699814bca2a356f6f5152e48cd58219e959ffa922bd64de87a2a60674e9658b8

Analysis

max time kernel
150s
max time network
152s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
11/01/2024, 05:50

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

2024-01-10_5b55e6bd4b78275a0a0bb69e0b170fa3_mafia.exe
Size

527KB
MD5

5b55e6bd4b78275a0a0bb69e0b170fa3
SHA1

825a4da27f5c882e6ecbdd1840329725b29e181e
SHA256

699814bca2a356f6f5152e48cd58219e959ffa922bd64de87a2a60674e9658b8
SHA512

9ba968297237e560770a66a9cfd34a901b3fdc8792f96bed574328cbd293e558b562dc1c67bd733f0a8995e235c3ffc904ad11d84e6b02063be6f2db9cd4423a
SSDEEP

6144:yorf3lPvovsgZnqG2C7mOTeiLRDYD7Zas0jf7fQ5EmRzOCyeG3lte8wfyNcl6Yrs:fU5rCOTeidU7m77fUZaDrYyNwlzDZu

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
3224	43C0.tmp
1404	441D.tmp
4592	446B.tmp
3372	44BA.tmp
976	4508.tmp
4452	4565.tmp
4904	84A1.tmp
3400	4611.tmp
3820	465F.tmp
1756	46AE.tmp
4848	46FC.tmp
1884	474A.tmp
2708	4798.tmp
1612	47E6.tmp
3924	4834.tmp
4236	B268.tmp
4708	9C30.tmp
4424	A22B.tmp
4168	7511.tmp
4800	E196.tmp
3424	4A38.tmp
1928	32D3.tmp
740	1C2E.tmp
4316	E271.tmp
3068	EC06.tmp
3396	4BBE.tmp
2728	3E5C.tmp
804	4C5B.tmp
2184	3F94.tmp
1440	EE29.tmp
4336	4D45.tmp
616	B788.tmp
4300	CCC6.tmp
2028	2D54.tmp
2228	4E7E.tmp
4852	6FC1.tmp
4976	700F.tmp
3944	705D.tmp
1008	FB77.tmp
5012	5004.tmp
228	46E7.tmp
3984	C534.tmp
4632	6774.tmp
2024	A6B.tmp
5004	D8BC.tmp
4356	67C2.tmp
2288	5D14.tmp
4404	26BD.tmp
5080	4C37.tmp
3220	B304.tmp
1672	5350.tmp
2984	D1F6.tmp
4392	E918.tmp
1988	4784.tmp
3000	6A81.tmp
4480	E91.tmp
3980	8983.tmp
2308	9441.tmp
4368	2AE3.tmp
1644	172D.tmp
2528	1817.tmp
3068	4ACF.tmp
3396	4BBE.tmp
2728	3E5C.tmp

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 616 wrote to memory of 3224	616	2024-01-10_5b55e6bd4b78275a0a0bb69e0b170fa3_mafia.exe	89
PID 616 wrote to memory of 3224	616	2024-01-10_5b55e6bd4b78275a0a0bb69e0b170fa3_mafia.exe	89
PID 616 wrote to memory of 3224	616	2024-01-10_5b55e6bd4b78275a0a0bb69e0b170fa3_mafia.exe	89
PID 3224 wrote to memory of 1404	3224	43C0.tmp	433
PID 3224 wrote to memory of 1404	3224	43C0.tmp	433
PID 3224 wrote to memory of 1404	3224	43C0.tmp	433
PID 1404 wrote to memory of 4592	1404	441D.tmp	431
PID 1404 wrote to memory of 4592	1404	441D.tmp	431
PID 1404 wrote to memory of 4592	1404	441D.tmp	431
PID 4592 wrote to memory of 3372	4592	446B.tmp	429
PID 4592 wrote to memory of 3372	4592	446B.tmp	429
PID 4592 wrote to memory of 3372	4592	446B.tmp	429
PID 3372 wrote to memory of 976	3372	44BA.tmp	428
PID 3372 wrote to memory of 976	3372	44BA.tmp	428
PID 3372 wrote to memory of 976	3372	44BA.tmp	428
PID 976 wrote to memory of 4452	976	4508.tmp	427
PID 976 wrote to memory of 4452	976	4508.tmp	427
PID 976 wrote to memory of 4452	976	4508.tmp	427
PID 4452 wrote to memory of 4904	4452	4565.tmp	251
PID 4452 wrote to memory of 4904	4452	4565.tmp	251
PID 4452 wrote to memory of 4904	4452	4565.tmp	251
PID 4904 wrote to memory of 3400	4904	84A1.tmp	426
PID 4904 wrote to memory of 3400	4904	84A1.tmp	426
PID 4904 wrote to memory of 3400	4904	84A1.tmp	426
PID 3400 wrote to memory of 3820	3400	4611.tmp	425
PID 3400 wrote to memory of 3820	3400	4611.tmp	425
PID 3400 wrote to memory of 3820	3400	4611.tmp	425
PID 3820 wrote to memory of 1756	3820	465F.tmp	424
PID 3820 wrote to memory of 1756	3820	465F.tmp	424
PID 3820 wrote to memory of 1756	3820	465F.tmp	424
PID 1756 wrote to memory of 4848	1756	46AE.tmp	423
PID 1756 wrote to memory of 4848	1756	46AE.tmp	423
PID 1756 wrote to memory of 4848	1756	46AE.tmp	423
PID 4848 wrote to memory of 1884	4848	46FC.tmp	422
PID 4848 wrote to memory of 1884	4848	46FC.tmp	422
PID 4848 wrote to memory of 1884	4848	46FC.tmp	422
PID 1884 wrote to memory of 2708	1884	474A.tmp	421
PID 1884 wrote to memory of 2708	1884	474A.tmp	421
PID 1884 wrote to memory of 2708	1884	474A.tmp	421
PID 2708 wrote to memory of 1612	2708	4798.tmp	420
PID 2708 wrote to memory of 1612	2708	4798.tmp	420
PID 2708 wrote to memory of 1612	2708	4798.tmp	420
PID 1612 wrote to memory of 3924	1612	47E6.tmp	419
PID 1612 wrote to memory of 3924	1612	47E6.tmp	419
PID 1612 wrote to memory of 3924	1612	47E6.tmp	419
PID 3924 wrote to memory of 4236	3924	4834.tmp	465
PID 3924 wrote to memory of 4236	3924	4834.tmp	465
PID 3924 wrote to memory of 4236	3924	4834.tmp	465
PID 4236 wrote to memory of 4708	4236	B268.tmp	324
PID 4236 wrote to memory of 4708	4236	B268.tmp	324
PID 4236 wrote to memory of 4708	4236	B268.tmp	324
PID 4708 wrote to memory of 4424	4708	9C30.tmp	337
PID 4708 wrote to memory of 4424	4708	9C30.tmp	337
PID 4708 wrote to memory of 4424	4708	9C30.tmp	337
PID 4424 wrote to memory of 4168	4424	A22B.tmp	205
PID 4424 wrote to memory of 4168	4424	A22B.tmp	205
PID 4424 wrote to memory of 4168	4424	A22B.tmp	205
PID 4168 wrote to memory of 4800	4168	41B7.tmp	921
PID 4168 wrote to memory of 4800	4168	41B7.tmp	921
PID 4168 wrote to memory of 4800	4168	41B7.tmp	921
PID 4800 wrote to memory of 3424	4800	E196.tmp	416
PID 4800 wrote to memory of 3424	4800	E196.tmp	416
PID 4800 wrote to memory of 3424	4800	E196.tmp	416
PID 3424 wrote to memory of 1928	3424	4A38.tmp	806

C:\Users\Admin\AppData\Local\Temp\2024-01-10_5b55e6bd4b78275a0a0bb69e0b170fa3_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-10_5b55e6bd4b78275a0a0bb69e0b170fa3_mafia.exe"
1⤵
- Suspicious use of WriteProcessMemory
PID:616
- C:\Users\Admin\AppData\Local\Temp\43C0.tmp
  "C:\Users\Admin\AppData\Local\Temp\43C0.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:3224
- - C:\Users\Admin\AppData\Local\Temp\441D.tmp
    "C:\Users\Admin\AppData\Local\Temp\441D.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:1404
- C:\Users\Admin\AppData\Local\Temp\4DE1.tmp
  "C:\Users\Admin\AppData\Local\Temp\4DE1.tmp"
  2⤵
  PID:4300

C:\Users\Admin\AppData\Local\Temp\45B4.tmp
"C:\Users\Admin\AppData\Local\Temp\45B4.tmp"
1⤵
PID:4904

C:\Users\Admin\AppData\Local\Temp\4882.tmp
"C:\Users\Admin\AppData\Local\Temp\4882.tmp"
1⤵
PID:4236
- C:\Users\Admin\AppData\Local\Temp\48D0.tmp
  "C:\Users\Admin\AppData\Local\Temp\48D0.tmp"
  2⤵
  PID:4708
- - C:\Users\Admin\AppData\Local\Temp\493E.tmp
    "C:\Users\Admin\AppData\Local\Temp\493E.tmp"
    3⤵
    PID:4424
  - - C:\Users\Admin\AppData\Local\Temp\499C.tmp
      "C:\Users\Admin\AppData\Local\Temp\499C.tmp"
      4⤵
      PID:4168
- - C:\Users\Admin\AppData\Local\Temp\9105.tmp
    "C:\Users\Admin\AppData\Local\Temp\9105.tmp"
    3⤵
    PID:4864
  - - C:\Users\Admin\AppData\Local\Temp\9153.tmp
      "C:\Users\Admin\AppData\Local\Temp\9153.tmp"
      4⤵
      PID:3620
- C:\Users\Admin\AppData\Local\Temp\B2B6.tmp
  "C:\Users\Admin\AppData\Local\Temp\B2B6.tmp"
  2⤵
  PID:4444
- - C:\Users\Admin\AppData\Local\Temp\B304.tmp
    "C:\Users\Admin\AppData\Local\Temp\B304.tmp"
    3⤵
    - Executes dropped EXE
    PID:3220
  - - C:\Users\Admin\AppData\Local\Temp\B381.tmp
      "C:\Users\Admin\AppData\Local\Temp\B381.tmp"
      4⤵
      PID:4340
    - - C:\Users\Admin\AppData\Local\Temp\B3CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B3CF.tmp"
        5⤵
        
        PID:3880

C:\Users\Admin\AppData\Local\Temp\4B70.tmp
"C:\Users\Admin\AppData\Local\Temp\4B70.tmp"
1⤵
PID:3068

C:\Users\Admin\AppData\Local\Temp\4CF7.tmp
"C:\Users\Admin\AppData\Local\Temp\4CF7.tmp"
1⤵
PID:1440

C:\Users\Admin\AppData\Local\Temp\4E2F.tmp
"C:\Users\Admin\AppData\Local\Temp\4E2F.tmp"
1⤵
PID:2028
- C:\Users\Admin\AppData\Local\Temp\4E7E.tmp
  "C:\Users\Admin\AppData\Local\Temp\4E7E.tmp"
  2⤵
  - Executes dropped EXE
  PID:2228
- C:\Users\Admin\AppData\Local\Temp\8405.tmp
  "C:\Users\Admin\AppData\Local\Temp\8405.tmp"
  2⤵
  PID:4792
- - C:\Users\Admin\AppData\Local\Temp\8453.tmp
    "C:\Users\Admin\AppData\Local\Temp\8453.tmp"
    3⤵
    PID:4484

C:\Users\Admin\AppData\Local\Temp\4EBC.tmp
"C:\Users\Admin\AppData\Local\Temp\4EBC.tmp"
1⤵
PID:4852
- C:\Users\Admin\AppData\Local\Temp\4F1A.tmp
  "C:\Users\Admin\AppData\Local\Temp\4F1A.tmp"
  2⤵
  PID:4976
- - C:\Users\Admin\AppData\Local\Temp\4F68.tmp
    "C:\Users\Admin\AppData\Local\Temp\4F68.tmp"
    3⤵
    PID:3944
  - - C:\Users\Admin\AppData\Local\Temp\70AC.tmp
      "C:\Users\Admin\AppData\Local\Temp\70AC.tmp"
      4⤵
      PID:3176
    - - C:\Users\Admin\AppData\Local\Temp\70FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\70FA.tmp"
        5⤵
        
        PID:4904
      - C:\Users\Admin\AppData\Local\Temp\7148.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7148.tmp"
        6⤵
        
        PID:2152

C:\Users\Admin\AppData\Local\Temp\5004.tmp
"C:\Users\Admin\AppData\Local\Temp\5004.tmp"
1⤵
- Executes dropped EXE
PID:5012
- C:\Users\Admin\AppData\Local\Temp\5052.tmp
  "C:\Users\Admin\AppData\Local\Temp\5052.tmp"
  2⤵
  PID:228

C:\Users\Admin\AppData\Local\Temp\5091.tmp
"C:\Users\Admin\AppData\Local\Temp\5091.tmp"
1⤵
PID:3984
- C:\Users\Admin\AppData\Local\Temp\50DF.tmp
  "C:\Users\Admin\AppData\Local\Temp\50DF.tmp"
  2⤵
  PID:4632
- - C:\Users\Admin\AppData\Local\Temp\512D.tmp
    "C:\Users\Admin\AppData\Local\Temp\512D.tmp"
    3⤵
    PID:2024
  - - C:\Users\Admin\AppData\Local\Temp\517B.tmp
      "C:\Users\Admin\AppData\Local\Temp\517B.tmp"
      4⤵
      PID:5004

C:\Users\Admin\AppData\Local\Temp\51C9.tmp
"C:\Users\Admin\AppData\Local\Temp\51C9.tmp"
1⤵
PID:4356
- C:\Users\Admin\AppData\Local\Temp\5217.tmp
  "C:\Users\Admin\AppData\Local\Temp\5217.tmp"
  2⤵
  PID:2288

C:\Users\Admin\AppData\Local\Temp\52B4.tmp
"C:\Users\Admin\AppData\Local\Temp\52B4.tmp"
1⤵
PID:5080
- C:\Users\Admin\AppData\Local\Temp\5302.tmp
  "C:\Users\Admin\AppData\Local\Temp\5302.tmp"
  2⤵
  PID:3220
- - C:\Users\Admin\AppData\Local\Temp\5350.tmp
    "C:\Users\Admin\AppData\Local\Temp\5350.tmp"
    3⤵
    - Executes dropped EXE
    PID:1672

C:\Users\Admin\AppData\Local\Temp\539E.tmp
"C:\Users\Admin\AppData\Local\Temp\539E.tmp"
1⤵
PID:2984
- C:\Users\Admin\AppData\Local\Temp\53EC.tmp
  "C:\Users\Admin\AppData\Local\Temp\53EC.tmp"
  2⤵
  PID:4392

C:\Users\Admin\AppData\Local\Temp\542B.tmp
"C:\Users\Admin\AppData\Local\Temp\542B.tmp"
1⤵
PID:1988
- C:\Users\Admin\AppData\Local\Temp\5479.tmp
  "C:\Users\Admin\AppData\Local\Temp\5479.tmp"
  2⤵
  PID:3000
- - C:\Users\Admin\AppData\Local\Temp\6AD0.tmp
    "C:\Users\Admin\AppData\Local\Temp\6AD0.tmp"
    3⤵
    PID:4360
  - - C:\Users\Admin\AppData\Local\Temp\6B1E.tmp
      "C:\Users\Admin\AppData\Local\Temp\6B1E.tmp"
      4⤵
      PID:4408
    - - C:\Users\Admin\AppData\Local\Temp\6B6C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B6C.tmp"
        5⤵
        
        PID:2852
      - C:\Users\Admin\AppData\Local\Temp\6BBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BBA.tmp"
        6⤵
        
        PID:2308

C:\Users\Admin\AppData\Local\Temp\5515.tmp
"C:\Users\Admin\AppData\Local\Temp\5515.tmp"
1⤵
PID:3980
- C:\Users\Admin\AppData\Local\Temp\5563.tmp
  "C:\Users\Admin\AppData\Local\Temp\5563.tmp"
  2⤵
  PID:2308

C:\Users\Admin\AppData\Local\Temp\55FF.tmp
"C:\Users\Admin\AppData\Local\Temp\55FF.tmp"
1⤵
PID:1644
- C:\Users\Admin\AppData\Local\Temp\564E.tmp
  "C:\Users\Admin\AppData\Local\Temp\564E.tmp"
  2⤵
  PID:2528
- - C:\Users\Admin\AppData\Local\Temp\569C.tmp
    "C:\Users\Admin\AppData\Local\Temp\569C.tmp"
    3⤵
    PID:3068
  - - C:\Users\Admin\AppData\Local\Temp\56DA.tmp
      "C:\Users\Admin\AppData\Local\Temp\56DA.tmp"
      4⤵
      PID:3396
    - - C:\Users\Admin\AppData\Local\Temp\5728.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5728.tmp"
        5⤵
        
        PID:2728
      - C:\Users\Admin\AppData\Local\Temp\4C5B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C5B.tmp"
        6⤵
        Executes dropped EXE
        
        PID:804
    - - C:\Users\Admin\AppData\Local\Temp\4C0D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C0D.tmp"
        5⤵
        
        PID:2728
- - C:\Users\Admin\AppData\Local\Temp\1855.tmp
    "C:\Users\Admin\AppData\Local\Temp\1855.tmp"
    3⤵
    PID:1376

C:\Users\Admin\AppData\Local\Temp\5776.tmp
"C:\Users\Admin\AppData\Local\Temp\5776.tmp"
1⤵
PID:2704
- C:\Users\Admin\AppData\Local\Temp\57C5.tmp
  "C:\Users\Admin\AppData\Local\Temp\57C5.tmp"
  2⤵
  PID:2068
- - C:\Users\Admin\AppData\Local\Temp\5813.tmp
    "C:\Users\Admin\AppData\Local\Temp\5813.tmp"
    3⤵
    PID:4464
- - C:\Users\Admin\AppData\Local\Temp\82CC.tmp
    "C:\Users\Admin\AppData\Local\Temp\82CC.tmp"
    3⤵
    PID:548
  - - C:\Users\Admin\AppData\Local\Temp\831A.tmp
      "C:\Users\Admin\AppData\Local\Temp\831A.tmp"
      4⤵
      PID:1388

C:\Users\Admin\AppData\Local\Temp\58AF.tmp
"C:\Users\Admin\AppData\Local\Temp\58AF.tmp"
1⤵
PID:4352
- C:\Users\Admin\AppData\Local\Temp\58FD.tmp
  "C:\Users\Admin\AppData\Local\Temp\58FD.tmp"
  2⤵
  PID:1228
- - C:\Users\Admin\AppData\Local\Temp\594B.tmp
    "C:\Users\Admin\AppData\Local\Temp\594B.tmp"
    3⤵
    PID:3236
  - - C:\Users\Admin\AppData\Local\Temp\5999.tmp
      "C:\Users\Admin\AppData\Local\Temp\5999.tmp"
      4⤵
      PID:3660
    - - C:\Users\Admin\AppData\Local\Temp\59E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59E7.tmp"
        5⤵
        
        PID:3884
      - C:\Users\Admin\AppData\Local\Temp\5A36.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A36.tmp"
        6⤵
        
        PID:4592
        
        C:\Users\Admin\AppData\Local\Temp\5A84.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A84.tmp"
        7⤵
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\44BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\44BA.tmp"
        7⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3372
      - C:\Users\Admin\AppData\Local\Temp\7A50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A50.tmp"
        6⤵
        
        PID:3024
        
        C:\Users\Admin\AppData\Local\Temp\7A9E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A9E.tmp"
        7⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\7AED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AED.tmp"
        8⤵
        
        PID:372
        
        C:\Users\Admin\AppData\Local\Temp\7B3B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B3B.tmp"
        9⤵
        
        PID:3092
        
        C:\Users\Admin\AppData\Local\Temp\7B89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B89.tmp"
        10⤵
        
        PID:3984
        
        C:\Users\Admin\AppData\Local\Temp\7BD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BD7.tmp"
        11⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\D32E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D32E.tmp"
        12⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\D37C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D37C.tmp"
        13⤵
        
        PID:1664
        
        C:\Users\Admin\AppData\Local\Temp\DBBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DBBA.tmp"
        14⤵
        
        PID:2368
        
        C:\Users\Admin\AppData\Local\Temp\DC08.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC08.tmp"
        15⤵
        
        PID:1984
        
        C:\Users\Admin\AppData\Local\Temp\DB2D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB2D.tmp"
        12⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\F3A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3A7.tmp"
        13⤵
        
        PID:1448
        
        C:\Users\Admin\AppData\Local\Temp\F3E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3E5.tmp"
        14⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\84A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\84A1.tmp"
        8⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4904
        
        C:\Users\Admin\AppData\Local\Temp\84EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\84EF.tmp"
        9⤵
        
        PID:3400
        
        C:\Users\Admin\AppData\Local\Temp\853D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\853D.tmp"
        10⤵
        
        PID:3148
        
        C:\Users\Admin\AppData\Local\Temp\D86E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D86E.tmp"
        11⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\E7DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7DF.tmp"
        12⤵
        
        PID:3948
        
        C:\Users\Admin\AppData\Local\Temp\E82D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E82D.tmp"
        13⤵
        
        PID:1856
        
        C:\Users\Admin\AppData\Local\Temp\E87B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E87B.tmp"
        14⤵
        
        PID:1644
        
        C:\Users\Admin\AppData\Local\Temp\177B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\177B.tmp"
        15⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\17C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\17C9.tmp"
        16⤵
        
        PID:1140
        
        C:\Users\Admin\AppData\Local\Temp\1817.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1817.tmp"
        17⤵
        Executes dropped EXE
        
        PID:2528
        
        C:\Users\Admin\AppData\Local\Temp\6155.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6155.tmp"
        17⤵
        
        PID:4168
        
        C:\Users\Admin\AppData\Local\Temp\61A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\61A3.tmp"
        18⤵
        
        PID:2288
        
        C:\Users\Admin\AppData\Local\Temp\F954.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F954.tmp"
        13⤵
        
        PID:3840
        
        C:\Users\Admin\AppData\Local\Temp\F9A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9A2.tmp"
        14⤵
        
        PID:4808
        
        C:\Users\Admin\AppData\Local\Temp\F9F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9F0.tmp"
        15⤵
        
        PID:4188
        
        C:\Users\Admin\AppData\Local\Temp\1642.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1642.tmp"
        13⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\1690.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1690.tmp"
        14⤵
        
        PID:3440
        
        C:\Users\Admin\AppData\Local\Temp\16DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16DE.tmp"
        15⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\E271.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E271.tmp"
        15⤵
        Executes dropped EXE
        
        PID:4316
        
        C:\Users\Admin\AppData\Local\Temp\5484.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5484.tmp"
        16⤵
        
        PID:804
        
        C:\Users\Admin\AppData\Local\Temp\54D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54D2.tmp"
        17⤵
        
        PID:1768
        
        C:\Users\Admin\AppData\Local\Temp\5520.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5520.tmp"
        18⤵
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\556E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\556E.tmp"
        19⤵
        
        PID:5088
        
        C:\Users\Admin\AppData\Local\Temp\D2E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2E0.tmp"
        15⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\3CE5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CE5.tmp"
        13⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\3D23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D23.tmp"
        14⤵
        
        PID:3528
        
        C:\Users\Admin\AppData\Local\Temp\F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5.tmp"
        11⤵
        
        PID:4360
        
        C:\Users\Admin\AppData\Local\Temp\143.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\143.tmp"
        12⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\191.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\191.tmp"
        13⤵
        
        PID:4404
        
        C:\Users\Admin\AppData\Local\Temp\1DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DF.tmp"
        14⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\22E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\22E.tmp"
        15⤵
        
        PID:4756
        
        C:\Users\Admin\AppData\Local\Temp\F906.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F906.tmp"
        15⤵
        
        PID:3948
        
        C:\Users\Admin\AppData\Local\Temp\266F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\266F.tmp"
        11⤵
        
        PID:4032
        
        C:\Users\Admin\AppData\Local\Temp\26BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\26BD.tmp"
        12⤵
        Executes dropped EXE
        
        PID:4404
        
        C:\Users\Admin\AppData\Local\Temp\270B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\270B.tmp"
        13⤵
        
        PID:4324
        
        C:\Users\Admin\AppData\Local\Temp\2759.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2759.tmp"
        14⤵
        
        PID:4756
        
        C:\Users\Admin\AppData\Local\Temp\27A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27A7.tmp"
        15⤵
        
        PID:1584
        
        C:\Users\Admin\AppData\Local\Temp\F0E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0E8.tmp"
        16⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\465F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\465F.tmp"
        10⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3820
        
        C:\Users\Admin\AppData\Local\Temp\4611.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4611.tmp"
        9⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3400
  - - C:\Users\Admin\AppData\Local\Temp\6F73.tmp
      "C:\Users\Admin\AppData\Local\Temp\6F73.tmp"
      4⤵
      PID:1712
    - - C:\Users\Admin\AppData\Local\Temp\6FC1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6FC1.tmp"
        5⤵
        Executes dropped EXE
        
        PID:4852
      - C:\Users\Admin\AppData\Local\Temp\700F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\700F.tmp"
        6⤵
        Executes dropped EXE
        
        PID:4976
        
        C:\Users\Admin\AppData\Local\Temp\705D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\705D.tmp"
        7⤵
        Executes dropped EXE
        
        PID:3944
        
        C:\Users\Admin\AppData\Local\Temp\4FB6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FB6.tmp"
        8⤵
        
        PID:1008

C:\Users\Admin\AppData\Local\Temp\5AC2.tmp
"C:\Users\Admin\AppData\Local\Temp\5AC2.tmp"
1⤵
PID:4484
- C:\Users\Admin\AppData\Local\Temp\5B10.tmp
  "C:\Users\Admin\AppData\Local\Temp\5B10.tmp"
  2⤵
  PID:3992
- - C:\Users\Admin\AppData\Local\Temp\5B5E.tmp
    "C:\Users\Admin\AppData\Local\Temp\5B5E.tmp"
    3⤵
    PID:684
  - - C:\Users\Admin\AppData\Local\Temp\14BC.tmp
      "C:\Users\Admin\AppData\Local\Temp\14BC.tmp"
      4⤵
      PID:4844
    - - C:\Users\Admin\AppData\Local\Temp\150A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\150A.tmp"
        5⤵
        
        PID:4188
      - C:\Users\Admin\AppData\Local\Temp\1558.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1558.tmp"
        6⤵
        
        PID:4808
        
        C:\Users\Admin\AppData\Local\Temp\3C58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C58.tmp"
        7⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\3CA6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CA6.tmp"
        8⤵
        
        PID:3948
      - C:\Users\Admin\AppData\Local\Temp\E06D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E06D.tmp"
        6⤵
        
        PID:3264
    - - C:\Users\Admin\AppData\Local\Temp\3B8D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B8D.tmp"
        5⤵
        
        PID:2724
      - C:\Users\Admin\AppData\Local\Temp\3BCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3BCC.tmp"
        6⤵
        
        PID:3880
        
        C:\Users\Admin\AppData\Local\Temp\3C1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C1A.tmp"
        7⤵
        
        PID:4808
        
        C:\Users\Admin\AppData\Local\Temp\318.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\318.tmp"
        8⤵
        
        PID:4392
        
        C:\Users\Admin\AppData\Local\Temp\6712.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6712.tmp"
        8⤵
        
        PID:3444
        
        C:\Users\Admin\AppData\Local\Temp\6760.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6760.tmp"
        9⤵
        
        PID:3264

C:\Users\Admin\AppData\Local\Temp\5BAD.tmp
"C:\Users\Admin\AppData\Local\Temp\5BAD.tmp"
1⤵
PID:2756
- C:\Users\Admin\AppData\Local\Temp\5BEB.tmp
  "C:\Users\Admin\AppData\Local\Temp\5BEB.tmp"
  2⤵
  PID:4632
- - C:\Users\Admin\AppData\Local\Temp\5C2A.tmp
    "C:\Users\Admin\AppData\Local\Temp\5C2A.tmp"
    3⤵
    PID:3776

C:\Users\Admin\AppData\Local\Temp\5C78.tmp
"C:\Users\Admin\AppData\Local\Temp\5C78.tmp"
1⤵
PID:2708
- C:\Users\Admin\AppData\Local\Temp\5CC6.tmp
  "C:\Users\Admin\AppData\Local\Temp\5CC6.tmp"
  2⤵
  PID:1612
- - C:\Users\Admin\AppData\Local\Temp\5D14.tmp
    "C:\Users\Admin\AppData\Local\Temp\5D14.tmp"
    3⤵
    - Executes dropped EXE
    PID:2288
  - - C:\Users\Admin\AppData\Local\Temp\5D62.tmp
      "C:\Users\Admin\AppData\Local\Temp\5D62.tmp"
      4⤵
      PID:4404
  - - C:\Users\Admin\AppData\Local\Temp\5266.tmp
      "C:\Users\Admin\AppData\Local\Temp\5266.tmp"
      4⤵
      PID:4404
- - C:\Users\Admin\AppData\Local\Temp\4834.tmp
    "C:\Users\Admin\AppData\Local\Temp\4834.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:3924

C:\Users\Admin\AppData\Local\Temp\5DB0.tmp
"C:\Users\Admin\AppData\Local\Temp\5DB0.tmp"
1⤵
PID:5080
- C:\Users\Admin\AppData\Local\Temp\5DFE.tmp
  "C:\Users\Admin\AppData\Local\Temp\5DFE.tmp"
  2⤵
  PID:3220
- C:\Users\Admin\AppData\Local\Temp\D021.tmp
  "C:\Users\Admin\AppData\Local\Temp\D021.tmp"
  2⤵
  PID:1756
- - C:\Users\Admin\AppData\Local\Temp\D06F.tmp
    "C:\Users\Admin\AppData\Local\Temp\D06F.tmp"
    3⤵
    PID:3064
  - - C:\Users\Admin\AppData\Local\Temp\D0BD.tmp
      "C:\Users\Admin\AppData\Local\Temp\D0BD.tmp"
      4⤵
      PID:680

C:\Users\Admin\AppData\Local\Temp\5E9B.tmp
"C:\Users\Admin\AppData\Local\Temp\5E9B.tmp"
1⤵
PID:3620
- C:\Users\Admin\AppData\Local\Temp\5ED9.tmp
  "C:\Users\Admin\AppData\Local\Temp\5ED9.tmp"
  2⤵
  PID:712
- C:\Users\Admin\AppData\Local\Temp\91A1.tmp
  "C:\Users\Admin\AppData\Local\Temp\91A1.tmp"
  2⤵
  PID:1608
- - C:\Users\Admin\AppData\Local\Temp\91EF.tmp
    "C:\Users\Admin\AppData\Local\Temp\91EF.tmp"
    3⤵
    PID:712
  - - C:\Users\Admin\AppData\Local\Temp\922E.tmp
      "C:\Users\Admin\AppData\Local\Temp\922E.tmp"
      4⤵
      PID:4916
    - - C:\Users\Admin\AppData\Local\Temp\927C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\927C.tmp"
        5⤵
        
        PID:2448
      - C:\Users\Admin\AppData\Local\Temp\88E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88E7.tmp"
        6⤵
        
        PID:3360
  - - C:\Users\Admin\AppData\Local\Temp\5F27.tmp
      "C:\Users\Admin\AppData\Local\Temp\5F27.tmp"
      4⤵
      PID:4916

C:\Users\Admin\AppData\Local\Temp\5F75.tmp
"C:\Users\Admin\AppData\Local\Temp\5F75.tmp"
1⤵
PID:4072
- C:\Users\Admin\AppData\Local\Temp\5FC3.tmp
  "C:\Users\Admin\AppData\Local\Temp\5FC3.tmp"
  2⤵
  PID:3360
- - C:\Users\Admin\AppData\Local\Temp\6012.tmp
    "C:\Users\Admin\AppData\Local\Temp\6012.tmp"
    3⤵
    PID:4260
  - - C:\Users\Admin\AppData\Local\Temp\6060.tmp
      "C:\Users\Admin\AppData\Local\Temp\6060.tmp"
      4⤵
      PID:2508
    - - C:\Users\Admin\AppData\Local\Temp\60AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\60AE.tmp"
        5⤵
        
        PID:4428
      - C:\Users\Admin\AppData\Local\Temp\611B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\611B.tmp"
        6⤵
        
        PID:2056
    - - C:\Users\Admin\AppData\Local\Temp\76B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76B6.tmp"
        5⤵
        
        PID:4428
      - C:\Users\Admin\AppData\Local\Temp\7705.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7705.tmp"
        6⤵
        
        PID:4668
  - - C:\Users\Admin\AppData\Local\Temp\9F2E.tmp
      "C:\Users\Admin\AppData\Local\Temp\9F2E.tmp"
      4⤵
      PID:1940
    - - C:\Users\Admin\AppData\Local\Temp\9F7C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9F7C.tmp"
        5⤵
        
        PID:1168
      - C:\Users\Admin\AppData\Local\Temp\9FCA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FCA.tmp"
        6⤵
        
        PID:2316
      - C:\Users\Admin\AppData\Local\Temp\CAF1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAF1.tmp"
        6⤵
        
        PID:452
        
        C:\Users\Admin\AppData\Local\Temp\CB3F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB3F.tmp"
        7⤵
        
        PID:4132
        
        C:\Users\Admin\AppData\Local\Temp\CB8D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB8D.tmp"
        8⤵
        
        PID:4312
        
        C:\Users\Admin\AppData\Local\Temp\CBDB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBDB.tmp"
        9⤵
        
        PID:2068
- - C:\Users\Admin\AppData\Local\Temp\8935.tmp
    "C:\Users\Admin\AppData\Local\Temp\8935.tmp"
    3⤵
    PID:1988
  - - C:\Users\Admin\AppData\Local\Temp\8983.tmp
      "C:\Users\Admin\AppData\Local\Temp\8983.tmp"
      4⤵
      Executes dropped EXE
      PID:3980
    - - C:\Users\Admin\AppData\Local\Temp\89D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\89D1.tmp"
        5⤵
        
        PID:4408
      - C:\Users\Admin\AppData\Local\Temp\8A1F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A1F.tmp"
        6⤵
        
        PID:1940
  - - C:\Users\Admin\AppData\Local\Temp\6A81.tmp
      "C:\Users\Admin\AppData\Local\Temp\6A81.tmp"
      4⤵
      Executes dropped EXE
      PID:3000
    - - C:\Users\Admin\AppData\Local\Temp\54C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54C7.tmp"
        5⤵
        
        PID:4480

C:\Users\Admin\AppData\Local\Temp\615A.tmp
"C:\Users\Admin\AppData\Local\Temp\615A.tmp"
1⤵
PID:2668

C:\Users\Admin\AppData\Local\Temp\61F6.tmp
"C:\Users\Admin\AppData\Local\Temp\61F6.tmp"
1⤵
PID:1344
- C:\Users\Admin\AppData\Local\Temp\6244.tmp
  "C:\Users\Admin\AppData\Local\Temp\6244.tmp"
  2⤵
  PID:2460

C:\Users\Admin\AppData\Local\Temp\62E0.tmp
"C:\Users\Admin\AppData\Local\Temp\62E0.tmp"
1⤵
PID:1012
- C:\Users\Admin\AppData\Local\Temp\632E.tmp
  "C:\Users\Admin\AppData\Local\Temp\632E.tmp"
  2⤵
  PID:4336
- - C:\Users\Admin\AppData\Local\Temp\637D.tmp
    "C:\Users\Admin\AppData\Local\Temp\637D.tmp"
    3⤵
    PID:428
  - - C:\Users\Admin\AppData\Local\Temp\6E89.tmp
      "C:\Users\Admin\AppData\Local\Temp\6E89.tmp"
      4⤵
      PID:2360
    - - C:\Users\Admin\AppData\Local\Temp\6ED7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6ED7.tmp"
        5⤵
        
        PID:1228
      - C:\Users\Admin\AppData\Local\Temp\6F25.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F25.tmp"
        6⤵
        
        PID:3236

C:\Users\Admin\AppData\Local\Temp\6419.tmp
"C:\Users\Admin\AppData\Local\Temp\6419.tmp"
1⤵
PID:4300
- C:\Users\Admin\AppData\Local\Temp\6467.tmp
  "C:\Users\Admin\AppData\Local\Temp\6467.tmp"
  2⤵
  PID:1768
- - C:\Users\Admin\AppData\Local\Temp\64B5.tmp
    "C:\Users\Admin\AppData\Local\Temp\64B5.tmp"
    3⤵
    PID:1668
  - - C:\Users\Admin\AppData\Local\Temp\6503.tmp
      "C:\Users\Admin\AppData\Local\Temp\6503.tmp"
      4⤵
      PID:1584
    - - C:\Users\Admin\AppData\Local\Temp\6551.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6551.tmp"
        5⤵
        
        PID:624
    - - C:\Users\Admin\AppData\Local\Temp\AF4B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF4B.tmp"
        5⤵
        
        PID:1008
      - C:\Users\Admin\AppData\Local\Temp\AF99.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF99.tmp"
        6⤵
        
        PID:372
        
        C:\Users\Admin\AppData\Local\Temp\AFE7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AFE7.tmp"
        7⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\B035.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B035.tmp"
        8⤵
        
        PID:3444

C:\Users\Admin\AppData\Local\Temp\659F.tmp
"C:\Users\Admin\AppData\Local\Temp\659F.tmp"
1⤵
PID:1740
- C:\Users\Admin\AppData\Local\Temp\65EE.tmp
  "C:\Users\Admin\AppData\Local\Temp\65EE.tmp"
  2⤵
  PID:3956
- - C:\Users\Admin\AppData\Local\Temp\663C.tmp
    "C:\Users\Admin\AppData\Local\Temp\663C.tmp"
    3⤵
    PID:372
  - - C:\Users\Admin\AppData\Local\Temp\668A.tmp
      "C:\Users\Admin\AppData\Local\Temp\668A.tmp"
      4⤵
      PID:3092

C:\Users\Admin\AppData\Local\Temp\66D8.tmp
"C:\Users\Admin\AppData\Local\Temp\66D8.tmp"
1⤵
PID:1448
- C:\Users\Admin\AppData\Local\Temp\6726.tmp
  "C:\Users\Admin\AppData\Local\Temp\6726.tmp"
  2⤵
  PID:924
- - C:\Users\Admin\AppData\Local\Temp\6774.tmp
    "C:\Users\Admin\AppData\Local\Temp\6774.tmp"
    3⤵
    - Executes dropped EXE
    PID:4632
  - - C:\Users\Admin\AppData\Local\Temp\67C2.tmp
      "C:\Users\Admin\AppData\Local\Temp\67C2.tmp"
      4⤵
      Executes dropped EXE
      PID:4356
    - - C:\Users\Admin\AppData\Local\Temp\6810.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6810.tmp"
        5⤵
        
        PID:680
      - C:\Users\Admin\AppData\Local\Temp\D10B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D10B.tmp"
        6⤵
        
        PID:4392
        
        C:\Users\Admin\AppData\Local\Temp\D15A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D15A.tmp"
        7⤵
        
        PID:1200
        
        C:\Users\Admin\AppData\Local\Temp\D1A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1A8.tmp"
        8⤵
        
        PID:4584
        
        C:\Users\Admin\AppData\Local\Temp\E966.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E966.tmp"
        7⤵
        
        PID:228
        
        C:\Users\Admin\AppData\Local\Temp\E9B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9B4.tmp"
        8⤵
        
        PID:712
        
        C:\Users\Admin\AppData\Local\Temp\EA02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA02.tmp"
        9⤵
        
        PID:4440
        
        C:\Users\Admin\AppData\Local\Temp\E196.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E196.tmp"
        9⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\366.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\366.tmp"
        7⤵
        
        PID:3264
        
        C:\Users\Admin\AppData\Local\Temp\3B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B4.tmp"
        8⤵
        
        PID:3340
        
        C:\Users\Admin\AppData\Local\Temp\402.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\402.tmp"
        9⤵
        
        PID:2408
        
        C:\Users\Admin\AppData\Local\Temp\450.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\450.tmp"
        10⤵
        
        PID:3360
        
        C:\Users\Admin\AppData\Local\Temp\E918.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E918.tmp"
        8⤵
        Executes dropped EXE
        
        PID:4392

C:\Users\Admin\AppData\Local\Temp\685F.tmp
"C:\Users\Admin\AppData\Local\Temp\685F.tmp"
1⤵
PID:876
- C:\Users\Admin\AppData\Local\Temp\689D.tmp
  "C:\Users\Admin\AppData\Local\Temp\689D.tmp"
  2⤵
  PID:1172
- - C:\Users\Admin\AppData\Local\Temp\68EB.tmp
    "C:\Users\Admin\AppData\Local\Temp\68EB.tmp"
    3⤵
    PID:3344
  - - C:\Users\Admin\AppData\Local\Temp\6949.tmp
      "C:\Users\Admin\AppData\Local\Temp\6949.tmp"
      4⤵
      PID:3432
    - - C:\Users\Admin\AppData\Local\Temp\6997.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6997.tmp"
        5⤵
        
        PID:456
      - C:\Users\Admin\AppData\Local\Temp\69E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\69E5.tmp"
        6⤵
        
        PID:1876
        
        C:\Users\Admin\AppData\Local\Temp\7511.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7511.tmp"
        7⤵
        Executes dropped EXE
        
        PID:4168
        
        C:\Users\Admin\AppData\Local\Temp\755F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\755F.tmp"
        8⤵
        
        PID:2120
        
        C:\Users\Admin\AppData\Local\Temp\49EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49EA.tmp"
        8⤵
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\7FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FA.tmp"
        8⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\848.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\848.tmp"
        9⤵
        
        PID:2624
        
        C:\Users\Admin\AppData\Local\Temp\896.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\896.tmp"
        10⤵
        
        PID:3624
        
        C:\Users\Admin\AppData\Local\Temp\8E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E4.tmp"
        11⤵
        
        PID:1012
        
        C:\Users\Admin\AppData\Local\Temp\FF6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF6E.tmp"
        11⤵
        
        PID:1012
        
        C:\Users\Admin\AppData\Local\Temp\C321.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C321.tmp"
        12⤵
        
        PID:4424
        
        C:\Users\Admin\AppData\Local\Temp\5399.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5399.tmp"
        11⤵
        
        PID:1228
        
        C:\Users\Admin\AppData\Local\Temp\53E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53E7.tmp"
        12⤵
        
        PID:4100
        
        C:\Users\Admin\AppData\Local\Temp\5436.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5436.tmp"
        13⤵
        
        PID:4316
        
        C:\Users\Admin\AppData\Local\Temp\5EB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5EB5.tmp"
        14⤵
        
        PID:2216
        
        C:\Users\Admin\AppData\Local\Temp\5EF4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5EF4.tmp"
        15⤵
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\5F42.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F42.tmp"
        16⤵
        
        PID:5088
        
        C:\Users\Admin\AppData\Local\Temp\5F80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F80.tmp"
        17⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\5FCE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FCE.tmp"
        18⤵
        
        PID:1168
        
        C:\Users\Admin\AppData\Local\Temp\6AAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6AAC.tmp"
        17⤵
        
        PID:4392
        
        C:\Users\Admin\AppData\Local\Temp\6AFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6AFA.tmp"
        18⤵
        
        PID:1376
        
        C:\Users\Admin\AppData\Local\Temp\6B57.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B57.tmp"
        19⤵
        
        PID:4652
    - - C:\Users\Admin\AppData\Local\Temp\7484.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7484.tmp"
        5⤵
        
        PID:456
      - C:\Users\Admin\AppData\Local\Temp\74D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\74D2.tmp"
        6⤵
        
        PID:1876
      - C:\Users\Admin\AppData\Local\Temp\53B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53B.tmp"
        6⤵
        
        PID:1140
        
        C:\Users\Admin\AppData\Local\Temp\589.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\589.tmp"
        7⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\5D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D7.tmp"
        8⤵
        
        PID:1448
      - C:\Users\Admin\AppData\Local\Temp\215E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\215E.tmp"
        6⤵
        
        PID:1448
        
        C:\Users\Admin\AppData\Local\Temp\21AC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\21AC.tmp"
        7⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\21FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\21FA.tmp"
        8⤵
        
        PID:3896
        
        C:\Users\Admin\AppData\Local\Temp\2248.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2248.tmp"
        9⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\2296.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2296.tmp"
        10⤵
        
        PID:532
        
        C:\Users\Admin\AppData\Local\Temp\22E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\22E5.tmp"
        11⤵
        
        PID:548
        
        C:\Users\Admin\AppData\Local\Temp\ECF0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ECF0.tmp"
        12⤵
        
        PID:4192
        
        C:\Users\Admin\AppData\Local\Temp\2C1C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C1C.tmp"
        10⤵
        
        PID:3864
        
        C:\Users\Admin\AppData\Local\Temp\2C6A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C6A.tmp"
        11⤵
        
        PID:4076
        
        C:\Users\Admin\AppData\Local\Temp\C9A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9A9.tmp"
        12⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\F433.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F433.tmp"
        8⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\625.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\625.tmp"
        7⤵
        
        PID:4948
        
        C:\Users\Admin\AppData\Local\Temp\CAB2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAB2.tmp"
        8⤵
        
        PID:1168
        
        C:\Users\Admin\AppData\Local\Temp\5649.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5649.tmp"
        9⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\5687.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5687.tmp"
        10⤵
        
        PID:996
        
        C:\Users\Admin\AppData\Local\Temp\56D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56D5.tmp"
        11⤵
        
        PID:3116

C:\Users\Admin\AppData\Local\Temp\6A33.tmp
"C:\Users\Admin\AppData\Local\Temp\6A33.tmp"
1⤵
PID:1988

C:\Users\Admin\AppData\Local\Temp\6C56.tmp
"C:\Users\Admin\AppData\Local\Temp\6C56.tmp"
1⤵
PID:2668

C:\Users\Admin\AppData\Local\Temp\6CF2.tmp
"C:\Users\Admin\AppData\Local\Temp\6CF2.tmp"
1⤵
PID:1780
- C:\Users\Admin\AppData\Local\Temp\6D41.tmp
  "C:\Users\Admin\AppData\Local\Temp\6D41.tmp"
  2⤵
  PID:3128
- - C:\Users\Admin\AppData\Local\Temp\6D8F.tmp
    "C:\Users\Admin\AppData\Local\Temp\6D8F.tmp"
    3⤵
    PID:1012
  - - C:\Users\Admin\AppData\Local\Temp\6DDD.tmp
      "C:\Users\Admin\AppData\Local\Temp\6DDD.tmp"
      4⤵
      PID:4336
    - - C:\Users\Admin\AppData\Local\Temp\6E3B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E3B.tmp"
        5⤵
        
        PID:428
      - C:\Users\Admin\AppData\Local\Temp\63CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\63CB.tmp"
        6⤵
        
        PID:1120
    - - C:\Users\Admin\AppData\Local\Temp\4D93.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D93.tmp"
        5⤵
        
        PID:616
  - - C:\Users\Admin\AppData\Local\Temp\ADA5.tmp
      "C:\Users\Admin\AppData\Local\Temp\ADA5.tmp"
      4⤵
      PID:1832
    - - C:\Users\Admin\AppData\Local\Temp\ADF3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ADF3.tmp"
        5⤵
        
        PID:1440
      - C:\Users\Admin\AppData\Local\Temp\AE41.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE41.tmp"
        6⤵
        
        PID:4324
        
        C:\Users\Admin\AppData\Local\Temp\AEAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AEAF.tmp"
        7⤵
        
        PID:3972
        
        C:\Users\Admin\AppData\Local\Temp\AEFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AEFD.tmp"
        8⤵
        
        PID:1584
        
        C:\Users\Admin\AppData\Local\Temp\DE0C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE0C.tmp"
        8⤵
        
        PID:1228
        
        C:\Users\Admin\AppData\Local\Temp\DE5A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE5A.tmp"
        9⤵
        
        PID:4932

C:\Users\Admin\AppData\Local\Temp\7186.tmp
"C:\Users\Admin\AppData\Local\Temp\7186.tmp"
1⤵
PID:3952
- C:\Users\Admin\AppData\Local\Temp\71D4.tmp
  "C:\Users\Admin\AppData\Local\Temp\71D4.tmp"
  2⤵
  PID:4636
- - C:\Users\Admin\AppData\Local\Temp\7223.tmp
    "C:\Users\Admin\AppData\Local\Temp\7223.tmp"
    3⤵
    PID:4048
  - - C:\Users\Admin\AppData\Local\Temp\7271.tmp
      "C:\Users\Admin\AppData\Local\Temp\7271.tmp"
      4⤵
      PID:4844
    - - C:\Users\Admin\AppData\Local\Temp\72BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72BF.tmp"
        5⤵
        
        PID:1856
      - C:\Users\Admin\AppData\Local\Temp\C6BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6BB.tmp"
        6⤵
        
        PID:1280
        
        C:\Users\Admin\AppData\Local\Temp\C6F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6F9.tmp"
        7⤵
        
        PID:4756
        
        C:\Users\Admin\AppData\Local\Temp\46A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46A9.tmp"
        8⤵
        
        PID:1584
        
        C:\Users\Admin\AppData\Local\Temp\46E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46E7.tmp"
        9⤵
        Executes dropped EXE
        
        PID:228
        
        C:\Users\Admin\AppData\Local\Temp\4735.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4735.tmp"
        10⤵
        
        PID:316
        
        C:\Users\Admin\AppData\Local\Temp\4784.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4784.tmp"
        11⤵
        Executes dropped EXE
        
        PID:1988
        
        C:\Users\Admin\AppData\Local\Temp\47D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47D2.tmp"
        12⤵
        
        PID:4748
    - - C:\Users\Admin\AppData\Local\Temp\A577.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A577.tmp"
        5⤵
        
        PID:4404
      - C:\Users\Admin\AppData\Local\Temp\A5C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A5C5.tmp"
        6⤵
        
        PID:1068
        
        C:\Users\Admin\AppData\Local\Temp\A613.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A613.tmp"
        7⤵
        
        PID:3872
        
        C:\Users\Admin\AppData\Local\Temp\A662.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A662.tmp"
        8⤵
        
        PID:4304
        
        C:\Users\Admin\AppData\Local\Temp\A6B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A6B0.tmp"
        9⤵
        
        PID:3968

C:\Users\Admin\AppData\Local\Temp\730D.tmp
"C:\Users\Admin\AppData\Local\Temp\730D.tmp"
1⤵
PID:1924

C:\Users\Admin\AppData\Local\Temp\73A9.tmp
"C:\Users\Admin\AppData\Local\Temp\73A9.tmp"
1⤵
PID:1172
- C:\Users\Admin\AppData\Local\Temp\73E8.tmp
  "C:\Users\Admin\AppData\Local\Temp\73E8.tmp"
  2⤵
  PID:3344
- - C:\Users\Admin\AppData\Local\Temp\7436.tmp
    "C:\Users\Admin\AppData\Local\Temp\7436.tmp"
    3⤵
    PID:3432
- C:\Users\Admin\AppData\Local\Temp\A827.tmp
  "C:\Users\Admin\AppData\Local\Temp\A827.tmp"
  2⤵
  PID:4584
- - C:\Users\Admin\AppData\Local\Temp\A875.tmp
    "C:\Users\Admin\AppData\Local\Temp\A875.tmp"
    3⤵
    PID:2408
  - - C:\Users\Admin\AppData\Local\Temp\7F32.tmp
      "C:\Users\Admin\AppData\Local\Temp\7F32.tmp"
      4⤵
      PID:4440
  - - C:\Users\Admin\AppData\Local\Temp\A8C3.tmp
      "C:\Users\Admin\AppData\Local\Temp\A8C3.tmp"
      4⤵
      PID:4800
    - - C:\Users\Admin\AppData\Local\Temp\A911.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A911.tmp"
        5⤵
        
        PID:2152
      - C:\Users\Admin\AppData\Local\Temp\A95F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A95F.tmp"
        6⤵
        
        PID:4556
    - - C:\Users\Admin\AppData\Local\Temp\E1D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1D4.tmp"
        5⤵
        
        PID:5036
      - C:\Users\Admin\AppData\Local\Temp\E222.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E222.tmp"
        6⤵
        
        PID:3440
    - - C:\Users\Admin\AppData\Local\Temp\29AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\29AB.tmp"
        5⤵
        
        PID:3900
      - C:\Users\Admin\AppData\Local\Temp\29F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\29F9.tmp"
        6⤵
        
        PID:1768
        
        C:\Users\Admin\AppData\Local\Temp\2A47.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A47.tmp"
        7⤵
        
        PID:4628
      - C:\Users\Admin\AppData\Local\Temp\172D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\172D.tmp"
        6⤵
        Executes dropped EXE
        
        PID:1644
- - C:\Users\Admin\AppData\Local\Temp\D1F6.tmp
    "C:\Users\Admin\AppData\Local\Temp\D1F6.tmp"
    3⤵
    - Executes dropped EXE
    PID:2984
  - - C:\Users\Admin\AppData\Local\Temp\D244.tmp
      "C:\Users\Admin\AppData\Local\Temp\D244.tmp"
      4⤵
      PID:3896
    - - C:\Users\Admin\AppData\Local\Temp\D292.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D292.tmp"
        5⤵
        
        PID:3440
  - - C:\Users\Admin\AppData\Local\Temp\7318.tmp
      "C:\Users\Admin\AppData\Local\Temp\7318.tmp"
      4⤵
      PID:4420
    - - C:\Users\Admin\AppData\Local\Temp\7366.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7366.tmp"
        5⤵
        
        PID:3264
      - C:\Users\Admin\AppData\Local\Temp\73B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73B4.tmp"
        6⤵
        
        PID:4440
        
        C:\Users\Admin\AppData\Local\Temp\7402.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7402.tmp"
        7⤵
        
        PID:4748
        
        C:\Users\Admin\AppData\Local\Temp\7470.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7470.tmp"
        8⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\74DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\74DD.tmp"
        9⤵
        
        PID:2408
        
        C:\Users\Admin\AppData\Local\Temp\754A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\754A.tmp"
        10⤵
        
        PID:4428
        
        C:\Users\Admin\AppData\Local\Temp\75B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75B8.tmp"
        11⤵
        
        PID:2144
        
        C:\Users\Admin\AppData\Local\Temp\7625.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7625.tmp"
        12⤵
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\7673.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7673.tmp"
        13⤵
        
        PID:876
        
        C:\Users\Admin\AppData\Local\Temp\76D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76D1.tmp"
        14⤵
        
        PID:3896
        
        C:\Users\Admin\AppData\Local\Temp\774E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\774E.tmp"
        15⤵
        
        PID:2668
        
        C:\Users\Admin\AppData\Local\Temp\77EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77EA.tmp"
        16⤵
        
        PID:3832
        
        C:\Users\Admin\AppData\Local\Temp\7858.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7858.tmp"
        17⤵
        
        PID:3068
        
        C:\Users\Admin\AppData\Local\Temp\78A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78A6.tmp"
        18⤵
        
        PID:3588
        
        C:\Users\Admin\AppData\Local\Temp\78F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78F4.tmp"
        19⤵
        
        PID:852

C:\Users\Admin\AppData\Local\Temp\759D.tmp
"C:\Users\Admin\AppData\Local\Temp\759D.tmp"
1⤵
PID:3672
- C:\Users\Admin\AppData\Local\Temp\75EB.tmp
  "C:\Users\Admin\AppData\Local\Temp\75EB.tmp"
  2⤵
  PID:1044

C:\Users\Admin\AppData\Local\Temp\762A.tmp
"C:\Users\Admin\AppData\Local\Temp\762A.tmp"
1⤵
PID:2936
- C:\Users\Admin\AppData\Local\Temp\7678.tmp
  "C:\Users\Admin\AppData\Local\Temp\7678.tmp"
  2⤵
  PID:2508

C:\Users\Admin\AppData\Local\Temp\7743.tmp
"C:\Users\Admin\AppData\Local\Temp\7743.tmp"
1⤵
PID:1852
- C:\Users\Admin\AppData\Local\Temp\7791.tmp
  "C:\Users\Admin\AppData\Local\Temp\7791.tmp"
  2⤵
  PID:1440
- - C:\Users\Admin\AppData\Local\Temp\77DF.tmp
    "C:\Users\Admin\AppData\Local\Temp\77DF.tmp"
    3⤵
    PID:5016
  - - C:\Users\Admin\AppData\Local\Temp\782D.tmp
      "C:\Users\Admin\AppData\Local\Temp\782D.tmp"
      4⤵
      PID:4464
    - - C:\Users\Admin\AppData\Local\Temp\787C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\787C.tmp"
        5⤵
        
        PID:3764
- - C:\Users\Admin\AppData\Local\Temp\4D45.tmp
    "C:\Users\Admin\AppData\Local\Temp\4D45.tmp"
    3⤵
    - Executes dropped EXE
    PID:4336

C:\Users\Admin\AppData\Local\Temp\78CA.tmp
"C:\Users\Admin\AppData\Local\Temp\78CA.tmp"
1⤵
PID:2360
- C:\Users\Admin\AppData\Local\Temp\7918.tmp
  "C:\Users\Admin\AppData\Local\Temp\7918.tmp"
  2⤵
  PID:3212
- - C:\Users\Admin\AppData\Local\Temp\7966.tmp
    "C:\Users\Admin\AppData\Local\Temp\7966.tmp"
    3⤵
    PID:4940
  - - C:\Users\Admin\AppData\Local\Temp\79B4.tmp
      "C:\Users\Admin\AppData\Local\Temp\79B4.tmp"
      4⤵
      PID:1668
    - - C:\Users\Admin\AppData\Local\Temp\7A02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A02.tmp"
        5⤵
        
        PID:3884

C:\Users\Admin\AppData\Local\Temp\7C25.tmp
"C:\Users\Admin\AppData\Local\Temp\7C25.tmp"
1⤵
PID:4908
- C:\Users\Admin\AppData\Local\Temp\7C73.tmp
  "C:\Users\Admin\AppData\Local\Temp\7C73.tmp"
  2⤵
  PID:4432

C:\Users\Admin\AppData\Local\Temp\7CC1.tmp
"C:\Users\Admin\AppData\Local\Temp\7CC1.tmp"
1⤵
PID:408
- C:\Users\Admin\AppData\Local\Temp\7D0F.tmp
  "C:\Users\Admin\AppData\Local\Temp\7D0F.tmp"
  2⤵
  PID:3948
- - C:\Users\Admin\AppData\Local\Temp\7D5E.tmp
    "C:\Users\Admin\AppData\Local\Temp\7D5E.tmp"
    3⤵
    PID:1280

C:\Users\Admin\AppData\Local\Temp\7DAC.tmp
"C:\Users\Admin\AppData\Local\Temp\7DAC.tmp"
1⤵
PID:1924
- C:\Users\Admin\AppData\Local\Temp\7DFA.tmp
  "C:\Users\Admin\AppData\Local\Temp\7DFA.tmp"
  2⤵
  PID:3720
- - C:\Users\Admin\AppData\Local\Temp\7E48.tmp
    "C:\Users\Admin\AppData\Local\Temp\7E48.tmp"
    3⤵
    PID:60
  - - C:\Users\Admin\AppData\Local\Temp\7E96.tmp
      "C:\Users\Admin\AppData\Local\Temp\7E96.tmp"
      4⤵
      PID:4736
    - - C:\Users\Admin\AppData\Local\Temp\7EE4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7EE4.tmp"
        5⤵
        
        PID:2408
    - - C:\Users\Admin\AppData\Local\Temp\9D69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D69.tmp"
        5⤵
        
        PID:4248
      - C:\Users\Admin\AppData\Local\Temp\9DB7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DB7.tmp"
        6⤵
        
        PID:3108
        
        C:\Users\Admin\AppData\Local\Temp\9E05.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E05.tmp"
        7⤵
        
        PID:1744
        
        C:\Users\Admin\AppData\Local\Temp\B5D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B5D3.tmp"
        7⤵
        
        PID:1988
        
        C:\Users\Admin\AppData\Local\Temp\B621.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B621.tmp"
        8⤵
        
        PID:4408
        
        C:\Users\Admin\AppData\Local\Temp\B66F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B66F.tmp"
        9⤵
        
        PID:1752
        
        C:\Users\Admin\AppData\Local\Temp\C0B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0B0.tmp"
        10⤵
        
        PID:2568
        
        C:\Users\Admin\AppData\Local\Temp\C0FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0FE.tmp"
        11⤵
        
        PID:3116
        
        C:\Users\Admin\AppData\Local\Temp\C14C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C14C.tmp"
        12⤵
        
        PID:2216
  - - C:\Users\Admin\AppData\Local\Temp\BDB2.tmp
      "C:\Users\Admin\AppData\Local\Temp\BDB2.tmp"
      4⤵
      PID:2984
    - - C:\Users\Admin\AppData\Local\Temp\BE00.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE00.tmp"
        5⤵
        
        PID:3896
- C:\Users\Admin\AppData\Local\Temp\735B.tmp
  "C:\Users\Admin\AppData\Local\Temp\735B.tmp"
  2⤵
  PID:3720

C:\Users\Admin\AppData\Local\Temp\7F80.tmp
"C:\Users\Admin\AppData\Local\Temp\7F80.tmp"
1⤵
PID:2980
- C:\Users\Admin\AppData\Local\Temp\7FCF.tmp
  "C:\Users\Admin\AppData\Local\Temp\7FCF.tmp"
  2⤵
  PID:1588
- - C:\Users\Admin\AppData\Local\Temp\801D.tmp
    "C:\Users\Admin\AppData\Local\Temp\801D.tmp"
    3⤵
    PID:4076
- C:\Users\Admin\AppData\Local\Temp\BF77.tmp
  "C:\Users\Admin\AppData\Local\Temp\BF77.tmp"
  2⤵
  PID:3360
- - C:\Users\Admin\AppData\Local\Temp\BFC6.tmp
    "C:\Users\Admin\AppData\Local\Temp\BFC6.tmp"
    3⤵
    PID:2368
  - - C:\Users\Admin\AppData\Local\Temp\C014.tmp
      "C:\Users\Admin\AppData\Local\Temp\C014.tmp"
      4⤵
      PID:1984
  - - C:\Users\Admin\AppData\Local\Temp\D409.tmp
      "C:\Users\Admin\AppData\Local\Temp\D409.tmp"
      4⤵
      PID:1984

C:\Users\Admin\AppData\Local\Temp\806B.tmp
"C:\Users\Admin\AppData\Local\Temp\806B.tmp"
1⤵
PID:2316
- C:\Users\Admin\AppData\Local\Temp\80B9.tmp
  "C:\Users\Admin\AppData\Local\Temp\80B9.tmp"
  2⤵
  PID:1044
- - C:\Users\Admin\AppData\Local\Temp\8107.tmp
    "C:\Users\Admin\AppData\Local\Temp\8107.tmp"
    3⤵
    PID:636
  - - C:\Users\Admin\AppData\Local\Temp\8155.tmp
      "C:\Users\Admin\AppData\Local\Temp\8155.tmp"
      4⤵
      PID:2460
    - - C:\Users\Admin\AppData\Local\Temp\81A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\81A3.tmp"
        5⤵
        
        PID:2216
      - C:\Users\Admin\AppData\Local\Temp\C19A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C19A.tmp"
        6⤵
        
        PID:4580
        
        C:\Users\Admin\AppData\Local\Temp\C1E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C1E8.tmp"
        7⤵
        
        PID:4028
        
        C:\Users\Admin\AppData\Local\Temp\C237.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C237.tmp"
        8⤵
        
        PID:1592
        
        C:\Users\Admin\AppData\Local\Temp\C285.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C285.tmp"
        9⤵
        
        PID:1228
        
        C:\Users\Admin\AppData\Local\Temp\C2D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C2D3.tmp"
        10⤵
        
        PID:1012
        
        C:\Users\Admin\AppData\Local\Temp\FFBD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFBD.tmp"
        11⤵
        
        PID:1120
        
        C:\Users\Admin\AppData\Local\Temp\B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B.tmp"
        12⤵
        
        PID:3400
        
        C:\Users\Admin\AppData\Local\Temp\59.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59.tmp"
        13⤵
        
        PID:4504
        
        C:\Users\Admin\AppData\Local\Temp\6D1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D1D.tmp"
        13⤵
        
        PID:2068
        
        C:\Users\Admin\AppData\Local\Temp\6D6B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D6B.tmp"
        14⤵
        
        PID:1336
        
        C:\Users\Admin\AppData\Local\Temp\6DB9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DB9.tmp"
        15⤵
        
        PID:1280
        
        C:\Users\Admin\AppData\Local\Temp\932.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\932.tmp"
        11⤵
        
        PID:3500
        
        C:\Users\Admin\AppData\Local\Temp\981.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\981.tmp"
        12⤵
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\9CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9CF.tmp"
        13⤵
        
        PID:2976
        
        C:\Users\Admin\AppData\Local\Temp\1345.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1345.tmp"
        7⤵
        
        PID:4728
        
        C:\Users\Admin\AppData\Local\Temp\1383.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1383.tmp"
        8⤵
        
        PID:1044
        
        C:\Users\Admin\AppData\Local\Temp\13D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\13D1.tmp"
        9⤵
        
        PID:1832
        
        C:\Users\Admin\AppData\Local\Temp\141F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\141F.tmp"
        10⤵
        
        PID:4636
        
        C:\Users\Admin\AppData\Local\Temp\146D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\146D.tmp"
        11⤵
        
        PID:684
        
        C:\Users\Admin\AppData\Local\Temp\3A55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A55.tmp"
        9⤵
        
        PID:1832
        
        C:\Users\Admin\AppData\Local\Temp\3AA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3AA3.tmp"
        10⤵
        
        PID:4876
        
        C:\Users\Admin\AppData\Local\Temp\3AF1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3AF1.tmp"
        11⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\3B3F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B3F.tmp"
        12⤵
        
        PID:4844
        
        C:\Users\Admin\AppData\Local\Temp\1CCA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1CCA.tmp"
        7⤵
        
        PID:3992
        
        C:\Users\Admin\AppData\Local\Temp\1D18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D18.tmp"
        8⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\1D66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D66.tmp"
        9⤵
        
        PID:3660
        
        C:\Users\Admin\AppData\Local\Temp\30BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30BF.tmp"
        10⤵
        
        PID:4584
        
        C:\Users\Admin\AppData\Local\Temp\310E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\310E.tmp"
        11⤵
        
        PID:3872
        
        C:\Users\Admin\AppData\Local\Temp\315C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\315C.tmp"
        12⤵
        
        PID:4864
        
        C:\Users\Admin\AppData\Local\Temp\CDFE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDFE.tmp"
        8⤵
        
        PID:2676
    - - C:\Users\Admin\AppData\Local\Temp\6292.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6292.tmp"
        5⤵
        
        PID:4656

C:\Users\Admin\AppData\Local\Temp\81E2.tmp
"C:\Users\Admin\AppData\Local\Temp\81E2.tmp"
1⤵
PID:3932
- C:\Users\Admin\AppData\Local\Temp\8230.tmp
  "C:\Users\Admin\AppData\Local\Temp\8230.tmp"
  2⤵
  PID:1852
- - C:\Users\Admin\AppData\Local\Temp\827E.tmp
    "C:\Users\Admin\AppData\Local\Temp\827E.tmp"
    3⤵
    PID:2068
- C:\Users\Admin\AppData\Local\Temp\D5DE.tmp
  "C:\Users\Admin\AppData\Local\Temp\D5DE.tmp"
  2⤵
  PID:4028
- - C:\Users\Admin\AppData\Local\Temp\D62C.tmp
    "C:\Users\Admin\AppData\Local\Temp\D62C.tmp"
    3⤵
    PID:1120
  - - C:\Users\Admin\AppData\Local\Temp\D67A.tmp
      "C:\Users\Admin\AppData\Local\Temp\D67A.tmp"
      4⤵
      PID:2068
    - - C:\Users\Admin\AppData\Local\Temp\D6C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6C8.tmp"
        5⤵
        
        PID:1592

C:\Users\Admin\AppData\Local\Temp\858B.tmp
"C:\Users\Admin\AppData\Local\Temp\858B.tmp"
1⤵
PID:4636
- C:\Users\Admin\AppData\Local\Temp\85D9.tmp
  "C:\Users\Admin\AppData\Local\Temp\85D9.tmp"
  2⤵
  PID:2708
- - C:\Users\Admin\AppData\Local\Temp\8628.tmp
    "C:\Users\Admin\AppData\Local\Temp\8628.tmp"
    3⤵
    PID:4948
  - - C:\Users\Admin\AppData\Local\Temp\8676.tmp
      "C:\Users\Admin\AppData\Local\Temp\8676.tmp"
      4⤵
      PID:4980

C:\Users\Admin\AppData\Local\Temp\86C4.tmp
"C:\Users\Admin\AppData\Local\Temp\86C4.tmp"
1⤵
PID:3220
- C:\Users\Admin\AppData\Local\Temp\8712.tmp
  "C:\Users\Admin\AppData\Local\Temp\8712.tmp"
  2⤵
  PID:1280
- - C:\Users\Admin\AppData\Local\Temp\8760.tmp
    "C:\Users\Admin\AppData\Local\Temp\8760.tmp"
    3⤵
    PID:1200
  - - C:\Users\Admin\AppData\Local\Temp\87AE.tmp
      "C:\Users\Admin\AppData\Local\Temp\87AE.tmp"
      4⤵
      PID:3356

C:\Users\Admin\AppData\Local\Temp\87FC.tmp
"C:\Users\Admin\AppData\Local\Temp\87FC.tmp"
1⤵
PID:4808
- C:\Users\Admin\AppData\Local\Temp\884A.tmp
  "C:\Users\Admin\AppData\Local\Temp\884A.tmp"
  2⤵
  PID:2876
- - C:\Users\Admin\AppData\Local\Temp\8899.tmp
    "C:\Users\Admin\AppData\Local\Temp\8899.tmp"
    3⤵
    PID:2448
  - - C:\Users\Admin\AppData\Local\Temp\92CA.tmp
      "C:\Users\Admin\AppData\Local\Temp\92CA.tmp"
      4⤵
      PID:4440
    - - C:\Users\Admin\AppData\Local\Temp\9318.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9318.tmp"
        5⤵
        
        PID:3424
      - C:\Users\Admin\AppData\Local\Temp\9366.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9366.tmp"
        6⤵
        
        PID:3776
        
        C:\Users\Admin\AppData\Local\Temp\93B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\93B4.tmp"
        7⤵
        
        PID:4784
        
        C:\Users\Admin\AppData\Local\Temp\F77F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F77F.tmp"
        8⤵
        
        PID:4240
        
        C:\Users\Admin\AppData\Local\Temp\F7CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F7CD.tmp"
        9⤵
        
        PID:4668
        
        C:\Users\Admin\AppData\Local\Temp\F81B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F81B.tmp"
        10⤵
        
        PID:2428
      - C:\Users\Admin\AppData\Local\Temp\4A86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A86.tmp"
        6⤵
        
        PID:1928
- - C:\Users\Admin\AppData\Local\Temp\FB77.tmp
    "C:\Users\Admin\AppData\Local\Temp\FB77.tmp"
    3⤵
    - Executes dropped EXE
    PID:1008
  - - C:\Users\Admin\AppData\Local\Temp\FBC5.tmp
      "C:\Users\Admin\AppData\Local\Temp\FBC5.tmp"
      4⤵
      PID:3900
    - - C:\Users\Admin\AppData\Local\Temp\FC13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC13.tmp"
        5⤵
        
        PID:4316
      - C:\Users\Admin\AppData\Local\Temp\FC61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC61.tmp"
        6⤵
        
        PID:3868
        
        C:\Users\Admin\AppData\Local\Temp\FCAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FCAF.tmp"
        7⤵
        
        PID:1448
        
        C:\Users\Admin\AppData\Local\Temp\FCFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FCFD.tmp"
        8⤵
        
        PID:4948
        
        C:\Users\Admin\AppData\Local\Temp\673.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\673.tmp"
        9⤵
        
        PID:1316
        
        C:\Users\Admin\AppData\Local\Temp\6C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C1.tmp"
        10⤵
        
        PID:4140
        
        C:\Users\Admin\AppData\Local\Temp\710.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\710.tmp"
        11⤵
        
        PID:3436
        
        C:\Users\Admin\AppData\Local\Temp\75E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75E.tmp"
        12⤵
        
        PID:3628
        
        C:\Users\Admin\AppData\Local\Temp\7AC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AC.tmp"
        13⤵
        
        PID:4168
        
        C:\Users\Admin\AppData\Local\Temp\1921.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1921.tmp"
        10⤵
        
        PID:2368
        
        C:\Users\Admin\AppData\Local\Temp\196F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\196F.tmp"
        11⤵
        
        PID:3640
        
        C:\Users\Admin\AppData\Local\Temp\19BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\19BD.tmp"
        12⤵
        
        PID:4140
        
        C:\Users\Admin\AppData\Local\Temp\44B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\44B5.tmp"
        13⤵
        
        PID:4360
        
        C:\Users\Admin\AppData\Local\Temp\4503.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4503.tmp"
        14⤵
        
        PID:4032
        
        C:\Users\Admin\AppData\Local\Temp\4551.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4551.tmp"
        15⤵
        
        PID:348
        
        C:\Users\Admin\AppData\Local\Temp\45BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\45BE.tmp"
        16⤵
        
        PID:1756
        
        C:\Users\Admin\AppData\Local\Temp\460D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\460D.tmp"
        17⤵
        
        PID:4324
        
        C:\Users\Admin\AppData\Local\Temp\465B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\465B.tmp"
        18⤵
        
        PID:4756
        
        C:\Users\Admin\AppData\Local\Temp\5762.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5762.tmp"
        12⤵
        
        PID:4636
        
        C:\Users\Admin\AppData\Local\Temp\57B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57B0.tmp"
        13⤵
        
        PID:4076
        
        C:\Users\Admin\AppData\Local\Temp\57FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57FE.tmp"
        14⤵
        
        PID:4408

C:\Users\Admin\AppData\Local\Temp\8A6D.tmp
"C:\Users\Admin\AppData\Local\Temp\8A6D.tmp"
1⤵
PID:4872
- C:\Users\Admin\AppData\Local\Temp\8AAC.tmp
  "C:\Users\Admin\AppData\Local\Temp\8AAC.tmp"
  2⤵
  PID:2972
- - C:\Users\Admin\AppData\Local\Temp\AB82.tmp
    "C:\Users\Admin\AppData\Local\Temp\AB82.tmp"
    3⤵
    PID:1044
  - - C:\Users\Admin\AppData\Local\Temp\ABD0.tmp
      "C:\Users\Admin\AppData\Local\Temp\ABD0.tmp"
      4⤵
      PID:5088
    - - C:\Users\Admin\AppData\Local\Temp\AC0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC0F.tmp"
        5⤵
        
        PID:616
      - C:\Users\Admin\AppData\Local\Temp\AC5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC5D.tmp"
        6⤵
        
        PID:2732
        
        C:\Users\Admin\AppData\Local\Temp\ACDA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ACDA.tmp"
        7⤵
        
        PID:1592
      - C:\Users\Admin\AppData\Local\Temp\B7D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7D6.tmp"
        6⤵
        
        PID:4312
        
        C:\Users\Admin\AppData\Local\Temp\B815.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B815.tmp"
        7⤵
        
        PID:3420
        
        C:\Users\Admin\AppData\Local\Temp\E5BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5BC.tmp"
        8⤵
        
        PID:2880
        
        C:\Users\Admin\AppData\Local\Temp\E60A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E60A.tmp"
        9⤵
        
        PID:428
        
        C:\Users\Admin\AppData\Local\Temp\E659.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E659.tmp"
        10⤵
        
        PID:2756
        
        C:\Users\Admin\AppData\Local\Temp\126A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\126A.tmp"
        9⤵
        
        PID:948
        
        C:\Users\Admin\AppData\Local\Temp\12A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12A8.tmp"
        10⤵
        
        PID:4240
        
        C:\Users\Admin\AppData\Local\Temp\2F29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F29.tmp"
        11⤵
        
        PID:2428
        
        C:\Users\Admin\AppData\Local\Temp\2F68.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F68.tmp"
        12⤵
        
        PID:5004
        
        C:\Users\Admin\AppData\Local\Temp\249A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\249A.tmp"
        8⤵
        
        PID:1012
        
        C:\Users\Admin\AppData\Local\Temp\24E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24E8.tmp"
        9⤵
        
        PID:3500
        
        C:\Users\Admin\AppData\Local\Temp\2536.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2536.tmp"
        10⤵
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\2584.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2584.tmp"
        11⤵
        
        PID:2756
        
        C:\Users\Admin\AppData\Local\Temp\39C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\39C8.tmp"
        11⤵
        
        PID:4504
        
        C:\Users\Admin\AppData\Local\Temp\3A06.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A06.tmp"
        12⤵
        
        PID:1044
        
        C:\Users\Admin\AppData\Local\Temp\A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A7.tmp"
        12⤵
        
        PID:3148
        
        C:\Users\Admin\AppData\Local\Temp\EEC5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EEC5.tmp"
        12⤵
        
        PID:4324
        
        C:\Users\Admin\AppData\Local\Temp\C4A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4A8.tmp"
        12⤵
        
        PID:2756
        
        C:\Users\Admin\AppData\Local\Temp\38DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\38DE.tmp"
        8⤵
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\392C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\392C.tmp"
        9⤵
        
        PID:2976
        
        C:\Users\Admin\AppData\Local\Temp\397A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\397A.tmp"
        10⤵
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\A1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A1D.tmp"
        10⤵
        
        PID:5004

C:\Users\Admin\AppData\Local\Temp\8AFA.tmp
"C:\Users\Admin\AppData\Local\Temp\8AFA.tmp"
1⤵
PID:2668
- C:\Users\Admin\AppData\Local\Temp\8B48.tmp
  "C:\Users\Admin\AppData\Local\Temp\8B48.tmp"
  2⤵
  PID:4132
- - C:\Users\Admin\AppData\Local\Temp\8B87.tmp
    "C:\Users\Admin\AppData\Local\Temp\8B87.tmp"
    3⤵
    PID:1592
  - - C:\Users\Admin\AppData\Local\Temp\AD18.tmp
      "C:\Users\Admin\AppData\Local\Temp\AD18.tmp"
      4⤵
      PID:2068
    - - C:\Users\Admin\AppData\Local\Temp\AD66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD66.tmp"
        5⤵
        
        PID:1012
    - - C:\Users\Admin\AppData\Local\Temp\CC29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC29.tmp"
        5⤵
        
        PID:1592
      - C:\Users\Admin\AppData\Local\Temp\CC78.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC78.tmp"
        6⤵
        
        PID:4324
        
        C:\Users\Admin\AppData\Local\Temp\CCC6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCC6.tmp"
        7⤵
        Executes dropped EXE
        
        PID:4300
        
        C:\Users\Admin\AppData\Local\Temp\CD14.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD14.tmp"
        8⤵
        
        PID:4424
        
        C:\Users\Admin\AppData\Local\Temp\EF13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF13.tmp"
        7⤵
        
        PID:3176
        
        C:\Users\Admin\AppData\Local\Temp\EF61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF61.tmp"
        8⤵
        
        PID:4608
        
        C:\Users\Admin\AppData\Local\Temp\EFAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFAF.tmp"
        9⤵
        
        PID:408
        
        C:\Users\Admin\AppData\Local\Temp\AF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF8.tmp"
        10⤵
        
        PID:348
        
        C:\Users\Admin\AppData\Local\Temp\B36.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B36.tmp"
        11⤵
        
        PID:4844
        
        C:\Users\Admin\AppData\Local\Temp\B84.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B84.tmp"
        12⤵
        
        PID:3840
        
        C:\Users\Admin\AppData\Local\Temp\BD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD2.tmp"
        13⤵
        
        PID:1200
        
        C:\Users\Admin\AppData\Local\Temp\D7A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7A3.tmp"
        13⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\3033.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3033.tmp"
        9⤵
        
        PID:348
        
        C:\Users\Admin\AppData\Local\Temp\3071.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3071.tmp"
        10⤵
        
        PID:3660
        
        C:\Users\Admin\AppData\Local\Temp\1DB4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DB4.tmp"
        11⤵
        
        PID:2724
      - C:\Users\Admin\AppData\Local\Temp\D716.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D716.tmp"
        6⤵
        
        PID:3764
        
        C:\Users\Admin\AppData\Local\Temp\D764.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D764.tmp"
        7⤵
        
        PID:3840

C:\Users\Admin\AppData\Local\Temp\8BC5.tmp
"C:\Users\Admin\AppData\Local\Temp\8BC5.tmp"
1⤵
PID:4028
- C:\Users\Admin\AppData\Local\Temp\8C13.tmp
  "C:\Users\Admin\AppData\Local\Temp\8C13.tmp"
  2⤵
  PID:4424
- - C:\Users\Admin\AppData\Local\Temp\8C61.tmp
    "C:\Users\Admin\AppData\Local\Temp\8C61.tmp"
    3⤵
    PID:4324
  - - C:\Users\Admin\AppData\Local\Temp\8CAF.tmp
      "C:\Users\Admin\AppData\Local\Temp\8CAF.tmp"
      4⤵
      PID:4464
    - - C:\Users\Admin\AppData\Local\Temp\8CFE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8CFE.tmp"
        5⤵
        
        PID:4876
    - - C:\Users\Admin\AppData\Local\Temp\5861.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5861.tmp"
        5⤵
        
        PID:3640

C:\Users\Admin\AppData\Local\Temp\8D4C.tmp
"C:\Users\Admin\AppData\Local\Temp\8D4C.tmp"
1⤵
PID:2028
- C:\Users\Admin\AppData\Local\Temp\8D9A.tmp
  "C:\Users\Admin\AppData\Local\Temp\8D9A.tmp"
  2⤵
  PID:3176
- - C:\Users\Admin\AppData\Local\Temp\8DE8.tmp
    "C:\Users\Admin\AppData\Local\Temp\8DE8.tmp"
    3⤵
    PID:4492
  - - C:\Users\Admin\AppData\Local\Temp\8E36.tmp
      "C:\Users\Admin\AppData\Local\Temp\8E36.tmp"
      4⤵
      PID:5004
    - - C:\Users\Admin\AppData\Local\Temp\8E84.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E84.tmp"
        5⤵
        
        PID:3668
  - - C:\Users\Admin\AppData\Local\Temp\98C5.tmp
      "C:\Users\Admin\AppData\Local\Temp\98C5.tmp"
      4⤵
      PID:5004
    - - C:\Users\Admin\AppData\Local\Temp\9913.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9913.tmp"
        5⤵
        
        PID:3668
      - C:\Users\Admin\AppData\Local\Temp\9961.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9961.tmp"
        6⤵
        
        PID:228
        
        C:\Users\Admin\AppData\Local\Temp\99B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\99B0.tmp"
        7⤵
        
        PID:1756
        
        C:\Users\Admin\AppData\Local\Temp\99FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\99FE.tmp"
        8⤵
        
        PID:2016
        
        C:\Users\Admin\AppData\Local\Temp\9A4C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9A4C.tmp"
        9⤵
        
        PID:3064
        
        C:\Users\Admin\AppData\Local\Temp\9AAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9AAA.tmp"
        10⤵
        
        PID:1644
        
        C:\Users\Admin\AppData\Local\Temp\9AF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9AF8.tmp"
        11⤵
        
        PID:4444
        
        C:\Users\Admin\AppData\Local\Temp\E8CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E8CA.tmp"
        11⤵
        
        PID:3264
        
        C:\Users\Admin\AppData\Local\Temp\46FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46FC.tmp"
        8⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4848
        
        C:\Users\Admin\AppData\Local\Temp\7097.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7097.tmp"
        9⤵
        
        PID:1752
        
        C:\Users\Admin\AppData\Local\Temp\70E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\70E5.tmp"
        10⤵
        
        PID:2448
        
        C:\Users\Admin\AppData\Local\Temp\7133.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7133.tmp"
        11⤵
        
        PID:4280
        
        C:\Users\Admin\AppData\Local\Temp\7191.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7191.tmp"
        12⤵
        
        PID:996
        
        C:\Users\Admin\AppData\Local\Temp\71DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71DF.tmp"
        13⤵
        
        PID:3660
- C:\Users\Admin\AppData\Local\Temp\9829.tmp
  "C:\Users\Admin\AppData\Local\Temp\9829.tmp"
  2⤵
  PID:3176
- - C:\Users\Admin\AppData\Local\Temp\9877.tmp
    "C:\Users\Admin\AppData\Local\Temp\9877.tmp"
    3⤵
    PID:4492

C:\Users\Admin\AppData\Local\Temp\8EE2.tmp
"C:\Users\Admin\AppData\Local\Temp\8EE2.tmp"
1⤵
PID:228
- C:\Users\Admin\AppData\Local\Temp\8F30.tmp
  "C:\Users\Admin\AppData\Local\Temp\8F30.tmp"
  2⤵
  PID:2752
- - C:\Users\Admin\AppData\Local\Temp\8F7E.tmp
    "C:\Users\Admin\AppData\Local\Temp\8F7E.tmp"
    3⤵
    PID:4636
  - - C:\Users\Admin\AppData\Local\Temp\8FCC.tmp
      "C:\Users\Admin\AppData\Local\Temp\8FCC.tmp"
      4⤵
      PID:2708
    - - C:\Users\Admin\AppData\Local\Temp\902A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\902A.tmp"
        5⤵
        
        PID:4080
      - C:\Users\Admin\AppData\Local\Temp\9078.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9078.tmp"
        6⤵
        
        PID:876
        
        C:\Users\Admin\AppData\Local\Temp\90C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\90C6.tmp"
        7⤵
        
        PID:4708
        
        C:\Users\Admin\AppData\Local\Temp\9C7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C7E.tmp"
        8⤵
        
        PID:4864
        
        C:\Users\Admin\AppData\Local\Temp\9CCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9CCC.tmp"
        9⤵
        
        PID:3356
        
        C:\Users\Admin\AppData\Local\Temp\9D1B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D1B.tmp"
        10⤵
        
        PID:4736
        
        C:\Users\Admin\AppData\Local\Temp\B536.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B536.tmp"
        11⤵
        
        PID:4248
        
        C:\Users\Admin\AppData\Local\Temp\B585.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B585.tmp"
        12⤵
        
        PID:3108
        
        C:\Users\Admin\AppData\Local\Temp\C91C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C91C.tmp"
        12⤵
        
        PID:3108
        
        C:\Users\Admin\AppData\Local\Temp\C96A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C96A.tmp"
        13⤵
        
        PID:4076
        
        C:\Users\Admin\AppData\Local\Temp\F04B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F04B.tmp"
        7⤵
        
        PID:4844
        
        C:\Users\Admin\AppData\Local\Temp\F09A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F09A.tmp"
        8⤵
        
        PID:1584
        
        C:\Users\Admin\AppData\Local\Temp\27F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27F5.tmp"
        9⤵
        
        PID:1200
        
        C:\Users\Admin\AppData\Local\Temp\2844.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2844.tmp"
        10⤵
        
        PID:1988
        
        C:\Users\Admin\AppData\Local\Temp\C20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C20.tmp"
        10⤵
        
        PID:4864
        
        C:\Users\Admin\AppData\Local\Temp\E0FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0FA.tmp"
        11⤵
        
        PID:228
        
        C:\Users\Admin\AppData\Local\Temp\D9F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D9F5.tmp"
        10⤵
        
        PID:4748
        
        C:\Users\Admin\AppData\Local\Temp\4820.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4820.tmp"
        11⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\486E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\486E.tmp"
        12⤵
        
        PID:3440
        
        C:\Users\Admin\AppData\Local\Temp\48BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\48BC.tmp"
        13⤵
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\491A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\491A.tmp"
        14⤵
        
        PID:372
        
        C:\Users\Admin\AppData\Local\Temp\4987.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4987.tmp"
        15⤵
        
        PID:3148
        
        C:\Users\Admin\AppData\Local\Temp\49D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49D5.tmp"
        16⤵
        
        PID:4628
        
        C:\Users\Admin\AppData\Local\Temp\4A23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A23.tmp"
        17⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\4A81.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A81.tmp"
        18⤵
        
        PID:1376
        
        C:\Users\Admin\AppData\Local\Temp\4ACF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4ACF.tmp"
        19⤵
        Executes dropped EXE
        
        PID:3068
        
        C:\Users\Admin\AppData\Local\Temp\4B1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B1D.tmp"
        20⤵
        
        PID:2092
        
        C:\Users\Admin\AppData\Local\Temp\4BC9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BC9.tmp"
        21⤵
        
        PID:4304
        
        C:\Users\Admin\AppData\Local\Temp\4C37.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C37.tmp"
        22⤵
        Executes dropped EXE
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\4C85.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C85.tmp"
        23⤵
        
        PID:4528
        
        C:\Users\Admin\AppData\Local\Temp\4CD3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4CD3.tmp"
        24⤵
        
        PID:4076
        
        C:\Users\Admin\AppData\Local\Temp\4D50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D50.tmp"
        25⤵
        
        PID:2288
        
        C:\Users\Admin\AppData\Local\Temp\4DDD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4DDD.tmp"
        26⤵
        
        PID:4312
        
        C:\Users\Admin\AppData\Local\Temp\61F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\61F1.tmp"
        26⤵
        
        PID:3996
        
        C:\Users\Admin\AppData\Local\Temp\623F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\623F.tmp"
        27⤵
        
        PID:4932
        
        C:\Users\Admin\AppData\Local\Temp\628D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\628D.tmp"
        28⤵
        
        PID:3356
        
        C:\Users\Admin\AppData\Local\Temp\62DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\62DC.tmp"
        29⤵
        
        PID:3664
        
        C:\Users\Admin\AppData\Local\Temp\6349.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6349.tmp"
        30⤵
        
        PID:3092
        
        C:\Users\Admin\AppData\Local\Temp\6397.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6397.tmp"
        31⤵
        
        PID:3104
        
        C:\Users\Admin\AppData\Local\Temp\7AB9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AB9.tmp"
        15⤵
        
        PID:1012
    - - C:\Users\Admin\AppData\Local\Temp\47E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47E6.tmp"
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1612

C:\Users\Admin\AppData\Local\Temp\9402.tmp
"C:\Users\Admin\AppData\Local\Temp\9402.tmp"
1⤵
PID:2316
- C:\Users\Admin\AppData\Local\Temp\9441.tmp
  "C:\Users\Admin\AppData\Local\Temp\9441.tmp"
  2⤵
  - Executes dropped EXE
  PID:2308
- - C:\Users\Admin\AppData\Local\Temp\948F.tmp
    "C:\Users\Admin\AppData\Local\Temp\948F.tmp"
    3⤵
    PID:4368
  - - C:\Users\Admin\AppData\Local\Temp\94DD.tmp
      "C:\Users\Admin\AppData\Local\Temp\94DD.tmp"
      4⤵
      PID:880
- - C:\Users\Admin\AppData\Local\Temp\6C08.tmp
    "C:\Users\Admin\AppData\Local\Temp\6C08.tmp"
    3⤵
    PID:4368
- - C:\Users\Admin\AppData\Local\Temp\55B1.tmp
    "C:\Users\Admin\AppData\Local\Temp\55B1.tmp"
    3⤵
    PID:4368
- C:\Users\Admin\AppData\Local\Temp\A018.tmp
  "C:\Users\Admin\AppData\Local\Temp\A018.tmp"
  2⤵
  PID:3068
- - C:\Users\Admin\AppData\Local\Temp\A066.tmp
    "C:\Users\Admin\AppData\Local\Temp\A066.tmp"
    3⤵
    PID:1060
  - - C:\Users\Admin\AppData\Local\Temp\A0B4.tmp
      "C:\Users\Admin\AppData\Local\Temp\A0B4.tmp"
      4⤵
      PID:2668
    - - C:\Users\Admin\AppData\Local\Temp\A103.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A103.tmp"
        5⤵
        
        PID:4312
      - C:\Users\Admin\AppData\Local\Temp\A151.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A151.tmp"
        6⤵
        
        PID:3420
    - - C:\Users\Admin\AppData\Local\Temp\6CA4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CA4.tmp"
        5⤵
        
        PID:3116
    - - C:\Users\Admin\AppData\Local\Temp\61A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\61A8.tmp"
        5⤵
        
        PID:2512
- - C:\Users\Admin\AppData\Local\Temp\4BBE.tmp
    "C:\Users\Admin\AppData\Local\Temp\4BBE.tmp"
    3⤵
    - Executes dropped EXE
    PID:3396
- - C:\Users\Admin\AppData\Local\Temp\EC54.tmp
    "C:\Users\Admin\AppData\Local\Temp\EC54.tmp"
    3⤵
    PID:452
  - - C:\Users\Admin\AppData\Local\Temp\ECA2.tmp
      "C:\Users\Admin\AppData\Local\Temp\ECA2.tmp"
      4⤵
      PID:548
    - - C:\Users\Admin\AppData\Local\Temp\2333.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2333.tmp"
        5⤵
        
        PID:3436
      - C:\Users\Admin\AppData\Local\Temp\2381.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2381.tmp"
        6⤵
        
        PID:2592
        
        C:\Users\Admin\AppData\Local\Temp\23CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23CF.tmp"
        7⤵
        
        PID:4168
        
        C:\Users\Admin\AppData\Local\Temp\241D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\241D.tmp"
        8⤵
        
        PID:1336
        
        C:\Users\Admin\AppData\Local\Temp\433E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\433E.tmp"
        9⤵
        
        PID:4792
        
        C:\Users\Admin\AppData\Local\Temp\438C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\438C.tmp"
        10⤵
        
        PID:2544
        
        C:\Users\Admin\AppData\Local\Temp\43DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\43DA.tmp"
        11⤵
        
        PID:948
        
        C:\Users\Admin\AppData\Local\Temp\4428.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4428.tmp"
        12⤵
        
        PID:2428
        
        C:\Users\Admin\AppData\Local\Temp\4476.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4476.tmp"
        13⤵
        
        PID:4140
      - C:\Users\Admin\AppData\Local\Temp\411B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\411B.tmp"
        6⤵
        
        PID:3628
        
        C:\Users\Admin\AppData\Local\Temp\4169.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4169.tmp"
        7⤵
        
        PID:1124

C:\Users\Admin\AppData\Local\Temp\951C.tmp
"C:\Users\Admin\AppData\Local\Temp\951C.tmp"
1⤵
PID:2184
- C:\Users\Admin\AppData\Local\Temp\956A.tmp
  "C:\Users\Admin\AppData\Local\Temp\956A.tmp"
  2⤵
  PID:4628
- - C:\Users\Admin\AppData\Local\Temp\95B8.tmp
    "C:\Users\Admin\AppData\Local\Temp\95B8.tmp"
    3⤵
    PID:4140
- - C:\Users\Admin\AppData\Local\Temp\2A95.tmp
    "C:\Users\Admin\AppData\Local\Temp\2A95.tmp"
    3⤵
    PID:2980
  - - C:\Users\Admin\AppData\Local\Temp\2AE3.tmp
      "C:\Users\Admin\AppData\Local\Temp\2AE3.tmp"
      4⤵
      Executes dropped EXE
      PID:4368
    - - C:\Users\Admin\AppData\Local\Temp\2B32.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B32.tmp"
        5⤵
        
        PID:3068
      - C:\Users\Admin\AppData\Local\Temp\2B80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B80.tmp"
        6⤵
        
        PID:2092
        
        C:\Users\Admin\AppData\Local\Temp\2BCE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2BCE.tmp"
        7⤵
        
        PID:5080

C:\Users\Admin\AppData\Local\Temp\9606.tmp
"C:\Users\Admin\AppData\Local\Temp\9606.tmp"
1⤵
PID:1212
- C:\Users\Admin\AppData\Local\Temp\9654.tmp
  "C:\Users\Admin\AppData\Local\Temp\9654.tmp"
  2⤵
  PID:3900
- - C:\Users\Admin\AppData\Local\Temp\96A2.tmp
    "C:\Users\Admin\AppData\Local\Temp\96A2.tmp"
    3⤵
    PID:5016
  - - C:\Users\Admin\AppData\Local\Temp\96F0.tmp
      "C:\Users\Admin\AppData\Local\Temp\96F0.tmp"
      4⤵
      PID:1388
    - - C:\Users\Admin\AppData\Local\Temp\973F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\973F.tmp"
        5⤵
        
        PID:1340
      - C:\Users\Admin\AppData\Local\Temp\978D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\978D.tmp"
        6⤵
        
        PID:1000
        
        C:\Users\Admin\AppData\Local\Temp\97DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\97DB.tmp"
        7⤵
        
        PID:2028
        
        C:\Users\Admin\AppData\Local\Temp\11CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\11CE.tmp"
        7⤵
        
        PID:4784
        
        C:\Users\Admin\AppData\Local\Temp\121C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\121C.tmp"
        8⤵
        
        PID:2880
    - - C:\Users\Admin\AppData\Local\Temp\8368.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8368.tmp"
        5⤵
        
        PID:3972

C:\Users\Admin\AppData\Local\Temp\9B46.tmp
"C:\Users\Admin\AppData\Local\Temp\9B46.tmp"
1⤵
PID:3220
- C:\Users\Admin\AppData\Local\Temp\9B94.tmp
  "C:\Users\Admin\AppData\Local\Temp\9B94.tmp"
  2⤵
  PID:3532
- - C:\Users\Admin\AppData\Local\Temp\9BE2.tmp
    "C:\Users\Admin\AppData\Local\Temp\9BE2.tmp"
    3⤵
    PID:3880
  - - C:\Users\Admin\AppData\Local\Temp\9C30.tmp
      "C:\Users\Admin\AppData\Local\Temp\9C30.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:4708
  - - C:\Users\Admin\AppData\Local\Temp\B41D.tmp
      "C:\Users\Admin\AppData\Local\Temp\B41D.tmp"
      4⤵
      PID:4392
    - - C:\Users\Admin\AppData\Local\Temp\B46B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B46B.tmp"
        5⤵
        
        PID:4864
      - C:\Users\Admin\AppData\Local\Temp\B4B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B4B9.tmp"
        6⤵
        
        PID:3356
        
        C:\Users\Admin\AppData\Local\Temp\B4F8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B4F8.tmp"
        7⤵
        
        PID:4736
- C:\Users\Admin\AppData\Local\Temp\5E4C.tmp
  "C:\Users\Admin\AppData\Local\Temp\5E4C.tmp"
  2⤵
  PID:1380

C:\Users\Admin\AppData\Local\Temp\9E43.tmp
"C:\Users\Admin\AppData\Local\Temp\9E43.tmp"
1⤵
PID:3360
- C:\Users\Admin\AppData\Local\Temp\9E92.tmp
  "C:\Users\Admin\AppData\Local\Temp\9E92.tmp"
  2⤵
  PID:3436
- - C:\Users\Admin\AppData\Local\Temp\9EE0.tmp
    "C:\Users\Admin\AppData\Local\Temp\9EE0.tmp"
    3⤵
    PID:4260
  - - C:\Users\Admin\AppData\Local\Temp\C9E7.tmp
      "C:\Users\Admin\AppData\Local\Temp\C9E7.tmp"
      4⤵
      PID:3776
    - - C:\Users\Admin\AppData\Local\Temp\CA26.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA26.tmp"
        5⤵
        
        PID:2936
  - - C:\Users\Admin\AppData\Local\Temp\DA7.tmp
      "C:\Users\Admin\AppData\Local\Temp\DA7.tmp"
      4⤵
      PID:2568
    - - C:\Users\Admin\AppData\Local\Temp\DF5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF5.tmp"
        5⤵
        
        PID:4408
      - C:\Users\Admin\AppData\Local\Temp\E43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E43.tmp"
        6⤵
        
        PID:2752
        
        C:\Users\Admin\AppData\Local\Temp\CFD3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFD3.tmp"
        7⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\BB32.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB32.tmp"
        7⤵
        
        PID:4420
      - C:\Users\Admin\AppData\Local\Temp\37B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37B5.tmp"
        6⤵
        
        PID:2716
        
        C:\Users\Admin\AppData\Local\Temp\3803.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3803.tmp"
        7⤵
        
        PID:4208

C:\Users\Admin\AppData\Local\Temp\A19F.tmp
"C:\Users\Admin\AppData\Local\Temp\A19F.tmp"
1⤵
PID:4192
- C:\Users\Admin\AppData\Local\Temp\A1DD.tmp
  "C:\Users\Admin\AppData\Local\Temp\A1DD.tmp"
  2⤵
  PID:3828
- C:\Users\Admin\AppData\Local\Temp\B8A1.tmp
  "C:\Users\Admin\AppData\Local\Temp\B8A1.tmp"
  2⤵
  PID:3764
- - C:\Users\Admin\AppData\Local\Temp\B8F0.tmp
    "C:\Users\Admin\AppData\Local\Temp\B8F0.tmp"
    3⤵
    PID:4932
- C:\Users\Admin\AppData\Local\Temp\ED3E.tmp
  "C:\Users\Admin\AppData\Local\Temp\ED3E.tmp"
  2⤵
  PID:3624
- - C:\Users\Admin\AppData\Local\Temp\ED8C.tmp
    "C:\Users\Admin\AppData\Local\Temp\ED8C.tmp"
    3⤵
    PID:3620
  - - C:\Users\Admin\AppData\Local\Temp\EDDA.tmp
      "C:\Users\Admin\AppData\Local\Temp\EDDA.tmp"
      4⤵
      PID:2068
    - - C:\Users\Admin\AppData\Local\Temp\EE29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE29.tmp"
        5⤵
        Executes dropped EXE
        
        PID:1440
      - C:\Users\Admin\AppData\Local\Temp\EE77.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE77.tmp"
        6⤵
        
        PID:4504

C:\Users\Admin\AppData\Local\Temp\A22B.tmp
"C:\Users\Admin\AppData\Local\Temp\A22B.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4424
- C:\Users\Admin\AppData\Local\Temp\A27A.tmp
  "C:\Users\Admin\AppData\Local\Temp\A27A.tmp"
  2⤵
  PID:1876
- - C:\Users\Admin\AppData\Local\Temp\A2C8.tmp
    "C:\Users\Admin\AppData\Local\Temp\A2C8.tmp"
    3⤵
    PID:3320
- C:\Users\Admin\AppData\Local\Temp\C36F.tmp
  "C:\Users\Admin\AppData\Local\Temp\C36F.tmp"
  2⤵
  PID:4728
- - C:\Users\Admin\AppData\Local\Temp\C3BD.tmp
    "C:\Users\Admin\AppData\Local\Temp\C3BD.tmp"
    3⤵
    PID:4792
  - - C:\Users\Admin\AppData\Local\Temp\C40B.tmp
      "C:\Users\Admin\AppData\Local\Temp\C40B.tmp"
      4⤵
      PID:1388
    - - C:\Users\Admin\AppData\Local\Temp\C459.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C459.tmp"
        5⤵
        
        PID:4504
- C:\Users\Admin\AppData\Local\Temp\CD62.tmp
  "C:\Users\Admin\AppData\Local\Temp\CD62.tmp"
  2⤵
  PID:4728
- - C:\Users\Admin\AppData\Local\Temp\CDB0.tmp
    "C:\Users\Admin\AppData\Local\Temp\CDB0.tmp"
    3⤵
    PID:3992

C:\Users\Admin\AppData\Local\Temp\A316.tmp
"C:\Users\Admin\AppData\Local\Temp\A316.tmp"
1⤵
PID:4300
- C:\Users\Admin\AppData\Local\Temp\A364.tmp
  "C:\Users\Admin\AppData\Local\Temp\A364.tmp"
  2⤵
  PID:4928
- - C:\Users\Admin\AppData\Local\Temp\A3B2.tmp
    "C:\Users\Admin\AppData\Local\Temp\A3B2.tmp"
    3⤵
    PID:1944
  - - C:\Users\Admin\AppData\Local\Temp\A400.tmp
      "C:\Users\Admin\AppData\Local\Temp\A400.tmp"
      4⤵
      PID:4832

C:\Users\Admin\AppData\Local\Temp\A44E.tmp
"C:\Users\Admin\AppData\Local\Temp\A44E.tmp"
1⤵
PID:2756
- C:\Users\Admin\AppData\Local\Temp\A49C.tmp
  "C:\Users\Admin\AppData\Local\Temp\A49C.tmp"
  2⤵
  PID:2976
- C:\Users\Admin\AppData\Local\Temp\C4E6.tmp
  "C:\Users\Admin\AppData\Local\Temp\C4E6.tmp"
  2⤵
  PID:4832
- - C:\Users\Admin\AppData\Local\Temp\C534.tmp
    "C:\Users\Admin\AppData\Local\Temp\C534.tmp"
    3⤵
    - Executes dropped EXE
    PID:3984
  - - C:\Users\Admin\AppData\Local\Temp\C582.tmp
      "C:\Users\Admin\AppData\Local\Temp\C582.tmp"
      4⤵
      PID:3340
  - - C:\Users\Admin\AppData\Local\Temp\5D7D.tmp
      "C:\Users\Admin\AppData\Local\Temp\5D7D.tmp"
      4⤵
      PID:3532
    - - C:\Users\Admin\AppData\Local\Temp\5DCB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DCB.tmp"
        5⤵
        
        PID:3540
      - C:\Users\Admin\AppData\Local\Temp\5E19.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E19.tmp"
        6⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\5E67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E67.tmp"
        7⤵
        
        PID:4316
- C:\Users\Admin\AppData\Local\Temp\E6A7.tmp
  "C:\Users\Admin\AppData\Local\Temp\E6A7.tmp"
  2⤵
  PID:4028
- - C:\Users\Admin\AppData\Local\Temp\E6F5.tmp
    "C:\Users\Admin\AppData\Local\Temp\E6F5.tmp"
    3⤵
    PID:316
  - - C:\Users\Admin\AppData\Local\Temp\E743.tmp
      "C:\Users\Admin\AppData\Local\Temp\E743.tmp"
      4⤵
      PID:408
- C:\Users\Admin\AppData\Local\Temp\25D3.tmp
  "C:\Users\Admin\AppData\Local\Temp\25D3.tmp"
  2⤵
  PID:3176
- - C:\Users\Admin\AppData\Local\Temp\2621.tmp
    "C:\Users\Admin\AppData\Local\Temp\2621.tmp"
    3⤵
    PID:3148

C:\Users\Admin\AppData\Local\Temp\A4EB.tmp
"C:\Users\Admin\AppData\Local\Temp\A4EB.tmp"
1⤵
PID:1448
- C:\Users\Admin\AppData\Local\Temp\A539.tmp
  "C:\Users\Admin\AppData\Local\Temp\A539.tmp"
  2⤵
  PID:4844

C:\Users\Admin\AppData\Local\Temp\A6EE.tmp
"C:\Users\Admin\AppData\Local\Temp\A6EE.tmp"
1⤵
PID:4080
- C:\Users\Admin\AppData\Local\Temp\A73C.tmp
  "C:\Users\Admin\AppData\Local\Temp\A73C.tmp"
  2⤵
  PID:680
- - C:\Users\Admin\AppData\Local\Temp\A78A.tmp
    "C:\Users\Admin\AppData\Local\Temp\A78A.tmp"
    3⤵
    PID:3720
  - - C:\Users\Admin\AppData\Local\Temp\A7D9.tmp
      "C:\Users\Admin\AppData\Local\Temp\A7D9.tmp"
      4⤵
      PID:1172
- C:\Users\Admin\AppData\Local\Temp\BD16.tmp
  "C:\Users\Admin\AppData\Local\Temp\BD16.tmp"
  2⤵
  PID:3628
- - C:\Users\Admin\AppData\Local\Temp\BD64.tmp
    "C:\Users\Admin\AppData\Local\Temp\BD64.tmp"
    3⤵
    PID:60
- - C:\Users\Admin\AppData\Local\Temp\FE84.tmp
    "C:\Users\Admin\AppData\Local\Temp\FE84.tmp"
    3⤵
    PID:3972
  - - C:\Users\Admin\AppData\Local\Temp\FED2.tmp
      "C:\Users\Admin\AppData\Local\Temp\FED2.tmp"
      4⤵
      PID:4192
    - - C:\Users\Admin\AppData\Local\Temp\FF20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF20.tmp"
        5⤵
        
        PID:3624

C:\Users\Admin\AppData\Local\Temp\83B7.tmp
"C:\Users\Admin\AppData\Local\Temp\83B7.tmp"
1⤵
PID:2028

C:\Users\Admin\AppData\Local\Temp\4CA9.tmp
"C:\Users\Admin\AppData\Local\Temp\4CA9.tmp"
1⤵
PID:2184
- C:\Users\Admin\AppData\Local\Temp\3FE2.tmp
  "C:\Users\Admin\AppData\Local\Temp\3FE2.tmp"
  2⤵
  PID:3832
- - C:\Users\Admin\AppData\Local\Temp\4031.tmp
    "C:\Users\Admin\AppData\Local\Temp\4031.tmp"
    3⤵
    PID:4816
  - - C:\Users\Admin\AppData\Local\Temp\407F.tmp
      "C:\Users\Admin\AppData\Local\Temp\407F.tmp"
      4⤵
      PID:2368
    - - C:\Users\Admin\AppData\Local\Temp\40CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\40CD.tmp"
        5⤵
        
        PID:3436

C:\Users\Admin\AppData\Local\Temp\4B22.tmp
"C:\Users\Admin\AppData\Local\Temp\4B22.tmp"
1⤵
PID:4316
- C:\Users\Admin\AppData\Local\Temp\E2AF.tmp
  "C:\Users\Admin\AppData\Local\Temp\E2AF.tmp"
  2⤵
  PID:4872
- - C:\Users\Admin\AppData\Local\Temp\E2FD.tmp
    "C:\Users\Admin\AppData\Local\Temp\E2FD.tmp"
    3⤵
    PID:4100
  - - C:\Users\Admin\AppData\Local\Temp\E34B.tmp
      "C:\Users\Admin\AppData\Local\Temp\E34B.tmp"
      4⤵
      PID:2908
  - - C:\Users\Admin\AppData\Local\Temp\B6FC.tmp
      "C:\Users\Admin\AppData\Local\Temp\B6FC.tmp"
      4⤵
      PID:452

C:\Users\Admin\AppData\Local\Temp\4AD4.tmp
"C:\Users\Admin\AppData\Local\Temp\4AD4.tmp"
1⤵
PID:740

C:\Users\Admin\AppData\Local\Temp\4A38.tmp
"C:\Users\Admin\AppData\Local\Temp\4A38.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3424

C:\Users\Admin\AppData\Local\Temp\4798.tmp
"C:\Users\Admin\AppData\Local\Temp\4798.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2708

C:\Users\Admin\AppData\Local\Temp\474A.tmp
"C:\Users\Admin\AppData\Local\Temp\474A.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1884

C:\Users\Admin\AppData\Local\Temp\46AE.tmp
"C:\Users\Admin\AppData\Local\Temp\46AE.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1756
- C:\Users\Admin\AppData\Local\Temp\B1CB.tmp
  "C:\Users\Admin\AppData\Local\Temp\B1CB.tmp"
  2⤵
  PID:2632
- - C:\Users\Admin\AppData\Local\Temp\B21A.tmp
    "C:\Users\Admin\AppData\Local\Temp\B21A.tmp"
    3⤵
    PID:2864
  - - C:\Users\Admin\AppData\Local\Temp\B268.tmp
      "C:\Users\Admin\AppData\Local\Temp\B268.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:4236
  - - C:\Users\Admin\AppData\Local\Temp\BC99.tmp
      "C:\Users\Admin\AppData\Local\Temp\BC99.tmp"
      4⤵
      PID:4236
    - - C:\Users\Admin\AppData\Local\Temp\BCD8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BCD8.tmp"
        5⤵
        
        PID:4080

C:\Users\Admin\AppData\Local\Temp\4565.tmp
"C:\Users\Admin\AppData\Local\Temp\4565.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4452

C:\Users\Admin\AppData\Local\Temp\4508.tmp
"C:\Users\Admin\AppData\Local\Temp\4508.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:976

C:\Users\Admin\AppData\Local\Temp\446B.tmp
"C:\Users\Admin\AppData\Local\Temp\446B.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4592

C:\Users\Admin\AppData\Local\Temp\A99E.tmp
"C:\Users\Admin\AppData\Local\Temp\A99E.tmp"
1⤵
PID:1988
- C:\Users\Admin\AppData\Local\Temp\A9EC.tmp
  "C:\Users\Admin\AppData\Local\Temp\A9EC.tmp"
  2⤵
  PID:2384
- - C:\Users\Admin\AppData\Local\Temp\AA3A.tmp
    "C:\Users\Admin\AppData\Local\Temp\AA3A.tmp"
    3⤵
    PID:3528
  - - C:\Users\Admin\AppData\Local\Temp\AA88.tmp
      "C:\Users\Admin\AppData\Local\Temp\AA88.tmp"
      4⤵
      PID:3776
    - - C:\Users\Admin\AppData\Local\Temp\AAE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AAE6.tmp"
        5⤵
        
        PID:2936
      - C:\Users\Admin\AppData\Local\Temp\AB34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB34.tmp"
        6⤵
        
        PID:2972
      - C:\Users\Admin\AppData\Local\Temp\CA74.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA74.tmp"
        6⤵
        
        PID:4948
- - C:\Users\Admin\AppData\Local\Temp\EB89.tmp
    "C:\Users\Admin\AppData\Local\Temp\EB89.tmp"
    3⤵
    PID:1984
  - - C:\Users\Admin\AppData\Local\Temp\EBC7.tmp
      "C:\Users\Admin\AppData\Local\Temp\EBC7.tmp"
      4⤵
      PID:2316
    - - C:\Users\Admin\AppData\Local\Temp\EC06.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC06.tmp"
        5⤵
        Executes dropped EXE
        
        PID:3068
  - - C:\Users\Admin\AppData\Local\Temp\DC56.tmp
      "C:\Users\Admin\AppData\Local\Temp\DC56.tmp"
      4⤵
      PID:1376
  - - C:\Users\Admin\AppData\Local\Temp\D457.tmp
      "C:\Users\Admin\AppData\Local\Temp\D457.tmp"
      4⤵
      PID:1376
  - - C:\Users\Admin\AppData\Local\Temp\C062.tmp
      "C:\Users\Admin\AppData\Local\Temp\C062.tmp"
      4⤵
      PID:1752
    - - C:\Users\Admin\AppData\Local\Temp\B6BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B6BD.tmp"
        5⤵
        
        PID:4100

C:\Users\Admin\AppData\Local\Temp\B083.tmp
"C:\Users\Admin\AppData\Local\Temp\B083.tmp"
1⤵
PID:2024
- C:\Users\Admin\AppData\Local\Temp\B0D1.tmp
  "C:\Users\Admin\AppData\Local\Temp\B0D1.tmp"
  2⤵
  PID:4420
- - C:\Users\Admin\AppData\Local\Temp\B120.tmp
    "C:\Users\Admin\AppData\Local\Temp\B120.tmp"
    3⤵
    PID:4560
  - - C:\Users\Admin\AppData\Local\Temp\B17D.tmp
      "C:\Users\Admin\AppData\Local\Temp\B17D.tmp"
      4⤵
      PID:1756
- - C:\Users\Admin\AppData\Local\Temp\BB80.tmp
    "C:\Users\Admin\AppData\Local\Temp\BB80.tmp"
    3⤵
    PID:4560
  - - C:\Users\Admin\AppData\Local\Temp\BBBE.tmp
      "C:\Users\Admin\AppData\Local\Temp\BBBE.tmp"
      4⤵
      PID:4188
- - C:\Users\Admin\AppData\Local\Temp\F136.tmp
    "C:\Users\Admin\AppData\Local\Temp\F136.tmp"
    3⤵
    PID:2056
  - - C:\Users\Admin\AppData\Local\Temp\F184.tmp
      "C:\Users\Admin\AppData\Local\Temp\F184.tmp"
      4⤵
      PID:2016
    - - C:\Users\Admin\AppData\Local\Temp\F1D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1D2.tmp"
        5⤵
        
        PID:1988

C:\Users\Admin\AppData\Local\Temp\B73A.tmp
"C:\Users\Admin\AppData\Local\Temp\B73A.tmp"
1⤵
PID:1044
- C:\Users\Admin\AppData\Local\Temp\B788.tmp
  "C:\Users\Admin\AppData\Local\Temp\B788.tmp"
  2⤵
  - Executes dropped EXE
  PID:616
- C:\Users\Admin\AppData\Local\Temp\F55C.tmp
  "C:\Users\Admin\AppData\Local\Temp\F55C.tmp"
  2⤵
  PID:4304
- - C:\Users\Admin\AppData\Local\Temp\F5AA.tmp
    "C:\Users\Admin\AppData\Local\Temp\F5AA.tmp"
    3⤵
    PID:3828
  - - C:\Users\Admin\AppData\Local\Temp\F5F9.tmp
      "C:\Users\Admin\AppData\Local\Temp\F5F9.tmp"
      4⤵
      PID:996
    - - C:\Users\Admin\AppData\Local\Temp\F647.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F647.tmp"
        5⤵
        
        PID:4312
      - C:\Users\Admin\AppData\Local\Temp\F695.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F695.tmp"
        6⤵
        
        PID:3620
        
        C:\Users\Admin\AppData\Local\Temp\F6E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F6E3.tmp"
        7⤵
        
        PID:2068
        
        C:\Users\Admin\AppData\Local\Temp\F731.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F731.tmp"
        8⤵
        
        PID:4784
        
        C:\Users\Admin\AppData\Local\Temp\5261.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5261.tmp"
        7⤵
        
        PID:2024
        
        C:\Users\Admin\AppData\Local\Temp\52AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52AF.tmp"
        8⤵
        
        PID:4864
        
        C:\Users\Admin\AppData\Local\Temp\52FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52FD.tmp"
        9⤵
        
        PID:3880
        
        C:\Users\Admin\AppData\Local\Temp\534B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\534B.tmp"
        10⤵
        
        PID:3624
      - C:\Users\Admin\AppData\Local\Temp\DDCD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DDCD.tmp"
        6⤵
        
        PID:3972
      - C:\Users\Admin\AppData\Local\Temp\4E2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E2B.tmp"
        6⤵
        
        PID:2384
        
        C:\Users\Admin\AppData\Local\Temp\4E79.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E79.tmp"
        7⤵
        
        PID:4940
        
        C:\Users\Admin\AppData\Local\Temp\4EC7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4EC7.tmp"
        8⤵
        
        PID:4892
        
        C:\Users\Admin\AppData\Local\Temp\4F15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F15.tmp"
        9⤵
        
        PID:2880
        
        C:\Users\Admin\AppData\Local\Temp\4F63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F63.tmp"
        10⤵
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\4FB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FB1.tmp"
        11⤵
        
        PID:3408
        
        C:\Users\Admin\AppData\Local\Temp\4FFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FFF.tmp"
        12⤵
        
        PID:1852
        
        C:\Users\Admin\AppData\Local\Temp\504E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\504E.tmp"
        13⤵
        
        PID:740
        
        C:\Users\Admin\AppData\Local\Temp\509C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\509C.tmp"
        14⤵
        
        PID:4140
        
        C:\Users\Admin\AppData\Local\Temp\50EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50EA.tmp"
        15⤵
        
        PID:4360
        
        C:\Users\Admin\AppData\Local\Temp\5167.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5167.tmp"
        16⤵
        
        PID:1752
        
        C:\Users\Admin\AppData\Local\Temp\51C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\51C5.tmp"
        17⤵
        
        PID:4876
        
        C:\Users\Admin\AppData\Local\Temp\5213.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5213.tmp"
        18⤵
        
        PID:3620
    - - C:\Users\Admin\AppData\Local\Temp\E56E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E56E.tmp"
        5⤵
        
        PID:3420
      - C:\Users\Admin\AppData\Local\Temp\B863.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B863.tmp"
        6⤵
        
        PID:4192

C:\Users\Admin\AppData\Local\Temp\B93E.tmp
"C:\Users\Admin\AppData\Local\Temp\B93E.tmp"
1⤵
PID:1388
- C:\Users\Admin\AppData\Local\Temp\B97C.tmp
  "C:\Users\Admin\AppData\Local\Temp\B97C.tmp"
  2⤵
  PID:3992
- - C:\Users\Admin\AppData\Local\Temp\B9BB.tmp
    "C:\Users\Admin\AppData\Local\Temp\B9BB.tmp"
    3⤵
    PID:2676
  - - C:\Users\Admin\AppData\Local\Temp\CE4C.tmp
      "C:\Users\Admin\AppData\Local\Temp\CE4C.tmp"
      4⤵
      PID:4668
    - - C:\Users\Admin\AppData\Local\Temp\CE9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE9A.tmp"
        5⤵
        
        PID:4484
      - C:\Users\Admin\AppData\Local\Temp\CEE9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CEE9.tmp"
        6⤵
        
        PID:5004
        
        C:\Users\Admin\AppData\Local\Temp\CF37.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF37.tmp"
        7⤵
        
        PID:2976
        
        C:\Users\Admin\AppData\Local\Temp\CF85.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF85.tmp"
        8⤵
        
        PID:2752
        
        C:\Users\Admin\AppData\Local\Temp\E91.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E91.tmp"
        9⤵
        Executes dropped EXE
        
        PID:4480
        
        C:\Users\Admin\AppData\Local\Temp\EE0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE0.tmp"
        10⤵
        
        PID:1376
        
        C:\Users\Admin\AppData\Local\Temp\F2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2E.tmp"
        11⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\F7C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F7C.tmp"
        12⤵
        
        PID:452
        
        C:\Users\Admin\AppData\Local\Temp\FCA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FCA.tmp"
        13⤵
        
        PID:3832
        
        C:\Users\Admin\AppData\Local\Temp\DD40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD40.tmp"
        13⤵
        
        PID:3832
        
        C:\Users\Admin\AppData\Local\Temp\D590.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D590.tmp"
        14⤵
        
        PID:3932
        
        C:\Users\Admin\AppData\Local\Temp\1894.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1894.tmp"
        11⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\18E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\18E2.tmp"
        12⤵
        
        PID:1316
        
        C:\Users\Admin\AppData\Local\Temp\3592.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3592.tmp"
        12⤵
        
        PID:3116
        
        C:\Users\Admin\AppData\Local\Temp\35E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\35E0.tmp"
        13⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\362E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\362E.tmp"
        14⤵
        
        PID:4528
        
        C:\Users\Admin\AppData\Local\Temp\367C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\367C.tmp"
        15⤵
        
        PID:3600
        
        C:\Users\Admin\AppData\Local\Temp\36CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36CA.tmp"
        16⤵
        
        PID:4076
        
        C:\Users\Admin\AppData\Local\Temp\3718.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3718.tmp"
        17⤵
        
        PID:412
        
        C:\Users\Admin\AppData\Local\Temp\3767.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3767.tmp"
        18⤵
        
        PID:4408
        
        C:\Users\Admin\AppData\Local\Temp\118F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\118F.tmp"
        18⤵
        
        PID:1000
        
        C:\Users\Admin\AppData\Local\Temp\5714.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5714.tmp"
        13⤵
        
        PID:3640
        
        C:\Users\Admin\AppData\Local\Temp\D90A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D90A.tmp"
        7⤵
        
        PID:1856
        
        C:\Users\Admin\AppData\Local\Temp\D958.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D958.tmp"
        8⤵
        
        PID:1584
        
        C:\Users\Admin\AppData\Local\Temp\D9A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D9A7.tmp"
        9⤵
        
        PID:1200
        
        C:\Users\Admin\AppData\Local\Temp\A6B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A6B.tmp"
        7⤵
        Executes dropped EXE
        
        PID:2024
        
        C:\Users\Admin\AppData\Local\Temp\AB9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB9.tmp"
        8⤵
        
        PID:408
        
        C:\Users\Admin\AppData\Local\Temp\EFFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFFD.tmp"
        9⤵
        
        PID:876
        
        C:\Users\Admin\AppData\Local\Temp\E791.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E791.tmp"
        9⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\D8BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D8BC.tmp"
        10⤵
        Executes dropped EXE
        
        PID:5004
        
        C:\Users\Admin\AppData\Local\Temp\59A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59A4.tmp"
        10⤵
        
        PID:4044
        
        C:\Users\Admin\AppData\Local\Temp\59E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59E3.tmp"
        11⤵
        
        PID:2308
        
        C:\Users\Admin\AppData\Local\Temp\5A40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A40.tmp"
        12⤵
        
        PID:4240
        
        C:\Users\Admin\AppData\Local\Temp\5A7F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A7F.tmp"
        13⤵
        
        PID:4560
        
        C:\Users\Admin\AppData\Local\Temp\5ACD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5ACD.tmp"
        14⤵
        
        PID:2540
        
        C:\Users\Admin\AppData\Local\Temp\2FA6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2FA6.tmp"
        7⤵
        
        PID:408
        
        C:\Users\Admin\AppData\Local\Temp\2FF4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2FF4.tmp"
        8⤵
        
        PID:4608

C:\Users\Admin\AppData\Local\Temp\B9F9.tmp
"C:\Users\Admin\AppData\Local\Temp\B9F9.tmp"
1⤵
PID:4832
- C:\Users\Admin\AppData\Local\Temp\BA47.tmp
  "C:\Users\Admin\AppData\Local\Temp\BA47.tmp"
  2⤵
  PID:3984
- - C:\Users\Admin\AppData\Local\Temp\BA95.tmp
    "C:\Users\Admin\AppData\Local\Temp\BA95.tmp"
    3⤵
    PID:2976
  - - C:\Users\Admin\AppData\Local\Temp\BAE4.tmp
      "C:\Users\Admin\AppData\Local\Temp\BAE4.tmp"
      4⤵
      PID:2752

C:\Users\Admin\AppData\Local\Temp\BBFD.tmp
"C:\Users\Admin\AppData\Local\Temp\BBFD.tmp"
1⤵
PID:2632
- C:\Users\Admin\AppData\Local\Temp\BC4B.tmp
  "C:\Users\Admin\AppData\Local\Temp\BC4B.tmp"
  2⤵
  PID:2864

C:\Users\Admin\AppData\Local\Temp\BE9D.tmp
"C:\Users\Admin\AppData\Local\Temp\BE9D.tmp"
1⤵
PID:4440
- C:\Users\Admin\AppData\Local\Temp\BEEB.tmp
  "C:\Users\Admin\AppData\Local\Temp\BEEB.tmp"
  2⤵
  PID:4556
- - C:\Users\Admin\AppData\Local\Temp\BF29.tmp
    "C:\Users\Admin\AppData\Local\Temp\BF29.tmp"
    3⤵
    PID:2980

C:\Users\Admin\AppData\Local\Temp\C5D0.tmp
"C:\Users\Admin\AppData\Local\Temp\C5D0.tmp"
1⤵
PID:228
- C:\Users\Admin\AppData\Local\Temp\C61F.tmp
  "C:\Users\Admin\AppData\Local\Temp\C61F.tmp"
  2⤵
  PID:4048
- - C:\Users\Admin\AppData\Local\Temp\C66D.tmp
    "C:\Users\Admin\AppData\Local\Temp\C66D.tmp"
    3⤵
    PID:1856
- C:\Users\Admin\AppData\Local\Temp\E148.tmp
  "C:\Users\Admin\AppData\Local\Temp\E148.tmp"
  2⤵
  PID:712

C:\Users\Admin\AppData\Local\Temp\C747.tmp
"C:\Users\Admin\AppData\Local\Temp\C747.tmp"
1⤵
PID:1200
- C:\Users\Admin\AppData\Local\Temp\C796.tmp
  "C:\Users\Admin\AppData\Local\Temp\C796.tmp"
  2⤵
  PID:4808
- - C:\Users\Admin\AppData\Local\Temp\C7E4.tmp
    "C:\Users\Admin\AppData\Local\Temp\C7E4.tmp"
    3⤵
    PID:2984
  - - C:\Users\Admin\AppData\Local\Temp\C832.tmp
      "C:\Users\Admin\AppData\Local\Temp\C832.tmp"
      4⤵
      PID:3896
    - - C:\Users\Admin\AppData\Local\Temp\C880.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C880.tmp"
        5⤵
        
        PID:2408
      - C:\Users\Admin\AppData\Local\Temp\C8CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8CE.tmp"
        6⤵
        
        PID:4248
      - C:\Users\Admin\AppData\Local\Temp\F26E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F26E.tmp"
        6⤵
        
        PID:3360
        
        C:\Users\Admin\AppData\Local\Temp\F2BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2BC.tmp"
        7⤵
        
        PID:3528
        
        C:\Users\Admin\AppData\Local\Temp\F30B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F30B.tmp"
        8⤵
        
        PID:2772
        
        C:\Users\Admin\AppData\Local\Temp\F359.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F359.tmp"
        9⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\DB6C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB6C.tmp"
        10⤵
        
        PID:1664
        
        C:\Users\Admin\AppData\Local\Temp\D3CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D3CB.tmp"
        11⤵
        
        PID:2368
        
        C:\Users\Admin\AppData\Local\Temp\3D71.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D71.tmp"
        8⤵
        
        PID:3856
        
        C:\Users\Admin\AppData\Local\Temp\3DC0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3DC0.tmp"
        9⤵
        
        PID:3360
        
        C:\Users\Admin\AppData\Local\Temp\3E0E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E0E.tmp"
        10⤵
        
        PID:2408
        
        C:\Users\Admin\AppData\Local\Temp\49F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49F.tmp"
        7⤵
        
        PID:372

C:\Users\Admin\AppData\Local\Temp\D4A5.tmp
"C:\Users\Admin\AppData\Local\Temp\D4A5.tmp"
1⤵
PID:2144
- C:\Users\Admin\AppData\Local\Temp\D4F3.tmp
  "C:\Users\Admin\AppData\Local\Temp\D4F3.tmp"
  2⤵
  PID:4948
- - C:\Users\Admin\AppData\Local\Temp\D542.tmp
    "C:\Users\Admin\AppData\Local\Temp\D542.tmp"
    3⤵
    PID:3832
  - - C:\Users\Admin\AppData\Local\Temp\DD8F.tmp
      "C:\Users\Admin\AppData\Local\Temp\DD8F.tmp"
      4⤵
      PID:4312
- - C:\Users\Admin\AppData\Local\Temp\FD4C.tmp
    "C:\Users\Admin\AppData\Local\Temp\FD4C.tmp"
    3⤵
    PID:4368
  - - C:\Users\Admin\AppData\Local\Temp\FD9A.tmp
      "C:\Users\Admin\AppData\Local\Temp\FD9A.tmp"
      4⤵
      PID:1168
    - - C:\Users\Admin\AppData\Local\Temp\FDE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDE8.tmp"
        5⤵
        
        PID:532
      - C:\Users\Admin\AppData\Local\Temp\FE36.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE36.tmp"
        6⤵
        
        PID:3628
    - - C:\Users\Admin\AppData\Local\Temp\E484.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E484.tmp"
        5⤵
        
        PID:3408
- C:\Users\Admin\AppData\Local\Temp\34A7.tmp
  "C:\Users\Admin\AppData\Local\Temp\34A7.tmp"
  2⤵
  PID:5072
- - C:\Users\Admin\AppData\Local\Temp\34F6.tmp
    "C:\Users\Admin\AppData\Local\Temp\34F6.tmp"
    3⤵
    PID:1856
  - - C:\Users\Admin\AppData\Local\Temp\3544.tmp
      "C:\Users\Admin\AppData\Local\Temp\3544.tmp"
      4⤵
      PID:3912

C:\Users\Admin\AppData\Local\Temp\D7E1.tmp
"C:\Users\Admin\AppData\Local\Temp\D7E1.tmp"
1⤵
PID:372

C:\Users\Admin\AppData\Local\Temp\DA43.tmp
"C:\Users\Admin\AppData\Local\Temp\DA43.tmp"
1⤵
PID:2772
- C:\Users\Admin\AppData\Local\Temp\DA91.tmp
  "C:\Users\Admin\AppData\Local\Temp\DA91.tmp"
  2⤵
  PID:1768
- - C:\Users\Admin\AppData\Local\Temp\DADF.tmp
    "C:\Users\Admin\AppData\Local\Temp\DADF.tmp"
    3⤵
    PID:5072
- C:\Users\Admin\AppData\Local\Temp\EA9E.tmp
  "C:\Users\Admin\AppData\Local\Temp\EA9E.tmp"
  2⤵
  PID:4076
- - C:\Users\Admin\AppData\Local\Temp\EAEC.tmp
    "C:\Users\Admin\AppData\Local\Temp\EAEC.tmp"
    3⤵
    PID:4408
- - C:\Users\Admin\AppData\Local\Temp\2CB8.tmp
    "C:\Users\Admin\AppData\Local\Temp\2CB8.tmp"
    3⤵
    PID:1940
  - - C:\Users\Admin\AppData\Local\Temp\2D06.tmp
      "C:\Users\Admin\AppData\Local\Temp\2D06.tmp"
      4⤵
      PID:3320
    - - C:\Users\Admin\AppData\Local\Temp\2D54.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D54.tmp"
        5⤵
        Executes dropped EXE
        
        PID:2028
      - C:\Users\Admin\AppData\Local\Temp\2DA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2DA3.tmp"
        6⤵
        
        PID:1336
        
        C:\Users\Admin\AppData\Local\Temp\245C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\245C.tmp"
        7⤵
        
        PID:3420

C:\Users\Admin\AppData\Local\Temp\DCA4.tmp
"C:\Users\Admin\AppData\Local\Temp\DCA4.tmp"
1⤵
PID:1168
- C:\Users\Admin\AppData\Local\Temp\DCF2.tmp
  "C:\Users\Admin\AppData\Local\Temp\DCF2.tmp"
  2⤵
  PID:452

C:\Users\Admin\AppData\Local\Temp\DEF6.tmp
"C:\Users\Admin\AppData\Local\Temp\DEF6.tmp"
1⤵
PID:372
- C:\Users\Admin\AppData\Local\Temp\DF44.tmp
  "C:\Users\Admin\AppData\Local\Temp\DF44.tmp"
  2⤵
  PID:3444
- - C:\Users\Admin\AppData\Local\Temp\DF83.tmp
    "C:\Users\Admin\AppData\Local\Temp\DF83.tmp"
    3⤵
    PID:4404
  - - C:\Users\Admin\AppData\Local\Temp\DFD1.tmp
      "C:\Users\Admin\AppData\Local\Temp\DFD1.tmp"
      4⤵
      PID:4844
    - - C:\Users\Admin\AppData\Local\Temp\E01F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E01F.tmp"
        5⤵
        
        PID:4188
      - C:\Users\Admin\AppData\Local\Temp\FA3E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA3E.tmp"
        6⤵
        
        PID:3264
        
        C:\Users\Admin\AppData\Local\Temp\FA8C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA8C.tmp"
        7⤵
        
        PID:3340
        
        C:\Users\Admin\AppData\Local\Temp\FADB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FADB.tmp"
        8⤵
        
        PID:3924
        
        C:\Users\Admin\AppData\Local\Temp\FB29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB29.tmp"
        9⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\2025.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2025.tmp"
        10⤵
        
        PID:2408
        
        C:\Users\Admin\AppData\Local\Temp\2074.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2074.tmp"
        11⤵
        
        PID:4428
        
        C:\Users\Admin\AppData\Local\Temp\20C2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\20C2.tmp"
        12⤵
        
        PID:372
        
        C:\Users\Admin\AppData\Local\Temp\2110.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2110.tmp"
        13⤵
        
        PID:456
        
        C:\Users\Admin\AppData\Local\Temp\4ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4ED.tmp"
        13⤵
        
        PID:456
        
        C:\Users\Admin\AppData\Local\Temp\D830.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D830.tmp"
        13⤵
        
        PID:3148
        
        C:\Users\Admin\AppData\Local\Temp\6935.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6935.tmp"
        12⤵
        
        PID:768
        
        C:\Users\Admin\AppData\Local\Temp\6983.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6983.tmp"
        13⤵
        
        PID:4368
        
        C:\Users\Admin\AppData\Local\Temp\69D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\69D1.tmp"
        14⤵
        
        PID:2216
        
        C:\Users\Admin\AppData\Local\Temp\6A1F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A1F.tmp"
        15⤵
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\6A5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A5D.tmp"
        16⤵
        
        PID:5088

C:\Users\Admin\AppData\Local\Temp\E0BB.tmp
"C:\Users\Admin\AppData\Local\Temp\E0BB.tmp"
1⤵
PID:4864
- C:\Users\Admin\AppData\Local\Temp\C6F.tmp
  "C:\Users\Admin\AppData\Local\Temp\C6F.tmp"
  2⤵
  PID:228
- - C:\Users\Admin\AppData\Local\Temp\CBD.tmp
    "C:\Users\Admin\AppData\Local\Temp\CBD.tmp"
    3⤵
    PID:5088
  - - C:\Users\Admin\AppData\Local\Temp\D0B.tmp
      "C:\Users\Admin\AppData\Local\Temp\D0B.tmp"
      4⤵
      PID:2152
    - - C:\Users\Admin\AppData\Local\Temp\D59.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D59.tmp"
        5⤵
        
        PID:4260
  - - C:\Users\Admin\AppData\Local\Temp\55AD.tmp
      "C:\Users\Admin\AppData\Local\Temp\55AD.tmp"
      4⤵
      PID:5072
    - - C:\Users\Admin\AppData\Local\Temp\55FB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55FB.tmp"
        5⤵
        
        PID:1168
      - C:\Users\Admin\AppData\Local\Temp\601C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\601C.tmp"
        6⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\606B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\606B.tmp"
        7⤵
        
        PID:3588
        
        C:\Users\Admin\AppData\Local\Temp\60B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\60B9.tmp"
        8⤵
        
        PID:852
        
        C:\Users\Admin\AppData\Local\Temp\6107.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6107.tmp"
        9⤵
        
        PID:1140
        
        C:\Users\Admin\AppData\Local\Temp\7942.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7942.tmp"
        9⤵
        
        PID:2028
        
        C:\Users\Admin\AppData\Local\Temp\7980.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7980.tmp"
        10⤵
        
        PID:920
        
        C:\Users\Admin\AppData\Local\Temp\79CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79CF.tmp"
        11⤵
        
        PID:4408
- C:\Users\Admin\AppData\Local\Temp\319A.tmp
  "C:\Users\Admin\AppData\Local\Temp\319A.tmp"
  2⤵
  PID:228
- - C:\Users\Admin\AppData\Local\Temp\31E8.tmp
    "C:\Users\Admin\AppData\Local\Temp\31E8.tmp"
    3⤵
    PID:1988
  - - C:\Users\Admin\AppData\Local\Temp\3236.tmp
      "C:\Users\Admin\AppData\Local\Temp\3236.tmp"
      4⤵
      PID:3540
    - - C:\Users\Admin\AppData\Local\Temp\3285.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3285.tmp"
        5⤵
        
        PID:4440
      - C:\Users\Admin\AppData\Local\Temp\32D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\32D3.tmp"
        6⤵
        Executes dropped EXE
        
        PID:1928
        
        C:\Users\Admin\AppData\Local\Temp\3321.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3321.tmp"
        7⤵
        
        PID:2972
        
        C:\Users\Admin\AppData\Local\Temp\336F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\336F.tmp"
        8⤵
        
        PID:2408
        
        C:\Users\Admin\AppData\Local\Temp\33BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\33BD.tmp"
        9⤵
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\340B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\340B.tmp"
        10⤵
        
        PID:5076
        
        C:\Users\Admin\AppData\Local\Temp\3459.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3459.tmp"
        11⤵
        
        PID:2144
        
        C:\Users\Admin\AppData\Local\Temp\3E5C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E5C.tmp"
        9⤵
        Executes dropped EXE
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\3EAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3EAA.tmp"
        10⤵
        
        PID:4392
        
        C:\Users\Admin\AppData\Local\Temp\3EF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3EF8.tmp"
        11⤵
        
        PID:456
        
        C:\Users\Admin\AppData\Local\Temp\3F46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F46.tmp"
        12⤵
        
        PID:3896
        
        C:\Users\Admin\AppData\Local\Temp\3F94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F94.tmp"
        13⤵
        Executes dropped EXE
        
        PID:2184
        
        C:\Users\Admin\AppData\Local\Temp\BE4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE4F.tmp"
        13⤵
        
        PID:5036
      - C:\Users\Admin\AppData\Local\Temp\EA50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA50.tmp"
        6⤵
        
        PID:2772
  - - C:\Users\Admin\AppData\Local\Temp\2892.tmp
      "C:\Users\Admin\AppData\Local\Temp\2892.tmp"
      4⤵
      PID:4748
  - - C:\Users\Admin\AppData\Local\Temp\F220.tmp
      "C:\Users\Admin\AppData\Local\Temp\F220.tmp"
      4⤵
      PID:2408

C:\Users\Admin\AppData\Local\Temp\E399.tmp
"C:\Users\Admin\AppData\Local\Temp\E399.tmp"
1⤵
PID:2936
- C:\Users\Admin\AppData\Local\Temp\E3E8.tmp
  "C:\Users\Admin\AppData\Local\Temp\E3E8.tmp"
  2⤵
  PID:1376
- - C:\Users\Admin\AppData\Local\Temp\E436.tmp
    "C:\Users\Admin\AppData\Local\Temp\E436.tmp"
    3⤵
    PID:1168

C:\Users\Admin\AppData\Local\Temp\E4D2.tmp
"C:\Users\Admin\AppData\Local\Temp\E4D2.tmp"
1⤵
PID:3832
- C:\Users\Admin\AppData\Local\Temp\E520.tmp
  "C:\Users\Admin\AppData\Local\Temp\E520.tmp"
  2⤵
  PID:996
- C:\Users\Admin\AppData\Local\Temp\1018.tmp
  "C:\Users\Admin\AppData\Local\Temp\1018.tmp"
  2⤵
  PID:3640
- - C:\Users\Admin\AppData\Local\Temp\1066.tmp
    "C:\Users\Admin\AppData\Local\Temp\1066.tmp"
    3⤵
    PID:4140
  - - C:\Users\Admin\AppData\Local\Temp\10B4.tmp
      "C:\Users\Admin\AppData\Local\Temp\10B4.tmp"
      4⤵
      PID:4280
  - - C:\Users\Admin\AppData\Local\Temp\1A0B.tmp
      "C:\Users\Admin\AppData\Local\Temp\1A0B.tmp"
      4⤵
      PID:4280
    - - C:\Users\Admin\AppData\Local\Temp\1A59.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A59.tmp"
        5⤵
        
        PID:3256
      - C:\Users\Admin\AppData\Local\Temp\1AA7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AA7.tmp"
        6⤵
        
        PID:744

C:\Users\Admin\AppData\Local\Temp\F482.tmp
"C:\Users\Admin\AppData\Local\Temp\F482.tmp"
1⤵
PID:1940
- C:\Users\Admin\AppData\Local\Temp\F4C0.tmp
  "C:\Users\Admin\AppData\Local\Temp\F4C0.tmp"
  2⤵
  PID:4132
- - C:\Users\Admin\AppData\Local\Temp\F50E.tmp
    "C:\Users\Admin\AppData\Local\Temp\F50E.tmp"
    3⤵
    PID:1044

C:\Users\Admin\AppData\Local\Temp\F86A.tmp
"C:\Users\Admin\AppData\Local\Temp\F86A.tmp"
1⤵
PID:2540
- C:\Users\Admin\AppData\Local\Temp\F8B8.tmp
  "C:\Users\Admin\AppData\Local\Temp\F8B8.tmp"
  2⤵
  PID:4432
- C:\Users\Admin\AppData\Local\Temp\5B0C.tmp
  "C:\Users\Admin\AppData\Local\Temp\5B0C.tmp"
  2⤵
  PID:4580
- - C:\Users\Admin\AppData\Local\Temp\5B5A.tmp
    "C:\Users\Admin\AppData\Local\Temp\5B5A.tmp"
    3⤵
    PID:2592
  - - C:\Users\Admin\AppData\Local\Temp\5BA8.tmp
      "C:\Users\Admin\AppData\Local\Temp\5BA8.tmp"
      4⤵
      PID:3660
    - - C:\Users\Admin\AppData\Local\Temp\5BF6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5BF6.tmp"
        5⤵
        
        PID:1440
      - C:\Users\Admin\AppData\Local\Temp\5C44.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C44.tmp"
        6⤵
        
        PID:432
    - - C:\Users\Admin\AppData\Local\Temp\722D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\722D.tmp"
        5⤵
        
        PID:1440
      - C:\Users\Admin\AppData\Local\Temp\727C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\727C.tmp"
        6⤵
        
        PID:1584
        
        C:\Users\Admin\AppData\Local\Temp\72CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72CA.tmp"
        7⤵
        
        PID:2984

C:\Users\Admin\AppData\Local\Temp\27C.tmp
"C:\Users\Admin\AppData\Local\Temp\27C.tmp"
1⤵
PID:316
- C:\Users\Admin\AppData\Local\Temp\2CA.tmp
  "C:\Users\Admin\AppData\Local\Temp\2CA.tmp"
  2⤵
  PID:4808
- - C:\Users\Admin\AppData\Local\Temp\15A6.tmp
    "C:\Users\Admin\AppData\Local\Temp\15A6.tmp"
    3⤵
    PID:4516
  - - C:\Users\Admin\AppData\Local\Temp\15F4.tmp
      "C:\Users\Admin\AppData\Local\Temp\15F4.tmp"
      4⤵
      PID:3948

C:\Users\Admin\AppData\Local\Temp\1102.tmp
"C:\Users\Admin\AppData\Local\Temp\1102.tmp"
1⤵
PID:3256
- C:\Users\Admin\AppData\Local\Temp\1141.tmp
  "C:\Users\Admin\AppData\Local\Temp\1141.tmp"
  2⤵
  PID:412

C:\Users\Admin\AppData\Local\Temp\1AF5.tmp
"C:\Users\Admin\AppData\Local\Temp\1AF5.tmp"
1⤵
PID:2544
- C:\Users\Admin\AppData\Local\Temp\1B43.tmp
  "C:\Users\Admin\AppData\Local\Temp\1B43.tmp"
  2⤵
  PID:3764
- - C:\Users\Admin\AppData\Local\Temp\1B92.tmp
    "C:\Users\Admin\AppData\Local\Temp\1B92.tmp"
    3⤵
    PID:3408

C:\Users\Admin\AppData\Local\Temp\1BE0.tmp
"C:\Users\Admin\AppData\Local\Temp\1BE0.tmp"
1⤵
PID:3668
- C:\Users\Admin\AppData\Local\Temp\1C2E.tmp
  "C:\Users\Admin\AppData\Local\Temp\1C2E.tmp"
  2⤵
  - Executes dropped EXE
  PID:740
- - C:\Users\Admin\AppData\Local\Temp\1C7C.tmp
    "C:\Users\Admin\AppData\Local\Temp\1C7C.tmp"
    3⤵
    PID:4580

C:\Users\Admin\AppData\Local\Temp\1E03.tmp
"C:\Users\Admin\AppData\Local\Temp\1E03.tmp"
1⤵
PID:3880
- C:\Users\Admin\AppData\Local\Temp\1E51.tmp
  "C:\Users\Admin\AppData\Local\Temp\1E51.tmp"
  2⤵
  PID:4252
- - C:\Users\Admin\AppData\Local\Temp\1E9F.tmp
    "C:\Users\Admin\AppData\Local\Temp\1E9F.tmp"
    3⤵
    PID:316
  - - C:\Users\Admin\AppData\Local\Temp\1EED.tmp
      "C:\Users\Admin\AppData\Local\Temp\1EED.tmp"
      4⤵
      PID:4748

C:\Users\Admin\AppData\Local\Temp\1F3B.tmp
"C:\Users\Admin\AppData\Local\Temp\1F3B.tmp"
1⤵
PID:876
- C:\Users\Admin\AppData\Local\Temp\1F89.tmp
  "C:\Users\Admin\AppData\Local\Temp\1F89.tmp"
  2⤵
  PID:2360
- - C:\Users\Admin\AppData\Local\Temp\1FD7.tmp
    "C:\Users\Admin\AppData\Local\Temp\1FD7.tmp"
    3⤵
    PID:2876

C:\Users\Admin\AppData\Local\Temp\28D0.tmp
"C:\Users\Admin\AppData\Local\Temp\28D0.tmp"
1⤵
PID:1228
- C:\Users\Admin\AppData\Local\Temp\291E.tmp
  "C:\Users\Admin\AppData\Local\Temp\291E.tmp"
  2⤵
  PID:2448
- - C:\Users\Admin\AppData\Local\Temp\296C.tmp
    "C:\Users\Admin\AppData\Local\Temp\296C.tmp"
    3⤵
    PID:4800

C:\Users\Admin\AppData\Local\Temp\2DF1.tmp
"C:\Users\Admin\AppData\Local\Temp\2DF1.tmp"
1⤵
PID:4792
- C:\Users\Admin\AppData\Local\Temp\2E3F.tmp
  "C:\Users\Admin\AppData\Local\Temp\2E3F.tmp"
  2⤵
  PID:2544
- - C:\Users\Admin\AppData\Local\Temp\2E8D.tmp
    "C:\Users\Admin\AppData\Local\Temp\2E8D.tmp"
    3⤵
    PID:948
  - - C:\Users\Admin\AppData\Local\Temp\2EDB.tmp
      "C:\Users\Admin\AppData\Local\Temp\2EDB.tmp"
      4⤵
      PID:4240
    - - C:\Users\Admin\AppData\Local\Temp\12F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12F6.tmp"
        5⤵
        
        PID:4580

C:\Users\Admin\AppData\Local\Temp\3851.tmp
"C:\Users\Admin\AppData\Local\Temp\3851.tmp"
1⤵
PID:3472
- C:\Users\Admin\AppData\Local\Temp\389F.tmp
  "C:\Users\Admin\AppData\Local\Temp\389F.tmp"
  2⤵
  PID:3420

C:\Users\Admin\AppData\Local\Temp\41B7.tmp
"C:\Users\Admin\AppData\Local\Temp\41B7.tmp"
1⤵
- Suspicious use of WriteProcessMemory
PID:4168
- C:\Users\Admin\AppData\Local\Temp\4205.tmp
  "C:\Users\Admin\AppData\Local\Temp\4205.tmp"
  2⤵
  PID:4408
- - C:\Users\Admin\AppData\Local\Temp\4253.tmp
    "C:\Users\Admin\AppData\Local\Temp\4253.tmp"
    3⤵
    PID:4932
  - - C:\Users\Admin\AppData\Local\Temp\42A2.tmp
      "C:\Users\Admin\AppData\Local\Temp\42A2.tmp"
      4⤵
      PID:2068
    - - C:\Users\Admin\AppData\Local\Temp\42F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42F0.tmp"
        5⤵
        
        PID:1336
  - - C:\Users\Admin\AppData\Local\Temp\DEA8.tmp
      "C:\Users\Admin\AppData\Local\Temp\DEA8.tmp"
      4⤵
      PID:316
- - C:\Users\Admin\AppData\Local\Temp\EB3B.tmp
    "C:\Users\Admin\AppData\Local\Temp\EB3B.tmp"
    3⤵
    PID:2384
- - C:\Users\Admin\AppData\Local\Temp\584C.tmp
    "C:\Users\Admin\AppData\Local\Temp\584C.tmp"
    3⤵
    PID:2068
  - - C:\Users\Admin\AppData\Local\Temp\58BA.tmp
      "C:\Users\Admin\AppData\Local\Temp\58BA.tmp"
      4⤵
      PID:1336
    - - C:\Users\Admin\AppData\Local\Temp\5908.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5908.tmp"
        5⤵
        
        PID:1280
      - C:\Users\Admin\AppData\Local\Temp\5956.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5956.tmp"
        6⤵
        
        PID:4484
      - C:\Users\Admin\AppData\Local\Temp\6E07.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E07.tmp"
        6⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\6E55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E55.tmp"
        7⤵
        
        PID:1984
        
        C:\Users\Admin\AppData\Local\Temp\6E94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E94.tmp"
        8⤵
        
        PID:948
        
        C:\Users\Admin\AppData\Local\Temp\6EF1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6EF1.tmp"
        9⤵
        
        PID:2308
        
        C:\Users\Admin\AppData\Local\Temp\6F3F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F3F.tmp"
        10⤵
        
        PID:3064
        
        C:\Users\Admin\AppData\Local\Temp\6F8E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F8E.tmp"
        11⤵
        
        PID:4240
        
        C:\Users\Admin\AppData\Local\Temp\6FEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6FEB.tmp"
        12⤵
        
        PID:5084
        
        C:\Users\Admin\AppData\Local\Temp\7049.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7049.tmp"
        13⤵
        
        PID:4848

C:\Windows\system32\backgroundTaskHost.exe
"C:\Windows\system32\backgroundTaskHost.exe" -ServerName:App.AppXmtcan0h2tfbfy7k9kn8hbxb6dmzz1zh0.mca
1⤵
PID:3972

C:\Users\Admin\AppData\Local\Temp\5C92.tmp
"C:\Users\Admin\AppData\Local\Temp\5C92.tmp"
1⤵
PID:3264
- C:\Users\Admin\AppData\Local\Temp\5CE0.tmp
  "C:\Users\Admin\AppData\Local\Temp\5CE0.tmp"
  2⤵
  PID:4516
- - C:\Users\Admin\AppData\Local\Temp\5D2E.tmp
    "C:\Users\Admin\AppData\Local\Temp\5D2E.tmp"
    3⤵
    PID:3984
  - - C:\Users\Admin\AppData\Local\Temp\684A.tmp
      "C:\Users\Admin\AppData\Local\Temp\684A.tmp"
      4⤵
      PID:5036
    - - C:\Users\Admin\AppData\Local\Temp\6898.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6898.tmp"
        5⤵
        
        PID:1644
      - C:\Users\Admin\AppData\Local\Temp\68E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68E6.tmp"
        6⤵
        
        PID:4428
- C:\Users\Admin\AppData\Local\Temp\67AE.tmp
  "C:\Users\Admin\AppData\Local\Temp\67AE.tmp"
  2⤵
  PID:4516
- - C:\Users\Admin\AppData\Local\Temp\67FC.tmp
    "C:\Users\Admin\AppData\Local\Temp\67FC.tmp"
    3⤵
    PID:3984

C:\Users\Admin\AppData\Local\Temp\63E5.tmp
"C:\Users\Admin\AppData\Local\Temp\63E5.tmp"
1⤵
PID:3408
- C:\Users\Admin\AppData\Local\Temp\6433.tmp
  "C:\Users\Admin\AppData\Local\Temp\6433.tmp"
  2⤵
  PID:1852
- - C:\Users\Admin\AppData\Local\Temp\6491.tmp
    "C:\Users\Admin\AppData\Local\Temp\6491.tmp"
    3⤵
    PID:3828
  - - C:\Users\Admin\AppData\Local\Temp\64EF.tmp
      "C:\Users\Admin\AppData\Local\Temp\64EF.tmp"
      4⤵
      PID:740
    - - C:\Users\Admin\AppData\Local\Temp\657B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\657B.tmp"
        5⤵
        
        PID:4140
      - C:\Users\Admin\AppData\Local\Temp\65D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\65D9.tmp"
        6⤵
        
        PID:4728
        
        C:\Users\Admin\AppData\Local\Temp\6627.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6627.tmp"
        7⤵
        
        PID:4876
        
        C:\Users\Admin\AppData\Local\Temp\6675.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6675.tmp"
        8⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\66C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\66C4.tmp"
        9⤵
        
        PID:4808

C:\Users\Admin\AppData\Local\Temp\6BA6.tmp
"C:\Users\Admin\AppData\Local\Temp\6BA6.tmp"
1⤵
PID:1080
- C:\Users\Admin\AppData\Local\Temp\6BF4.tmp
  "C:\Users\Admin\AppData\Local\Temp\6BF4.tmp"
  2⤵
  PID:684
- - C:\Users\Admin\AppData\Local\Temp\6C42.tmp
    "C:\Users\Admin\AppData\Local\Temp\6C42.tmp"
    3⤵
    PID:4636
  - - C:\Users\Admin\AppData\Local\Temp\6C90.tmp
      "C:\Users\Admin\AppData\Local\Temp\6C90.tmp"
      4⤵
      PID:3964
    - - C:\Users\Admin\AppData\Local\Temp\6CDE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CDE.tmp"
        5⤵
        
        PID:3400

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\43C0.tmp

Filesize
527KB

MD5
9e92e5336624016a78ae620839306897

SHA1
39506b13b888522937542e2433fba9360b08c64f

SHA256
6104e724d46ef7256f080efd7cab7dc7239a05a70da88287c42832eb595c641a

SHA512
7cf06d7a17776d4218029ef2a6ff3cf9d31d979ee0e674263e63b2249ba50a06279572831f785c1d29cdf7c39b058d4ca9239725756fe21ef9a4e3085ac24e19

Download Submit
C:\Users\Admin\AppData\Local\Temp\43C0.tmp

Filesize
105KB

MD5
dd4cea3c35999f8ebc7eabec9cd18f69

SHA1
9d257ff1f20f7e95c58bdf5541d911d687e2da04

SHA256
40e177bf6304c883ccefe822a8898c319877575c78d05023514d897fc54cb414

SHA512
e42a3ffbcb848f5ca0d428afb6f349b6864fd2dc7ee2d568e819c1b1e6c1749f5c30f036762bc9a3c2d7eb20789df7027dacb09e5c4d29893bf326ba3917d458

Download Submit
C:\Users\Admin\AppData\Local\Temp\441D.tmp

Filesize
527KB

MD5
47dea6e13518e2aafc7bf7d3beb918eb

SHA1
bcae89b6bb43d341b19ea62813e2194955d2a75f

SHA256
a7be3e15efba6ad8ef3480d7b70bc4d5e9d5e49df41f9e389a8a7498868791dd

SHA512
e1e2b3fdc6a6712aa84f31380f7556dfcd998fba8962594f1b49245c2720ccc9016f681993bf8f5f8ca501a15b8859497e5544546891f5c5e57315f8c30f37fa

Download Submit
C:\Users\Admin\AppData\Local\Temp\446B.tmp

Filesize
527KB

MD5
562c32a31029f120fbf511659d49e6b1

SHA1
cdfc0e102c9209f04486b58db9322d26cb80e178

SHA256
4244fa1ece531289853051cb92bcbe6c81f6660171ec24a753b3d83d6afc2847

SHA512
8cfd769848d9d9dfe7d7dbdfe1e49da665d9410c80405dd6ccab76ff0da022e800ca44a50910c561b6875c5f783a44467b47795f702f24f2c717d6b7ffc50488

Download Submit
C:\Users\Admin\AppData\Local\Temp\4611.tmp

Filesize
527KB

MD5
495f5daa8497bd516830fcfec3603c5a

SHA1
cf6588880b792fb3ab5ca43067fbf526f807b584

SHA256
dbf3cc3d4083f4ad9a42b9b0ac015e5f9b6809c3744b49752b49c22e3cd8fab4

SHA512
0e2ea6ae6d8b760850e4b1d6e6c7bc36a557331a080e70b8a547c8ae9b5f6ce7ffa6fbb08c35aa5899c3692bda26414235661c87057a51eee2099c4f338d8265

Download Submit
C:\Users\Admin\AppData\Local\Temp\474A.tmp

Filesize
527KB

MD5
d29bfa5df45bb290a8ac3c17c95026bb

SHA1
138ccdb5a5bddf3ff550c1503fc9410305e791db

SHA256
1b34c1fe6758a9f305eddbec51046711941e5ff32494f10c6dd671f530887553

SHA512
953ab5b6bb846f51a360260f0c1d5f3ba40f54d841826dfb273798ac4b66dfe98747fc184792035fb48c59790a705e45b7e405b4a33778dd671fb7838323045b

Download Submit
C:\Users\Admin\AppData\Local\Temp\47E6.tmp

Filesize
527KB

MD5
2b5c6d75b825265bb7b9b73bf57f32b9

SHA1
00f37138b6ece5219160293510b7b24172acc0e0

SHA256
13a463be5c94b681db469ec42308eb06351264f0808a40d028736da568096a72

SHA512
41f2a292cc25a385841e3f1d30a6c0c3fdc6319d4cb232a70b3090f366b1726e07ca467f0021163bd8b94091d7868498f28badcfa78b2a049d224cbc60cc3c08

Download Submit
C:\Users\Admin\AppData\Local\Temp\4834.tmp

Filesize
527KB

MD5
e5c17f81deb2eae7807c0ff7d54f9a76

SHA1
95c4e69b695c1f64ee770876c96bda509f8773cc

SHA256
f215634d48f29689836d939799a7fd286b16a0d621ffa1f7e64781890613adc6

SHA512
f842f9f86f4c32e2fefc1617662fa95ae610fc38bbd304b832dd52b69b6b403364f7d99b7a29bab1e86b90c158d86c60bd16cd98c2bd2996b4e3dddd7e70d761

Download Submit
C:\Users\Admin\AppData\Local\Temp\4882.tmp

Filesize
527KB

MD5
1d0d8e2a0389a337b4e678d38b8a3a43

SHA1
da076f44943f74a45b5fed6a15413fec5ef9a306

SHA256
ea055bdfc764e2cca64c0ab5ce5021efda29f03d4e94c31c6d31e4e65a6646ba

SHA512
795bccacd8be402c3b0cdfa6fd68ea6364aed07237cd3bdb4b42157772801a4f4787138b1e0104a2dcbd9849130a0c14c5ac407f1373a459954018362583857b

Download Submit
C:\Users\Admin\AppData\Local\Temp\48D0.tmp

Filesize
527KB

MD5
d438a18ae55cc8388e0b067b23e155b7

SHA1
72851af2e8b76596dbd76782617268478c31ab72

SHA256
cd0a9e9437af788700bcca1f10c370d78c2746656df07bdccc3977f8735ca622

SHA512
29116d9b70104a3df9b1b0d0f98db48f8b2caa519dbf53e9476db2bf45df94ed82d9a53c40ba1741b82a691ecff7a0d7ee8b9e672927680169d980e8777f44ca

Download Submit
C:\Users\Admin\AppData\Local\Temp\499C.tmp

Filesize
527KB

MD5
fc33bca67d2cefa189086c8217f6d6a4

SHA1
e9a3b7375df700bb3dccd099ce1753aa77d81148

SHA256
d0d8b6920864883f2250cb70cee899e2440dbfc18e442ea6f32f7fb2a8856bea

SHA512
efac77ec2ea281760c56edfae712a69d4996d04af942de597ff7433b472cda2046f71168d2a2aa8a89f472a4358611fa4fa79a05241051c1af855af3b38c0167

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A38.tmp

Filesize
527KB

MD5
16526d3e7d5004d6ed20947fe1dd1c0b

SHA1
d4997f8ed9d652fd0577b9b381869363e91deab7

SHA256
eda7061219baa937811a71658c07fa6fb89b5ff8dcb6867d854a2a2d1bb89149

SHA512
c6d4dfa4aa7a7346b07260983073e8bc716b8ec75c9a35473fde4e90caf2ec21c37be6869b61ce27ae78fad375b55c956e7ecbc2a2a804b3d0d1789c11254f15

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B22.tmp

Filesize
527KB

MD5
d2fccaf034c54689350f18aae3eb4c13

SHA1
cc465d52a5fd8bd91c43a0369db0076ea2154711

SHA256
16a2901af66acdba859373b034bcc3645fff351b04cd5d188cf46a8dfb114aa9

SHA512
71b0758cb84b5c27783b1e537c7fee21a0313680cfa1566b790818c9b2f1e82aa3f7a71493ce98847f48125fa244fc7d8b91b5976e001f38d09fe1b91cfac51d

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B70.tmp

Filesize
527KB

MD5
9776113651187c0e87671988d3d806c2

SHA1
7be348d90d4414942ef9cae7c0bff7c40fc54367

SHA256
be796a9c5041679be5d617ecb797a78f24d9a6d8c587392deeb12522a49a66b1

SHA512
cab70f3c9fd30e25d6d12f2f8cd983d2e40f223b1ba7cde216be4dd0cd50d1d5eed6e35a6848d2537667e9fbd977377f1fcd71c6c09e89e8e27581761359b653

Download Submit
C:\Users\Admin\AppData\Local\Temp\4CA9.tmp

Filesize
527KB

MD5
0d0e6544fcffc48f78185644db0e2182

SHA1
64723c4866ee0dc0da410c868bd43c79839d56fb

SHA256
94785cdb8ee052c72380966f227fada7cea7467a239e968764f0e51ae03e6c05

SHA512
236e564d988249b363ae4b2c4cb0badaf922f79b5e3229efe658350c91b97b26a1242b995fb06842ab63769c72e0623870d747c42ae6c81281e3c074e8dc6ca0

Download Submit
C:\Users\Admin\AppData\Local\Temp\4CF7.tmp

Filesize
527KB

MD5
1efcba85c5ea9181c77d4d9e0f1aec9d

SHA1
4d3978d2c42000964989fa90648d2be3002c09e4

SHA256
f753896954725c75c962db364a298cffb799736b81f2215e7147d403fd6dda4d

SHA512
983692b84d10e300196ec5d84faacb630e5f8b46988f28fce0187ff322d3b91fd5e7c5ff34b1aedf1991522475a2122ac4a799850ae06d0e86f4901fdbf31ee0

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads