmp
    "C:\Users\Admin\AppData\Local\Temp\F364.tmp"
    3⤵
    PID:2072
  - - C:\Users\Admin\AppData\Local\Temp\F3A2.tmp
      "C:\Users\Admin\AppData\Local\Temp\F3A2.tmp"
      4⤵
      PID:2748

C:\Users\Admin\AppData\Local\Temp\C35F.tmp
"C:\Users\Admin\AppData\Local\Temp\C35F.tmp"
1⤵
PID:2072

C:\Users\Admin\AppData\Local\Temp\C504.tmp
"C:\Users\Admin\AppData\Local\Temp\C504.tmp"
1⤵
PID:2264

C:\Users\Admin\AppData\Local\Temp\C7B2.tmp
"C:\Users\Admin\AppData\Local\Temp\C7B2.tmp"
1⤵
PID:1424
- C:\Users\Admin\AppData\Local\Temp\C7F1.tmp
  "C:\Users\Admin\AppData\Local\Temp\C7F1.tmp"
  2⤵
  PID:1392
- C:\Users\Admin\AppData\Local\Temp\E81E.tmp
  "C:\Users\Admin\AppData\Local\Temp\E81E.tmp"
  2⤵
  PID:2644
- - C:\Users\Admin\AppData\Local\Temp\F844.tmp
    "C:\Users\Admin\AppData\Local\Temp\F844.tmp"
    3⤵
    PID:1832
  - - C:\Users\Admin\AppData\Local\Temp\F882.tmp
      "C:\Users\Admin\AppData\Local\Temp\F882.tmp"
      4⤵
      PID:3052

C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe -Embedding
1⤵
PID:952

C:\Users\Admin\AppData\Local\Temp\C85E.tmp
"C:\Users\Admin\AppData\Local\Temp\C85E.tmp"
1⤵
PID:1796

C:\Users\Admin\AppData\Local\Temp\CE95.tmp
"C:\Users\Admin\AppData\Local\Temp\CE95.tmp"
1⤵
PID:2580

C:\Users\Admin\AppData\Local\Temp\E1E6.tmp
"C:\Users\Admin\AppData\Local\Temp\E1E6.tmp"
1⤵
PID:2948
- C:\Users\Admin\AppData\Local\Temp\E225.tmp
  "C:\Users\Admin\AppData\Local\Temp\E225.tmp"
  2⤵
  PID:1288
- - C:\Users\Admin\AppData\Local\Temp\E254.tmp
    "C:\Users\Admin\AppData\Local\Temp\E254.tmp"
    3⤵
    PID:2620
- C:\Users\Admin\AppData\Local\Temp\F132.tmp
  "C:\Users\Admin\AppData\Local\Temp\F132.tmp"
  2⤵
  PID:2624

C:\Users\Admin\AppData\Local\Temp\E3E9.tmp
"C:\Users\Admin\AppData\Local\Temp\E3E9.tmp"
1⤵
PID:1656
- C:\Users\Admin\AppData\Local\Temp\E428.tmp
  "C:\Users\Admin\AppData\Local\Temp\E428.tmp"
  2⤵
  PID:788
- - C:\Users\Admin\AppData\Local\Temp\E456.tmp
    "C:\Users\Admin\AppData\Local\Temp\E456.tmp"
    3⤵
    PID:896

C:\Users\Admin\AppData\Local\Temp\E560.tmp
"C:\Users\Admin\AppData\Local\Temp\E560.tmp"
1⤵
PID:1996
- C:\Users\Admin\AppData\Local\Temp\E59E.tmp
  "C:\Users\Admin\AppData\Local\Temp\E59E.tmp"
  2⤵
  PID:2076
- C:\Users\Admin\AppData\Local\Temp\F518.tmp
  "C:\Users\Admin\AppData\Local\Temp\F518.tmp"
  2⤵
  PID:1744

C:\Users\Admin\AppData\Local\Temp\E6D6.tmp
"C:\Users\Admin\AppData\Local\Temp\E6D6.tmp"
1⤵
PID:2244
- C:\Users\Admin\AppData\Local\Temp\E714.tmp
  "C:\Users\Admin\AppData\Local\Temp\E714.tmp"
  2⤵
  PID:1928

C:\Users\Admin\AppData\Local\Temp\E4F2.tmp
"C:\Users\Admin\AppData\Local\Temp\E4F2.tmp"
1⤵
PID:1508
- C:\Users\Admin\AppData\Local\Temp\F49C.tmp
  "C:\Users\Admin\AppData\Local\Temp\F49C.tmp"
  2⤵
  PID:1644
- - C:\Users\Admin\AppData\Local\Temp\F4DA.tmp
    "C:\Users\Admin\AppData\Local\Temp\F4DA.tmp"
    3⤵
    PID:1996

C:\Users\Admin\AppData\Local\Temp\EC52.tmp
"C:\Users\Admin\AppData\Local\Temp\EC52.tmp"
1⤵
PID:2608

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\B66.tmp

Filesize
381KB

MD5
6be2968ba8cfae79cf8ec9dc1e8696d4

SHA1
2949518ffa368079c3fec897b3dbf69d3b62b320

SHA256
569a0f4ad8bf78cd2e17a5e2aa398cb06fa213c93123a0b8b508f7d32ba13089

SHA512
fa57a0887bbe7468644d1ab71c14a67a775b9753e597ed98eecd7742f447dbe311638d44d25d72de953c0c27316adf2caa13ae03ed3d5e8f3dfd023530e7d5d9

Download Submit
C:\Users\Admin\AppData\Local\Temp\B66.tmp

Filesize
486KB

MD5
9b9ebbe70f048b9953aa580cf849138b

SHA1
a3365bb7f6df23077f97da00ce58bccb42a801cd

SHA256
4f4e1fc885b30a52ae711737d167221e441a4139acb963b5176db5bccb06987f

SHA512
84e0b06ebb67cf5fc2cfbd9c336a51674be0138076abb910d20e5c8f3c37baab8955d53c62105d87358ac45efb2bb695901e114638b83129db08a9032ceea578

Download Submit
C:\Users\Admin\AppData\Local\Temp\B95.tmp

Filesize
486KB

MD5
9c368941b3fb47f5134cd9f7092a4a22

SHA1
edbedb6b96e866b4824b8a17f90e89e2988074fb

SHA256
8a524dac12f17bfcfe2b2c639a8b69cddc606ac67c7c4d8b2a3145a1a7ced4b3

SHA512
e5328e3b4e68faad001a08681d820a92c42b717328245cb24da9ea5daab13448d0d2c9baabf69d9071d7787ab3abd486e5c61a6c912038d927050ea8453f1090

Download Submit
C:\Users\Admin\AppData\Local\Temp\C12.tmp

Filesize
486KB

MD5
d5e3545aa42fc602f0431b6bd28f26f5

SHA1
b1a9def36469907bac40623cdc227b5a983ebc09

SHA256
1186618b88e8decd2eae2b7a75fca161f7f97766b24248b07b9eed702d6da2b9

SHA512
2b6d01c3732663d02573309ed50cbf7ec97926949bf7c2e1d44e2c51e567c73277fd0ff9be41256e05c03c4662793792527bdc723aa23182324968b7c98b2e3d

Download Submit
C:\Users\Admin\AppData\Local\Temp\C50.tmp

Filesize
486KB

MD5
4a9382d8a10a19ddb819b7eb11cfbab7

SHA1
1ade06a3bd0ec0c962a13ad669f5d843c94010ec

SHA256
55836faa5deb7d84d616e14c5361f5ae507ce2d1af577f5a4b2d9c123292b749

SHA512
4081282bf5e8d1100c61bf7066b8dba378e6a6400a33d26a571c82d203c770f06d2d18d3a506b47be5057574a0edc5574800a6e67b122078653b47c31eec3bb6

Download Submit
C:\Users\Admin\AppData\Local\Temp\CCD.tmp

Filesize
486KB

MD5
f418d26a7bd80e7cb714f966891f6270

SHA1
fbe537280c4326e36b010ad5f717a522f00506fe

SHA256
59dc61701f207ea4f55def406afbdb52cb9e8547af135b0175fdbf13da78cbc5

SHA512
eb5f650a65093670d3957a5a0c83e3ef5cbb6d590b9d4c41f10bd5e2d85ae23a87f3f1a59f58bf68ef70a39344f9b7cf72ac7eaec0b4b2c746e976a392aed6cd

Download Submit
C:\Users\Admin\AppData\Local\Temp\D0B.tmp

Filesize
486KB

MD5
47bf7e3acd9c0269eeaa868a31608e64

SHA1
5469f9a3d8aba87fda2f56f7e891fc58c0967a42

SHA256
70cc47deff17e7a1e7802b6bbd213bd0293b97fec7c7cfd0c613eb3386e01f7f

SHA512
2cee23c4768a6a5e08d21088d5b8e0495687ec97d858785c2c6339e0d3568fbcad27acce17bc0979d6882df8974d9fef1f7b824ef2f2b5cd8529366bd2dece11

Download Submit
C:\Users\Admin\AppData\Local\Temp\D88.tmp

Filesize
486KB

MD5
310347e2f62304c03edcc1ce4d024dbe

SHA1
1d0fbf90c183f6af294b0fe770c67c441b348dd8

SHA256
3cd1cea5cdbb197bd8819d8f32a9ebd279a06111694cd88728a4daf56049e236

SHA512
d07ef31317defe0040d2c7f15614123b0e18b8cea3f86d0fe44b5919d453c13d00c9d8ca35d4ff083f714b5c69837a2de85cbd7fe322a0b12e8202342dff2926

Download Submit
C:\Users\Admin\AppData\Local\Temp\DC6.tmp

Filesize
486KB

MD5
a72890ef22ed14806e16f3074bc713d7

SHA1
f026c8319c80d6745d21deebbdd256d2adb00b0b

SHA256
254a29cbceff7736e12be10977573de93b61b6c8f5aa79abf13a73fafe0e2c6b

SHA512
cc0d580b22d96a47e744dd09a14ce4b5a0e6a566e45dde7c80f668457f11ff734bd3d658fc969c03774a0528a38b8bceec130e2e6e5b9f04e3d07c06767a56c9

Download Submit
C:\Users\Admin\AppData\Local\Temp\E43.tmp

Filesize
486KB

MD5
c35567ae0a8ef76703e997d921b81221

SHA1
3f6f189a2cdc81045b5dcf1ee7989c7fd5e32dae

SHA256
272593fe0fab201c5dafe515017ceab1cbe26237b2a999a5c429205c4d32e4e0

SHA512
bc197eb17b9a9ee0641962d998bfa0d75b7561e4549031e82fa883d297a4b248f38e029f95dcbdf675e7da097afc0af21e200e8b83d64369f603842698c7f094

Download Submit
C:\Users\Admin\AppData\Local\Temp\E82.tmp

Filesize
486KB

MD5
133d18f48545247bc8f70f93808ef69f

SHA1
5e14fb7740908d49701a618b68fe4b923fda65d3

SHA256
b431532495104c20b48dbbb9b3b8284073b8b55a8c36725c435ff2918c1cb4d7

SHA512
6a9378c70a14d4129871a6e2b788a7fc9ae8158409c1bdccd3638945ae47e547dd2c6fe634a79c61d7174787eb527b9556c83c6a6083508527dcefe3816977d0

Download Submit
C:\Users\Admin\AppData\Local\Temp\EC0.tmp

Filesize
486KB

MD5
3f860924b95aad39fe694f7e022bf807

SHA1
f5c8cb7aff77d5c3e0efd8405eaec12357ff509f

SHA256
483868dd5045e387701a735a030554ae68cf359e83bf757869eb79507f070142

SHA512
1886ba32c63adcbddc89290a001327f33ef22583d9e0e733008224f41bf1986ea44a5c2dc6421fa6127be3a372ca7181cb9cdcb36dd7cf5ac617bc22cdc19b59

Download Submit
C:\Users\Admin\AppData\Local\Temp\EFE.tmp

Filesize
486KB

MD5
b0778e02f5791911c4553d1b49320c5d

SHA1
a86c90a6cf696cf2748e79081fb64d761c9ec4f1

SHA256
698d5e0d5f2e013b66c5f3639cb4a0dd5f49c670566cffd31a79816e2c60da51

SHA512
b3f330d160410e9ca7d4ef7d773d9c94f5f016f5cc49418e4807d8bddf75f7d23ebcd08209c7223970703b5eb599423a5942853020d8280440b5fd180e1a0d49

Download Submit
C:\Users\Admin\AppData\Local\Temp\F3D.tmp

Filesize
486KB

MD5
a1f705ae23730a39e8f0ed1dbd2dd0bf

SHA1
480f24060d7d29f4e2c0d129faea67a4d6d4299b

SHA256
426c161aed8f9729bde8502c327c82cc0122836b42ebc2999b250ede8eedefbb

SHA512
3b2234c9e7124ec77a6421e0c9b0555df53cf59fd133d1beea132027666586c25007a1ed7e84458d8728d73ce8cca7c2a5b12c77116c803a4af2bbac1f71a238

Download Submit
C:\Users\Admin\AppData\Local\Temp\F7B.tmp

Filesize
486KB

MD5
4899a19d41ce14284b93e5762b7a6abc

SHA1
9b60c3a8cbd1cedfe2fa7566b392157fcec25189

SHA256
0f59d46f422852ab1b3fa960fc08cb9ccc3cbd6f251310790b80b41f5f59e86f

SHA512
d5418e47352501051af78f6b74b514bc079d6395f48db4ebad195ca9d6c74dc30e4c3c2f4d37ac78fa5647288978de2deb80f7adda088c144ea9c7520c362181

Download Submit
C:\Users\Admin\AppData\Local\Temp\FF8.tmp

Filesize
486KB

MD5
e6a5743510a160edc004e2ce5157f4c5

SHA1
d167e08f11b50737fda6e48e58fa9f006f782d26

SHA256
a7af7f49971012bc29c448364e500013c576558fdf23a109066132b07842de0f

SHA512
447ec20d24ba9a639f8fd2df380a6a18cb165e527ccbd85d5e33fcd44bdb009c0624a4074ea1ac93098545f9070b4c1675d0be8933f02aaa78372a33fc731dc1

Download Submit
\Users\Admin\AppData\Local\Temp\1036.tmp

Filesize
486KB

MD5
80801dde5f6f4453b3f244a159c85b54

SHA1
be941ce90ee0a277aeba2c6cdf28aa697de6e8d0

SHA256
7d3d9fd5d7ef2e297701ef5260ec7e46525cdb3d19b16188484770f47fd4b300

SHA512
fee162c0369dc01b6faa1532fef8da771d3d208aebb5bc81a912021e1b707f9c4a06e9f18ee067e87e53c1d9eb061c4ceb847eb0d796379d59461cac868f0ae2

Download Submit
\Users\Admin\AppData\Local\Temp\1075.tmp

Filesize
486KB

MD5
ba5cb69c8c206a3fa4197b254675dfbe

SHA1
486f36fa16c1738e38a38d370405f797ca28424a

SHA256
ec9880d688255c0638cac42160ae86808eca3e307c81d65b9eb3a07d4ee27efa

SHA512
dc9a839ce78e592276baebe0dca2da34a0b3efc86191ce98c30b55ca94f5570eccc1328f3bffa708721e53941a338ed9bff2ea773f3983bcab7b0423402a4904

Download Submit
\Users\Admin\AppData\Local\Temp\BD3.tmp

Filesize
486KB

MD5
e405de5fb42e23994ca2b5e3833d2eaa

SHA1
94c93536301a897d1805567fdf6d67f9ac0e720a

SHA256
dee4b53d7d22cb12506c788e7cad6737e5273fd20abb2452ad6aa773e2f95934

SHA512
c408f9bca8197c0f9ef5ac2f568e92962c01eed7d01f8339a6da01938c51ad0287a27dc2b1c66a0eaebf5a7bce6c21239e6f9202a92cf941d1e6d8314f750732

Download Submit
\Users\Admin\AppData\Local\Temp\C8E.tmp

Filesize
486KB

MD5
f23b532401656fb23c10a32b04627d8d

SHA1
39a1eec2d3cd469f6dd8710a11ea1559fe7f7920

SHA256
df8bfec9c1f976f4d122c5e530b2cd76b2bf2f9192af33f1b80c4611588ae18f

SHA512
99ea8244502cf95dadef9aa74351745667985d29fc5233fb9c66ddf51fdac8dee8b60dbba2e7b32f4d438db5c168e3b17ad17a1f0df94f558c64d5e98d781a5c

Download Submit
\Users\Admin\AppData\Local\Temp\D4A.tmp

Filesize
486KB

MD5
012b198ff1daef692631e2220ebc708a

SHA1
e5c6f1ca8218fc8688704dff6d68e4e1900cca6c

SHA256
3a09d7ffd2a108916ad748d27c78166a9ec470b104bff4f47c843594530ab8d5

SHA512
c229ee74dad6bed094fc4114b8f505ad4a8ac48f24e6ae3286dcdfb2efe2a94c8b55398ce8f64df7b52abc3e5f63b78f82225b915725e0fb00ac5b24b0e2431a

Download Submit
\Users\Admin\AppData\Local\Temp\E05.tmp

Filesize
486KB

MD5
bc838f9e61e67f2bcf26bdefeaae5373

SHA1
31e2a6294bd132eccf1f6e13cf8c688dc576fbc3

SHA256
aa8784df91a86c4ac568280c7276a2d7ae8ade94f2ddfd411a83af140ffbfa35

SHA512
4b3cec48d0fc2002cbc117f78f39a1b8445696d94e0fb48d284c91539c5177a0b1507863cc620fd16efc8d2d54878e7cd8a8b0f2cd55d463a5575ae51eefb2d6

Download Submit
\Users\Admin\AppData\Local\Temp\FBA.tmp

Filesize
486KB

MD5
8e2464faf980743de52d88972c139e79

SHA1
d4351e47238a6b993d76a500586f0d66299a00ae

SHA256
a4469d5f29900e21966fa99778a26c40aeca85b3f525e85620d85ed613158f51

SHA512
cf984ee8c37ed869d6967422c677aa035cfcf7135455af11ea5ebdb1face10c87f952583c36579300b9574556f078b8efc0e44a89d55e80de7ec63ae687cd4df

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads