d283ffed635a1e84de005314190b930eabd0eca857f805a5fdc97dbd4dd8c2d4

Analysis

max time kernel
150s
max time network
123s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
18-01-2024 22:48

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2024-01-18_5b47c3d64c50051a40adef425ac4e79e_mafia.exe
Size

486KB
MD5

5b47c3d64c50051a40adef425ac4e79e
SHA1

80fcada2a50fbc715cb1d810b33925f8b543ee20
SHA256

d283ffed635a1e84de005314190b930eabd0eca857f805a5fdc97dbd4dd8c2d4
SHA512

c80a0d4ea0ff98a41367bd08e37e0ec286a43deebd7f565620d632cbbd0ddbfe107c8dd0c352e70f375f4b4add21c188ec0e6097eb4582a75a9aa28260bb7f3a
SSDEEP

12288:/U5rCOTeiDVsLcdek3T0+IIuW/ISB3W1El0NZ:/UQOJD+aeSQcPTzl0N

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
3420	4A86.tmp
3476	4AE4.tmp
3380	E2BF.tmp
4688	4B90.tmp
552	4BED.tmp
3872	A335.tmp
4272	700F.tmp
372	9088.tmp
4948	B258.tmp
2872	C19A.tmp
1632	B1CB.tmp
3496	C469.tmp
1676	4E6E.tmp
3280	82FB.tmp
3592	E937.tmp
2796	C5F0.tmp
1296	C68C.tmp
4076	D958.tmp
5100	5091.tmp
3472	50DF.tmp
4336	mousocoreworker.exe
4164	518B.tmp
4532	51D9.tmp
2308	5227.tmp
4776	A6DF.tmp
1680	52C3.tmp
4100	5321.tmp
2080	DAEF.tmp
2720	53DD.tmp
4144	A807.tmp
3444	ABB1.tmp
3216	B9CA.tmp
1128	5525.tmp
4760	9877.tmp
2476	D476.tmp
2372	D38C.tmp
3748	D3DA.tmp
4888	6A24.tmp
3940	BB9F.tmp
1316	8A7D.tmp
1804	6B5C.tmp
4804	9A4C.tmp
4928	51C.tmp
1980	9CBD.tmp
4188	BEEB.tmp
2044	ADD4.tmp
1212	svchost.exe
744	5BCC.tmp
3832	5C1A.tmp
3500	wmiprvse.exe
4648	5CC6.tmp
4332	CF27.tmp
3236	5D62.tmp
3380	E2BF.tmp
3432	E3B9.tmp
844	961.tmp
4788	9EEF.tmp
636	9FE.tmp
4656	8FEC.tmp
2068	F721.tmp
4444	C285.tmp
1196	E7FE.tmp
4296	608F.tmp
432	60DD.tmp

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 744 wrote to memory of 3420	744	5BCC.tmp	23
PID 744 wrote to memory of 3420	744	5BCC.tmp	23
PID 744 wrote to memory of 3420	744	5BCC.tmp	23
PID 3420 wrote to memory of 3476	3420	4A86.tmp	25
PID 3420 wrote to memory of 3476	3420	4A86.tmp	25
PID 3420 wrote to memory of 3476	3420	4A86.tmp	25
PID 3476 wrote to memory of 3380	3476	4AE4.tmp	587
PID 3476 wrote to memory of 3380	3476	4AE4.tmp	587
PID 3476 wrote to memory of 3380	3476	4AE4.tmp	587
PID 3380 wrote to memory of 4688	3380	E2BF.tmp	26
PID 3380 wrote to memory of 4688	3380	E2BF.tmp	26
PID 3380 wrote to memory of 4688	3380	E2BF.tmp	26
PID 4688 wrote to memory of 552	4688	4B90.tmp	173
PID 4688 wrote to memory of 552	4688	4B90.tmp	173
PID 4688 wrote to memory of 552	4688	4B90.tmp	173
PID 552 wrote to memory of 3872	552	4BED.tmp	377
PID 552 wrote to memory of 3872	552	4BED.tmp	377
PID 552 wrote to memory of 3872	552	4BED.tmp	377
PID 3872 wrote to memory of 4272	3872	A335.tmp	111
PID 3872 wrote to memory of 4272	3872	A335.tmp	111
PID 3872 wrote to memory of 4272	3872	A335.tmp	111
PID 4272 wrote to memory of 372	4272	700F.tmp	315
PID 4272 wrote to memory of 372	4272	700F.tmp	315
PID 4272 wrote to memory of 372	4272	700F.tmp	315
PID 372 wrote to memory of 4948	372	9088.tmp	427
PID 372 wrote to memory of 4948	372	9088.tmp	427
PID 372 wrote to memory of 4948	372	9088.tmp	427
PID 4948 wrote to memory of 2872	4948	B258.tmp	479
PID 4948 wrote to memory of 2872	4948	B258.tmp	479
PID 4948 wrote to memory of 2872	4948	B258.tmp	479
PID 2872 wrote to memory of 1632	2872	C19A.tmp	426
PID 2872 wrote to memory of 1632	2872	C19A.tmp	426
PID 2872 wrote to memory of 1632	2872	C19A.tmp	426
PID 1632 wrote to memory of 3496	1632	B1CB.tmp	488
PID 1632 wrote to memory of 3496	1632	B1CB.tmp	488
PID 1632 wrote to memory of 3496	1632	B1CB.tmp	488
PID 3496 wrote to memory of 1676	3496	C469.tmp	162
PID 3496 wrote to memory of 1676	3496	C469.tmp	162
PID 3496 wrote to memory of 1676	3496	C469.tmp	162
PID 1676 wrote to memory of 3280	1676	4E6E.tmp	247
PID 1676 wrote to memory of 3280	1676	4E6E.tmp	247
PID 1676 wrote to memory of 3280	1676	4E6E.tmp	247
PID 3280 wrote to memory of 3592	3280	82FB.tmp	608
PID 3280 wrote to memory of 3592	3280	82FB.tmp	608
PID 3280 wrote to memory of 3592	3280	82FB.tmp	608
PID 3592 wrote to memory of 2796	3592	E937.tmp	493
PID 3592 wrote to memory of 2796	3592	E937.tmp	493
PID 3592 wrote to memory of 2796	3592	E937.tmp	493
PID 2796 wrote to memory of 1296	2796	C5F0.tmp	495
PID 2796 wrote to memory of 1296	2796	C5F0.tmp	495
PID 2796 wrote to memory of 1296	2796	C5F0.tmp	495
PID 1296 wrote to memory of 4076	1296	C68C.tmp	557
PID 1296 wrote to memory of 4076	1296	C68C.tmp	557
PID 1296 wrote to memory of 4076	1296	C68C.tmp	557
PID 4076 wrote to memory of 5100	4076	D958.tmp	153
PID 4076 wrote to memory of 5100	4076	D958.tmp	153
PID 4076 wrote to memory of 5100	4076	D958.tmp	153
PID 5100 wrote to memory of 3472	5100	5091.tmp	152
PID 5100 wrote to memory of 3472	5100	5091.tmp	152
PID 5100 wrote to memory of 3472	5100	5091.tmp	152
PID 3472 wrote to memory of 4336	3472	50DF.tmp	265
PID 3472 wrote to memory of 4336	3472	50DF.tmp	265
PID 3472 wrote to memory of 4336	3472	50DF.tmp	265
PID 4336 wrote to memory of 4164	4336	mousocoreworker.exe	149

C:\Users\Admin\AppData\Local\Temp\2024-01-18_5b47c3d64c50051a40adef425ac4e79e_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-18_5b47c3d64c50051a40adef425ac4e79e_mafia.exe"
1⤵
PID:744
- C:\Users\Admin\AppData\Local\Temp\4A86.tmp
  "C:\Users\Admin\AppData\Local\Temp\4A86.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:3420
- - C:\Users\Admin\AppData\Local\Temp\4AE4.tmp
    "C:\Users\Admin\AppData\Local\Temp\4AE4.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:3476
  - - C:\Users\Admin\AppData\Local\Temp\4B32.tmp
      "C:\Users\Admin\AppData\Local\Temp\4B32.tmp"
      4⤵
      PID:3380

C:\Users\Admin\AppData\Local\Temp\4B90.tmp
"C:\Users\Admin\AppData\Local\Temp\4B90.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4688
- C:\Users\Admin\AppData\Local\Temp\4BED.tmp
  "C:\Users\Admin\AppData\Local\Temp\4BED.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:552

C:\Users\Admin\AppData\Local\Temp\4C8A.tmp
"C:\Users\Admin\AppData\Local\Temp\4C8A.tmp"
1⤵
PID:4272

C:\Users\Admin\AppData\Local\Temp\4F78.tmp
"C:\Users\Admin\AppData\Local\Temp\4F78.tmp"
1⤵
PID:2796
- C:\Users\Admin\AppData\Local\Temp\4FD5.tmp
  "C:\Users\Admin\AppData\Local\Temp\4FD5.tmp"
  2⤵
  PID:1296

C:\Users\Admin\AppData\Local\Temp\54C7.tmp
"C:\Users\Admin\AppData\Local\Temp\54C7.tmp"
1⤵
PID:3216
- C:\Users\Admin\AppData\Local\Temp\5525.tmp
  "C:\Users\Admin\AppData\Local\Temp\5525.tmp"
  2⤵
  - Executes dropped EXE
  PID:1128
- - C:\Users\Admin\AppData\Local\Temp\5573.tmp
    "C:\Users\Admin\AppData\Local\Temp\5573.tmp"
    3⤵
    PID:4760
  - - C:\Users\Admin\AppData\Local\Temp\55C1.tmp
      "C:\Users\Admin\AppData\Local\Temp\55C1.tmp"
      4⤵
      PID:2476
    - - C:\Users\Admin\AppData\Local\Temp\563E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\563E.tmp"
        5⤵
        
        PID:2372
      - C:\Users\Admin\AppData\Local\Temp\568C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\568C.tmp"
        6⤵
        
        PID:3748
        
        C:\Users\Admin\AppData\Local\Temp\56DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56DA.tmp"
        7⤵
        
        PID:4888
        
        C:\Users\Admin\AppData\Local\Temp\5728.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5728.tmp"
        8⤵
        
        PID:3940
        
        C:\Users\Admin\AppData\Local\Temp\5776.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5776.tmp"
        9⤵
        
        PID:1316
        
        C:\Users\Admin\AppData\Local\Temp\BBDE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBDE.tmp"
        9⤵
        
        PID:3684
        
        C:\Users\Admin\AppData\Local\Temp\BC2C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC2C.tmp"
        10⤵
        
        PID:3892
        
        C:\Users\Admin\AppData\Local\Temp\BC7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC7A.tmp"
        11⤵
        
        PID:1708
        
        C:\Users\Admin\AppData\Local\Temp\BCC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BCC8.tmp"
        12⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\BD16.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD16.tmp"
        13⤵
        
        PID:5116
        
        C:\Users\Admin\AppData\Local\Temp\BD64.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD64.tmp"
        14⤵
        
        PID:3364
        
        C:\Users\Admin\AppData\Local\Temp\BDB2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BDB2.tmp"
        15⤵
        
        PID:2408
        
        C:\Users\Admin\AppData\Local\Temp\BE10.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE10.tmp"
        16⤵
        
        PID:1368
        
        C:\Users\Admin\AppData\Local\Temp\BE5E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE5E.tmp"
        17⤵
        
        PID:680
        
        C:\Users\Admin\AppData\Local\Temp\BEAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BEAC.tmp"
        18⤵
        
        PID:3088
        
        C:\Users\Admin\AppData\Local\Temp\BEEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BEEB.tmp"
        19⤵
        Executes dropped EXE
        
        PID:4188
        
        C:\Users\Admin\AppData\Local\Temp\BF39.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF39.tmp"
        20⤵
        
        PID:1464
        
        C:\Users\Admin\AppData\Local\Temp\BF87.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF87.tmp"
        21⤵
        
        PID:4052
        
        C:\Users\Admin\AppData\Local\Temp\BFD5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BFD5.tmp"
        22⤵
        
        PID:3612
        
        C:\Users\Admin\AppData\Local\Temp\C023.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C023.tmp"
        23⤵
        
        PID:624
        
        C:\Users\Admin\AppData\Local\Temp\C071.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C071.tmp"
        24⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\C0B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0B0.tmp"
        25⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\C0FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0FE.tmp"
        26⤵
        
        PID:1788
        
        C:\Users\Admin\AppData\Local\Temp\C14C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C14C.tmp"
        27⤵
        
        PID:2688
        
        C:\Users\Admin\AppData\Local\Temp\C19A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C19A.tmp"
        28⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2872
        
        C:\Users\Admin\AppData\Local\Temp\C1E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C1E8.tmp"
        29⤵
        
        PID:4964
        
        C:\Users\Admin\AppData\Local\Temp\C237.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C237.tmp"
        30⤵
        
        PID:4276
        
        C:\Users\Admin\AppData\Local\Temp\C285.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C285.tmp"
        31⤵
        Executes dropped EXE
        
        PID:4444
        
        C:\Users\Admin\AppData\Local\Temp\D2B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2B1.tmp"
        27⤵
        
        PID:4232
        
        C:\Users\Admin\AppData\Local\Temp\D2F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2F0.tmp"
        28⤵
        
        PID:3104
        
        C:\Users\Admin\AppData\Local\Temp\D33E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D33E.tmp"
        29⤵
        
        PID:4524
        
        C:\Users\Admin\AppData\Local\Temp\1E41.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E41.tmp"
        23⤵
        
        PID:2508
        
        C:\Users\Admin\AppData\Local\Temp\1E8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E8F.tmp"
        24⤵
        
        PID:3876
        
        C:\Users\Admin\AppData\Local\Temp\1EDD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1EDD.tmp"
        25⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\1F2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F2B.tmp"
        26⤵
        
        PID:4416
        
        C:\Users\Admin\AppData\Local\Temp\1F7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F7A.tmp"
        27⤵
        
        PID:2068
        
        C:\Users\Admin\AppData\Local\Temp\1FC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FC8.tmp"
        28⤵
        
        PID:4492
        
        C:\Users\Admin\AppData\Local\Temp\2016.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2016.tmp"
        29⤵
        
        PID:3048
        
        C:\Users\Admin\AppData\Local\Temp\2064.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2064.tmp"
        30⤵
        
        PID:4232
        
        C:\Users\Admin\AppData\Local\Temp\20B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\20B2.tmp"
        31⤵
        
        PID:372
        
        C:\Users\Admin\AppData\Local\Temp\2100.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2100.tmp"
        32⤵
        
        PID:5084
        
        C:\Users\Admin\AppData\Local\Temp\214E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\214E.tmp"
        33⤵
        
        PID:3560
        
        C:\Users\Admin\AppData\Local\Temp\219C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\219C.tmp"
        34⤵
        
        PID:1064
        
        C:\Users\Admin\AppData\Local\Temp\21EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\21EB.tmp"
        35⤵
        
        PID:2364
        
        C:\Users\Admin\AppData\Local\Temp\2229.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2229.tmp"
        36⤵
        
        PID:2032
        
        C:\Users\Admin\AppData\Local\Temp\2277.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2277.tmp"
        37⤵
        
        PID:1420
        
        C:\Users\Admin\AppData\Local\Temp\22C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\22C5.tmp"
        38⤵
        
        PID:4708
        
        C:\Users\Admin\AppData\Local\Temp\2313.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2313.tmp"
        39⤵
        
        PID:2652
        
        C:\Users\Admin\AppData\Local\Temp\2362.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2362.tmp"
        40⤵
        
        PID:968
        
        C:\Users\Admin\AppData\Local\Temp\23B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23B0.tmp"
        41⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\23FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23FE.tmp"
        42⤵
        
        PID:4172
        
        C:\Users\Admin\AppData\Local\Temp\244C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\244C.tmp"
        43⤵
        
        PID:64
        
        C:\Users\Admin\AppData\Local\Temp\249A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\249A.tmp"
        44⤵
        
        PID:4176
        
        C:\Users\Admin\AppData\Local\Temp\24E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24E8.tmp"
        45⤵
        
        PID:4660
        
        C:\Users\Admin\AppData\Local\Temp\2536.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2536.tmp"
        46⤵
        
        PID:1424
        
        C:\Users\Admin\AppData\Local\Temp\2584.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2584.tmp"
        47⤵
        
        PID:1924
        
        C:\Users\Admin\AppData\Local\Temp\25D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\25D3.tmp"
        48⤵
        
        PID:2144
        
        C:\Users\Admin\AppData\Local\Temp\2621.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2621.tmp"
        49⤵
        
        PID:3324
        
        C:\Users\Admin\AppData\Local\Temp\266F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\266F.tmp"
        50⤵
        
        PID:3044
        
        C:\Users\Admin\AppData\Local\Temp\26BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\26BD.tmp"
        51⤵
        
        PID:1444
        
        C:\Users\Admin\AppData\Local\Temp\270B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\270B.tmp"
        52⤵
        
        PID:4868
        
        C:\Users\Admin\AppData\Local\Temp\2759.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2759.tmp"
        53⤵
        
        PID:364
        
        C:\Users\Admin\AppData\Local\Temp\27A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27A7.tmp"
        54⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\27F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27F5.tmp"
        55⤵
        
        PID:1764
        
        C:\Users\Admin\AppData\Local\Temp\2844.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2844.tmp"
        56⤵
        
        PID:5020
        
        C:\Users\Admin\AppData\Local\Temp\2892.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2892.tmp"
        57⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\28E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28E0.tmp"
        58⤵
        
        PID:3216
        
        C:\Users\Admin\AppData\Local\Temp\292E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\292E.tmp"
        59⤵
        
        PID:2128
        
        C:\Users\Admin\AppData\Local\Temp\297C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\297C.tmp"
        60⤵
        
        PID:3848
        
        C:\Users\Admin\AppData\Local\Temp\29CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\29CA.tmp"
        61⤵
        
        PID:4620
        
        C:\Users\Admin\AppData\Local\Temp\2A18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A18.tmp"
        62⤵
        
        PID:396
        
        C:\Users\Admin\AppData\Local\Temp\2A66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A66.tmp"
        63⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\2AB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2AB5.tmp"
        64⤵
        
        PID:4180
        
        C:\Users\Admin\AppData\Local\Temp\2B03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B03.tmp"
        65⤵
        
        PID:2108
        
        C:\Users\Admin\AppData\Local\Temp\2B51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B51.tmp"
        66⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\2B9F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B9F.tmp"
        67⤵
        
        PID:1792
        
        C:\Users\Admin\AppData\Local\Temp\2BED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2BED.tmp"
        68⤵
        
        PID:3992
        
        C:\Users\Admin\AppData\Local\Temp\2C3B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C3B.tmp"
        69⤵
        
        PID:216
        
        C:\Users\Admin\AppData\Local\Temp\2C89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C89.tmp"
        70⤵
        
        PID:2016
        
        C:\Users\Admin\AppData\Local\Temp\2CD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2CD7.tmp"
        71⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\2D26.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D26.tmp"
        72⤵
        
        PID:1708
        
        C:\Users\Admin\AppData\Local\Temp\2D74.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D74.tmp"
        73⤵
        
        PID:1316
        
        C:\Users\Admin\AppData\Local\Temp\2DC2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2DC2.tmp"
        74⤵
        
        PID:2036
        
        C:\Users\Admin\AppData\Local\Temp\2E10.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E10.tmp"
        75⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\2E5E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E5E.tmp"
        76⤵
        
        PID:3620
        
        C:\Users\Admin\AppData\Local\Temp\2EAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2EAC.tmp"
        77⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\2EFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2EFA.tmp"
        78⤵
        
        PID:2044
        
        C:\Users\Admin\AppData\Local\Temp\2F48.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F48.tmp"
        79⤵
        
        PID:3088
        
        C:\Users\Admin\AppData\Local\Temp\2F97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F97.tmp"
        80⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\2FE5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2FE5.tmp"
        81⤵
        
        PID:3084
        
        C:\Users\Admin\AppData\Local\Temp\3033.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3033.tmp"
        82⤵
        
        PID:3860
        
        C:\Users\Admin\AppData\Local\Temp\3081.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3081.tmp"
        83⤵
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\30CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30CF.tmp"
        84⤵
        
        PID:3828
        
        C:\Users\Admin\AppData\Local\Temp\311D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\311D.tmp"
        85⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\316B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\316B.tmp"
        86⤵
        
        PID:624
        
        C:\Users\Admin\AppData\Local\Temp\31B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\31B9.tmp"
        87⤵
        
        PID:1804
        
        C:\Users\Admin\AppData\Local\Temp\3208.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3208.tmp"
        88⤵
        
        PID:4664
        
        C:\Users\Admin\AppData\Local\Temp\3256.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3256.tmp"
        89⤵
        
        PID:724
        
        C:\Users\Admin\AppData\Local\Temp\32B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\32B3.tmp"
        90⤵
        
        PID:5060
        
        C:\Users\Admin\AppData\Local\Temp\3302.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3302.tmp"
        91⤵
        
        PID:1308
        
        C:\Users\Admin\AppData\Local\Temp\3350.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3350.tmp"
        92⤵
        
        PID:2056
        
        C:\Users\Admin\AppData\Local\Temp\339E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\339E.tmp"
        93⤵
        
        PID:1124
        
        C:\Users\Admin\AppData\Local\Temp\33EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\33EC.tmp"
        94⤵
        
        PID:640
        
        C:\Users\Admin\AppData\Local\Temp\343A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\343A.tmp"
        95⤵
        
        PID:1452
        
        C:\Users\Admin\AppData\Local\Temp\3488.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3488.tmp"
        96⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\34D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\34D6.tmp"
        97⤵
        
        PID:2476
        
        C:\Users\Admin\AppData\Local\Temp\3524.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3524.tmp"
        98⤵
        
        PID:928
        
        C:\Users\Admin\AppData\Local\Temp\3573.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3573.tmp"
        99⤵
        
        PID:4980
        
        C:\Users\Admin\AppData\Local\Temp\35C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\35C1.tmp"
        100⤵
        
        PID:2140
        
        C:\Users\Admin\AppData\Local\Temp\360F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\360F.tmp"
        101⤵
        
        PID:2676
        
        C:\Users\Admin\AppData\Local\Temp\369B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\369B.tmp"
        102⤵
        
        PID:3796
        
        C:\Users\Admin\AppData\Local\Temp\36EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36EA.tmp"
        103⤵
        
        PID:1900
        
        C:\Users\Admin\AppData\Local\Temp\3757.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3757.tmp"
        104⤵
        
        PID:2920
        
        C:\Users\Admin\AppData\Local\Temp\37A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37A5.tmp"
        105⤵
        
        PID:4160
        
        C:\Users\Admin\AppData\Local\Temp\37F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37F3.tmp"
        106⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\3851.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3851.tmp"
        107⤵
        
        PID:2844
        
        C:\Users\Admin\AppData\Local\Temp\389F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\389F.tmp"
        108⤵
        
        PID:1744
        
        C:\Users\Admin\AppData\Local\Temp\38ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\38ED.tmp"
        109⤵
        
        PID:936
        
        C:\Users\Admin\AppData\Local\Temp\393B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\393B.tmp"
        110⤵
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\3999.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3999.tmp"
        111⤵
        
        PID:1424
        
        C:\Users\Admin\AppData\Local\Temp\39E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\39E7.tmp"
        112⤵
        
        PID:2620
        
        C:\Users\Admin\AppData\Local\Temp\3A45.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A45.tmp"
        113⤵
        
        PID:3608
        
        C:\Users\Admin\AppData\Local\Temp\3A93.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A93.tmp"
        114⤵
        
        PID:2008
        
        C:\Users\Admin\AppData\Local\Temp\3AE1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3AE1.tmp"
        115⤵
        
        PID:3044
        
        C:\Users\Admin\AppData\Local\Temp\3B4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B4F.tmp"
        116⤵
        
        PID:1600
        
        C:\Users\Admin\AppData\Local\Temp\3BCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3BCC.tmp"
        117⤵
        
        PID:4004
        
        C:\Users\Admin\AppData\Local\Temp\3C1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C1A.tmp"
        118⤵
        
        PID:2440
        
        C:\Users\Admin\AppData\Local\Temp\3C87.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C87.tmp"
        119⤵
        
        PID:1060
        
        C:\Users\Admin\AppData\Local\Temp\3CD5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CD5.tmp"
        120⤵
        
        PID:4616
        
        C:\Users\Admin\AppData\Local\Temp\3D23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D23.tmp"
        121⤵
        
        PID:620
        
        C:\Users\Admin\AppData\Local\Temp\3D71.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D71.tmp"
        122⤵
        
        PID:5012
        
        C:\Users\Admin\AppData\Local\Temp\3DC0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3DC0.tmp"
        123⤵
        
        PID:1980
        
        C:\Users\Admin\AppData\Local\Temp\3E3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E3D.tmp"
        124⤵
        
        PID:4376
        
        C:\Users\Admin\AppData\Local\Temp\3E9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E9A.tmp"
        125⤵
        
        PID:2424
        
        C:\Users\Admin\AppData\Local\Temp\3EE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3EE8.tmp"
        126⤵
        
        PID:400
        
        C:\Users\Admin\AppData\Local\Temp\3F37.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F37.tmp"
        127⤵
        
        PID:5024
        
        C:\Users\Admin\AppData\Local\Temp\3FA4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3FA4.tmp"
        128⤵
        
        PID:3940
        
        C:\Users\Admin\AppData\Local\Temp\4002.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4002.tmp"
        129⤵
        
        PID:2712
        
        C:\Users\Admin\AppData\Local\Temp\405F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\405F.tmp"
        130⤵
        
        PID:384
        
        C:\Users\Admin\AppData\Local\Temp\40AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\40AE.tmp"
        131⤵
        
        PID:2108
        
        C:\Users\Admin\AppData\Local\Temp\40FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\40FC.tmp"
        132⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\414A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\414A.tmp"
        133⤵
        
        PID:1792
        
        C:\Users\Admin\AppData\Local\Temp\4198.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4198.tmp"
        134⤵
        
        PID:3992
        
        C:\Users\Admin\AppData\Local\Temp\41F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\41F6.tmp"
        135⤵
        
        PID:216
        
        C:\Users\Admin\AppData\Local\Temp\4263.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4263.tmp"
        136⤵
        
        PID:2016
        
        C:\Users\Admin\AppData\Local\Temp\42B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42B1.tmp"
        137⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\42FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42FF.tmp"
        138⤵
        
        PID:1708
        
        C:\Users\Admin\AppData\Local\Temp\434D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\434D.tmp"
        139⤵
        
        PID:1316
        
        C:\Users\Admin\AppData\Local\Temp\439C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\439C.tmp"
        140⤵
        
        PID:4384
        
        C:\Users\Admin\AppData\Local\Temp\43EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\43EA.tmp"
        141⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\4438.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4438.tmp"
        142⤵
        
        PID:3620
        
        C:\Users\Admin\AppData\Local\Temp\4486.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4486.tmp"
        143⤵
        
        PID:680
        
        C:\Users\Admin\AppData\Local\Temp\44D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\44D4.tmp"
        144⤵
        
        PID:2096
        
        C:\Users\Admin\AppData\Local\Temp\4522.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4522.tmp"
        145⤵
        
        PID:4252
        
        C:\Users\Admin\AppData\Local\Temp\4590.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4590.tmp"
        146⤵
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\45DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\45DE.tmp"
        147⤵
        
        PID:3236
        
        C:\Users\Admin\AppData\Local\Temp\462C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\462C.tmp"
        148⤵
        
        PID:4724
        
        C:\Users\Admin\AppData\Local\Temp\467A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\467A.tmp"
        149⤵
        
        PID:4704
        
        C:\Users\Admin\AppData\Local\Temp\46C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46C8.tmp"
        150⤵
        
        PID:3828
        
        C:\Users\Admin\AppData\Local\Temp\4716.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4716.tmp"
        151⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\4764.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4764.tmp"
        152⤵
        
        PID:4392
        
        C:\Users\Admin\AppData\Local\Temp\47B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47B2.tmp"
        153⤵
        
        PID:1804
        
        C:\Users\Admin\AppData\Local\Temp\4801.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4801.tmp"
        154⤵
        
        PID:4664
        
        C:\Users\Admin\AppData\Local\Temp\484F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\484F.tmp"
        155⤵
        
        PID:1632
        
        C:\Users\Admin\AppData\Local\Temp\489D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\489D.tmp"
        156⤵
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\48EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\48EB.tmp"
        157⤵
        
        PID:1788
        
        C:\Users\Admin\AppData\Local\Temp\4939.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4939.tmp"
        158⤵
        
        PID:3748
        
        C:\Users\Admin\AppData\Local\Temp\4987.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4987.tmp"
        159⤵
        
        PID:1432
        
        C:\Users\Admin\AppData\Local\Temp\49D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49D5.tmp"
        160⤵
        
        PID:4964
        
        C:\Users\Admin\AppData\Local\Temp\4A23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A23.tmp"
        161⤵
        
        PID:432
        
        C:\Users\Admin\AppData\Local\Temp\4A72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A72.tmp"
        162⤵
        
        PID:4444
        
        C:\Users\Admin\AppData\Local\Temp\4AC0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4AC0.tmp"
        163⤵
        
        PID:552
        
        C:\Users\Admin\AppData\Local\Temp\4B0E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B0E.tmp"
        164⤵
        
        PID:4952
        
        C:\Users\Admin\AppData\Local\Temp\4B5C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B5C.tmp"
        165⤵
        
        PID:3496
        
        C:\Users\Admin\AppData\Local\Temp\4BAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BAA.tmp"
        166⤵
        
        PID:2032
        
        C:\Users\Admin\AppData\Local\Temp\4BF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BF8.tmp"
        167⤵
        
        PID:1196
        
        C:\Users\Admin\AppData\Local\Temp\4C46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C46.tmp"
        168⤵
        
        PID:3616
        
        C:\Users\Admin\AppData\Local\Temp\4C94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C94.tmp"
        169⤵
        
        PID:2304
        
        C:\Users\Admin\AppData\Local\Temp\4CE3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4CE3.tmp"
        170⤵
        
        PID:968
        
        C:\Users\Admin\AppData\Local\Temp\4D31.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D31.tmp"
        171⤵
        
        PID:1312
        
        C:\Users\Admin\AppData\Local\Temp\4D7F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D7F.tmp"
        172⤵
        
        PID:3188
        
        C:\Users\Admin\AppData\Local\Temp\4DCD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4DCD.tmp"
        173⤵
        
        PID:64
        
        C:\Users\Admin\AppData\Local\Temp\4E1B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E1B.tmp"
        174⤵
        
        PID:4176
        
        C:\Users\Admin\AppData\Local\Temp\4E69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E69.tmp"
        175⤵
        
        PID:4956
        
        C:\Users\Admin\AppData\Local\Temp\4EA8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4EA8.tmp"
        176⤵
        
        PID:4676
        
        C:\Users\Admin\AppData\Local\Temp\4EE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4EE6.tmp"
        177⤵
        
        PID:3572
        
        C:\Users\Admin\AppData\Local\Temp\4F34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F34.tmp"
        178⤵
        
        PID:2208
        
        C:\Users\Admin\AppData\Local\Temp\4F82.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F82.tmp"
        179⤵
        
        PID:1828
        
        C:\Users\Admin\AppData\Local\Temp\4FD1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FD1.tmp"
        180⤵
        
        PID:1456
        
        C:\Users\Admin\AppData\Local\Temp\501F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\501F.tmp"
        181⤵
        
        PID:3652
        
        C:\Users\Admin\AppData\Local\Temp\506D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\506D.tmp"
        182⤵
        
        PID:4748
        
        C:\Users\Admin\AppData\Local\Temp\50BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50BB.tmp"
        183⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\5109.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5109.tmp"
        184⤵
        
        PID:4788
        
        C:\Users\Admin\AppData\Local\Temp\5157.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5157.tmp"
        185⤵
        
        PID:5020
        
        C:\Users\Admin\AppData\Local\Temp\51A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\51A5.tmp"
        186⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\51F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\51F3.tmp"
        187⤵
        
        PID:1128
        
        C:\Users\Admin\AppData\Local\Temp\5242.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5242.tmp"
        188⤵
        
        PID:3216
        
        C:\Users\Admin\AppData\Local\Temp\5290.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5290.tmp"
        189⤵
        
        PID:2128
        
        C:\Users\Admin\AppData\Local\Temp\52DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52DE.tmp"
        190⤵
        
        PID:960
        
        C:\Users\Admin\AppData\Local\Temp\532C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\532C.tmp"
        191⤵
        
        PID:1320
        
        C:\Users\Admin\AppData\Local\Temp\537A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\537A.tmp"
        192⤵
        
        PID:3588
        
        C:\Users\Admin\AppData\Local\Temp\53C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53C8.tmp"
        193⤵
        
        PID:3300
        
        C:\Users\Admin\AppData\Local\Temp\5416.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5416.tmp"
        194⤵
        
        PID:2064
        
        C:\Users\Admin\AppData\Local\Temp\5464.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5464.tmp"
        195⤵
        
        PID:824
        
        C:\Users\Admin\AppData\Local\Temp\54B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54B3.tmp"
        196⤵
        
        PID:512
        
        C:\Users\Admin\AppData\Local\Temp\5501.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5501.tmp"
        197⤵
        
        PID:4476
        
        C:\Users\Admin\AppData\Local\Temp\554F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\554F.tmp"
        198⤵
        
        PID:3988
        
        C:\Users\Admin\AppData\Local\Temp\559D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\559D.tmp"
        199⤵
        
        PID:4668
        
        C:\Users\Admin\AppData\Local\Temp\55EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55EB.tmp"
        200⤵
        
        PID:3400
        
        C:\Users\Admin\AppData\Local\Temp\5639.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5639.tmp"
        201⤵
        
        PID:2016
        
        C:\Users\Admin\AppData\Local\Temp\5687.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5687.tmp"
        202⤵
        
        PID:396
        
        C:\Users\Admin\AppData\Local\Temp\56D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56D5.tmp"
        203⤵
        
        PID:1096
        
        C:\Users\Admin\AppData\Local\Temp\5724.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5724.tmp"
        204⤵
        
        PID:3228
        
        C:\Users\Admin\AppData\Local\Temp\5772.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5772.tmp"
        205⤵
        
        PID:4384
        
        C:\Users\Admin\AppData\Local\Temp\57C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57C0.tmp"
        206⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\580E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\580E.tmp"
        207⤵
        
        PID:4068
        
        C:\Users\Admin\AppData\Local\Temp\587B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\587B.tmp"
        208⤵
        
        PID:4820
        
        C:\Users\Admin\AppData\Local\Temp\58D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\58D9.tmp"
        209⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\5946.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5946.tmp"
        210⤵
        
        PID:1280
        
        C:\Users\Admin\AppData\Local\Temp\59A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59A4.tmp"
        211⤵
        
        PID:4688
        
        C:\Users\Admin\AppData\Local\Temp\59F2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59F2.tmp"
        212⤵
        
        PID:4304
        
        C:\Users\Admin\AppData\Local\Temp\5A40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A40.tmp"
        213⤵
        
        PID:2904
        
        C:\Users\Admin\AppData\Local\Temp\5A8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A8F.tmp"
        214⤵
        
        PID:4556
        
        C:\Users\Admin\AppData\Local\Temp\5AEC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5AEC.tmp"
        215⤵
        
        PID:4896
        
        C:\Users\Admin\AppData\Local\Temp\5B69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B69.tmp"
        216⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\5BC7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5BC7.tmp"
        217⤵
        
        PID:3876
        
        C:\Users\Admin\AppData\Local\Temp\5C44.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C44.tmp"
        218⤵
        
        PID:1804
        
        C:\Users\Admin\AppData\Local\Temp\5C92.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C92.tmp"
        219⤵
        
        PID:3100
        
        C:\Users\Admin\AppData\Local\Temp\5CF0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5CF0.tmp"
        220⤵
        
        PID:2456
        
        C:\Users\Admin\AppData\Local\Temp\5D5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D5D.tmp"
        221⤵
        
        PID:4352
        
        C:\Users\Admin\AppData\Local\Temp\5DAB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DAB.tmp"
        222⤵
        
        PID:3104
        
        C:\Users\Admin\AppData\Local\Temp\5DFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DFA.tmp"
        223⤵
        
        PID:388
        
        C:\Users\Admin\AppData\Local\Temp\5E67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E67.tmp"
        224⤵
        
        PID:372
        
        C:\Users\Admin\AppData\Local\Temp\5EC5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5EC5.tmp"
        225⤵
        
        PID:1452
        
        C:\Users\Admin\AppData\Local\Temp\5F13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F13.tmp"
        226⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\5F61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F61.tmp"
        227⤵
        
        PID:4136
        
        C:\Users\Admin\AppData\Local\Temp\5FBF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FBF.tmp"
        228⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\601C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\601C.tmp"
        229⤵
        
        PID:4980
        
        C:\Users\Admin\AppData\Local\Temp\607A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\607A.tmp"
        230⤵
        
        PID:4340
        
        C:\Users\Admin\AppData\Local\Temp\60C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\60C8.tmp"
        231⤵
        
        PID:2384
        
        C:\Users\Admin\AppData\Local\Temp\6116.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6116.tmp"
        232⤵
        
        PID:3916
        
        C:\Users\Admin\AppData\Local\Temp\6193.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6193.tmp"
        233⤵
        
        PID:1900
        
        C:\Users\Admin\AppData\Local\Temp\6220.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6220.tmp"
        234⤵
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\629D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\629D.tmp"
        235⤵
        
        PID:4884
        
        C:\Users\Admin\AppData\Local\Temp\62EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\62EB.tmp"
        236⤵
        
        PID:2100
        
        C:\Users\Admin\AppData\Local\Temp\6339.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6339.tmp"
        237⤵
        
        PID:1296
        
        C:\Users\Admin\AppData\Local\Temp\6387.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6387.tmp"
        238⤵
        
        PID:4660
        
        C:\Users\Admin\AppData\Local\Temp\63E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\63E5.tmp"
        239⤵
        
        PID:936
        
        C:\Users\Admin\AppData\Local\Temp\6443.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6443.tmp"
        240⤵
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\6491.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6491.tmp"
        241⤵
        
        PID:2144
        
        C:\Users\Admin\AppData\Local\Temp\64DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\64DF.tmp"
        242⤵
        
        PID:3324
        
        C:\Users\Admin\AppData\Local\Temp\652D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\652D.tmp"
        243⤵
        
        PID:2008
        
        C:\Users\Admin\AppData\Local\Temp\657B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\657B.tmp"
        244⤵
        
        PID:3044
        
        C:\Users\Admin\AppData\Local\Temp\65D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\65D9.tmp"
        245⤵
        
        PID:1304
        
        C:\Users\Admin\AppData\Local\Temp\6647.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6647.tmp"
        246⤵
        
        PID:364
        
        C:\Users\Admin\AppData\Local\Temp\66B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\66B4.tmp"
        247⤵
        
        PID:2440
        
        C:\Users\Admin\AppData\Local\Temp\6750.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6750.tmp"
        248⤵
        
        PID:1060
        
        C:\Users\Admin\AppData\Local\Temp\679E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\679E.tmp"
        249⤵
        
        PID:4616
        
        C:\Users\Admin\AppData\Local\Temp\67EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\67EC.tmp"
        250⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\683B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\683B.tmp"
        251⤵
        
        PID:1752
        
        C:\Users\Admin\AppData\Local\Temp\6889.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6889.tmp"
        252⤵
        
        PID:1644
        
        C:\Users\Admin\AppData\Local\Temp\68D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68D7.tmp"
        253⤵
        
        PID:2952
        
        C:\Users\Admin\AppData\Local\Temp\6925.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6925.tmp"
        254⤵
        
        PID:4760
        
        C:\Users\Admin\AppData\Local\Temp\6973.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6973.tmp"
        255⤵
        
        PID:5024
        
        C:\Users\Admin\AppData\Local\Temp\69C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\69C1.tmp"
        256⤵
        
        PID:1924
        
        C:\Users\Admin\AppData\Local\Temp\6A0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A0F.tmp"
        257⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\6A5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A5D.tmp"
        258⤵
        
        PID:2800
        
        C:\Users\Admin\AppData\Local\Temp\6AAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6AAC.tmp"
        259⤵
        
        PID:4548
        
        C:\Users\Admin\AppData\Local\Temp\6AFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6AFA.tmp"
        260⤵
        
        PID:3936
        
        C:\Users\Admin\AppData\Local\Temp\6B48.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B48.tmp"
        261⤵
        
        PID:512
        
        C:\Users\Admin\AppData\Local\Temp\6B96.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B96.tmp"
        262⤵
        
        PID:4476
        
        C:\Users\Admin\AppData\Local\Temp\6BE4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BE4.tmp"
        263⤵
        
        PID:3740
        
        C:\Users\Admin\AppData\Local\Temp\6C32.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C32.tmp"
        264⤵
        
        PID:4668
        
        C:\Users\Admin\AppData\Local\Temp\6C80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C80.tmp"
        265⤵
        
        PID:5008
        
        C:\Users\Admin\AppData\Local\Temp\6CCE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CCE.tmp"
        266⤵
        
        PID:4860
        
        C:\Users\Admin\AppData\Local\Temp\6D1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D1D.tmp"
        267⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\6D6B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D6B.tmp"
        268⤵
        
        PID:2452
        
        C:\Users\Admin\AppData\Local\Temp\6DB9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DB9.tmp"
        269⤵
        
        PID:1316
        
        C:\Users\Admin\AppData\Local\Temp\6E07.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E07.tmp"
        270⤵
        
        PID:4996
        
        C:\Users\Admin\AppData\Local\Temp\6E55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E55.tmp"
        271⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\6E94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E94.tmp"
        272⤵
        
        PID:3476
        
        C:\Users\Admin\AppData\Local\Temp\6EE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6EE2.tmp"
        273⤵
        
        PID:4752
        
        C:\Users\Admin\AppData\Local\Temp\6F30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F30.tmp"
        274⤵
        
        PID:1740
        
        C:\Users\Admin\AppData\Local\Temp\6F7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F7E.tmp"
        275⤵
        
        PID:4252
        
        C:\Users\Admin\AppData\Local\Temp\6FCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6FCC.tmp"
        276⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\701A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\701A.tmp"
        277⤵
        
        PID:4052
        
        C:\Users\Admin\AppData\Local\Temp\7068.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7068.tmp"
        278⤵
        
        PID:4600
        
        C:\Users\Admin\AppData\Local\Temp\70B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\70B6.tmp"
        279⤵
        
        PID:3336
        
        C:\Users\Admin\AppData\Local\Temp\7105.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7105.tmp"
        280⤵
        
        PID:2392
        
        C:\Users\Admin\AppData\Local\Temp\7153.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7153.tmp"
        281⤵
        
        PID:2688
        
        C:\Users\Admin\AppData\Local\Temp\71A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71A1.tmp"
        282⤵
        
        PID:4896
        
        C:\Users\Admin\AppData\Local\Temp\71EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71EF.tmp"
        283⤵
        
        PID:1048
        
        C:\Users\Admin\AppData\Local\Temp\723D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\723D.tmp"
        284⤵
        
        PID:4416
        
        C:\Users\Admin\AppData\Local\Temp\728B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\728B.tmp"
        285⤵
        
        PID:4728
        
        C:\Users\Admin\AppData\Local\Temp\72D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72D9.tmp"
        286⤵
        
        PID:2372
        
        C:\Users\Admin\AppData\Local\Temp\7327.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7327.tmp"
        287⤵
        
        PID:1788
        
        C:\Users\Admin\AppData\Local\Temp\7376.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7376.tmp"
        288⤵
        
        PID:1676

C:\Users\Admin\AppData\Local\Temp\57C5.tmp
"C:\Users\Admin\AppData\Local\Temp\57C5.tmp"
1⤵
PID:1804
- C:\Users\Admin\AppData\Local\Temp\5813.tmp
  "C:\Users\Admin\AppData\Local\Temp\5813.tmp"
  2⤵
  PID:4804
- - C:\Users\Admin\AppData\Local\Temp\5861.tmp
    "C:\Users\Admin\AppData\Local\Temp\5861.tmp"
    3⤵
    PID:4928
  - - C:\Users\Admin\AppData\Local\Temp\58BF.tmp
      "C:\Users\Admin\AppData\Local\Temp\58BF.tmp"
      4⤵
      PID:1980
    - - C:\Users\Admin\AppData\Local\Temp\5A93.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A93.tmp"
        5⤵
        
        PID:4188
- C:\Users\Admin\AppData\Local\Temp\6BAA.tmp
  "C:\Users\Admin\AppData\Local\Temp\6BAA.tmp"
  2⤵
  PID:4016
- - C:\Users\Admin\AppData\Local\Temp\6BF8.tmp
    "C:\Users\Admin\AppData\Local\Temp\6BF8.tmp"
    3⤵
    PID:3228

C:\Users\Admin\AppData\Local\Temp\5479.tmp
"C:\Users\Admin\AppData\Local\Temp\5479.tmp"
1⤵
PID:3444

C:\Users\Admin\AppData\Local\Temp\542B.tmp
"C:\Users\Admin\AppData\Local\Temp\542B.tmp"
1⤵
PID:4144

C:\Users\Admin\AppData\Local\Temp\53DD.tmp
"C:\Users\Admin\AppData\Local\Temp\53DD.tmp"
1⤵
- Executes dropped EXE
PID:2720

C:\Users\Admin\AppData\Local\Temp\537F.tmp
"C:\Users\Admin\AppData\Local\Temp\537F.tmp"
1⤵
PID:2080

C:\Users\Admin\AppData\Local\Temp\5AE1.tmp
"C:\Users\Admin\AppData\Local\Temp\5AE1.tmp"
1⤵
PID:2044
- C:\Users\Admin\AppData\Local\Temp\5B30.tmp
  "C:\Users\Admin\AppData\Local\Temp\5B30.tmp"
  2⤵
  PID:4372
- - C:\Users\Admin\AppData\Local\Temp\5B7E.tmp
    "C:\Users\Admin\AppData\Local\Temp\5B7E.tmp"
    3⤵
    PID:1212
  - - C:\Users\Admin\AppData\Local\Temp\5BCC.tmp
      "C:\Users\Admin\AppData\Local\Temp\5BCC.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:744
    - - C:\Users\Admin\AppData\Local\Temp\5C1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C1A.tmp"
        5⤵
        Executes dropped EXE
        
        PID:3832

C:\Users\Admin\AppData\Local\Temp\5C68.tmp
"C:\Users\Admin\AppData\Local\Temp\5C68.tmp"
1⤵
PID:3500
- C:\Users\Admin\AppData\Local\Temp\5CC6.tmp
  "C:\Users\Admin\AppData\Local\Temp\5CC6.tmp"
  2⤵
  - Executes dropped EXE
  PID:4648
- - C:\Users\Admin\AppData\Local\Temp\5D14.tmp
    "C:\Users\Admin\AppData\Local\Temp\5D14.tmp"
    3⤵
    PID:4332
  - - C:\Users\Admin\AppData\Local\Temp\5D62.tmp
      "C:\Users\Admin\AppData\Local\Temp\5D62.tmp"
      4⤵
      Executes dropped EXE
      PID:3236
    - - C:\Users\Admin\AppData\Local\Temp\5DB0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DB0.tmp"
        5⤵
        
        PID:3380
      - C:\Users\Admin\AppData\Local\Temp\5E0E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E0E.tmp"
        6⤵
        
        PID:3432

C:\Users\Admin\AppData\Local\Temp\5E5C.tmp
"C:\Users\Admin\AppData\Local\Temp\5E5C.tmp"
1⤵
PID:844
- C:\Users\Admin\AppData\Local\Temp\5EAA.tmp
  "C:\Users\Admin\AppData\Local\Temp\5EAA.tmp"
  2⤵
  PID:4788
- - C:\Users\Admin\AppData\Local\Temp\5EF8.tmp
    "C:\Users\Admin\AppData\Local\Temp\5EF8.tmp"
    3⤵
    PID:636
  - - C:\Users\Admin\AppData\Local\Temp\5F46.tmp
      "C:\Users\Admin\AppData\Local\Temp\5F46.tmp"
      4⤵
      PID:4656
    - - C:\Users\Admin\AppData\Local\Temp\5F95.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F95.tmp"
        5⤵
        
        PID:2068
- C:\Users\Admin\AppData\Local\Temp\9EEF.tmp
  "C:\Users\Admin\AppData\Local\Temp\9EEF.tmp"
  2⤵
  - Executes dropped EXE
  PID:4788
- - C:\Users\Admin\AppData\Local\Temp\9F3D.tmp
    "C:\Users\Admin\AppData\Local\Temp\9F3D.tmp"
    3⤵
    PID:724
  - - C:\Users\Admin\AppData\Local\Temp\9F8C.tmp
      "C:\Users\Admin\AppData\Local\Temp\9F8C.tmp"
      4⤵
      PID:636
    - - C:\Users\Admin\AppData\Local\Temp\9FDA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FDA.tmp"
        5⤵
        
        PID:2676
      - C:\Users\Admin\AppData\Local\Temp\A028.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A028.tmp"
        6⤵
        
        PID:3048
        
        C:\Users\Admin\AppData\Local\Temp\A076.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A076.tmp"
        7⤵
        
        PID:3100
        
        C:\Users\Admin\AppData\Local\Temp\A0C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A0C4.tmp"
        8⤵
        
        PID:4444
        
        C:\Users\Admin\AppData\Local\Temp\A112.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A112.tmp"
        9⤵
        
        PID:3748
        
        C:\Users\Admin\AppData\Local\Temp\A160.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A160.tmp"
        10⤵
        
        PID:4372
        
        C:\Users\Admin\AppData\Local\Temp\A1AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A1AE.tmp"
        11⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\A1FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A1FD.tmp"
        12⤵
        
        PID:3468
        
        C:\Users\Admin\AppData\Local\Temp\A24B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A24B.tmp"
        13⤵
        
        PID:4708
        
        C:\Users\Admin\AppData\Local\Temp\A299.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A299.tmp"
        14⤵
        
        PID:2920
        
        C:\Users\Admin\AppData\Local\Temp\A2E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A2E7.tmp"
        15⤵
        
        PID:408
        
        C:\Users\Admin\AppData\Local\Temp\A335.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A335.tmp"
        16⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3872
        
        C:\Users\Admin\AppData\Local\Temp\A383.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A383.tmp"
        17⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\A3D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A3D1.tmp"
        18⤵
        
        PID:3456
        
        C:\Users\Admin\AppData\Local\Temp\A41F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A41F.tmp"
        19⤵
        
        PID:2964
        
        C:\Users\Admin\AppData\Local\Temp\A46E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A46E.tmp"
        20⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\A4BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A4BC.tmp"
        21⤵
        
        PID:4884
        
        C:\Users\Admin\AppData\Local\Temp\C2D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C2D3.tmp"
        9⤵
        
        PID:3108
        
        C:\Users\Admin\AppData\Local\Temp\C321.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C321.tmp"
        10⤵
        
        PID:388
        
        C:\Users\Admin\AppData\Local\Temp\C37F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C37F.tmp"
        11⤵
        
        PID:2704
        
        C:\Users\Admin\AppData\Local\Temp\C3CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C3CD.tmp"
        12⤵
        
        PID:1420
        
        C:\Users\Admin\AppData\Local\Temp\C41B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C41B.tmp"
        13⤵
        
        PID:4952
        
        C:\Users\Admin\AppData\Local\Temp\C469.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C469.tmp"
        14⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3496
        
        C:\Users\Admin\AppData\Local\Temp\C4B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4B7.tmp"
        15⤵
        
        PID:4488
        
        C:\Users\Admin\AppData\Local\Temp\C505.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C505.tmp"
        16⤵
        
        PID:2304
        
        C:\Users\Admin\AppData\Local\Temp\C553.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C553.tmp"
        17⤵
        
        PID:1828
        
        C:\Users\Admin\AppData\Local\Temp\C5A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C5A2.tmp"
        18⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\C5F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C5F0.tmp"
        19⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2796
        
        C:\Users\Admin\AppData\Local\Temp\C63E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C63E.tmp"
        20⤵
        
        PID:64
        
        C:\Users\Admin\AppData\Local\Temp\C68C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C68C.tmp"
        21⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1296
        
        C:\Users\Admin\AppData\Local\Temp\C6DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6DA.tmp"
        22⤵
        
        PID:1744
        
        C:\Users\Admin\AppData\Local\Temp\C728.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C728.tmp"
        23⤵
        
        PID:1424
        
        C:\Users\Admin\AppData\Local\Temp\C776.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C776.tmp"
        24⤵
        
        PID:1924
        
        C:\Users\Admin\AppData\Local\Temp\C7C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C7C4.tmp"
        25⤵
        
        PID:4676
        
        C:\Users\Admin\AppData\Local\Temp\C813.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C813.tmp"
        26⤵
        
        PID:2956
        
        C:\Users\Admin\AppData\Local\Temp\C861.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C861.tmp"
        27⤵
        
        PID:868
        
        C:\Users\Admin\AppData\Local\Temp\C8AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8AF.tmp"
        28⤵
        
        PID:4004
        
        C:\Users\Admin\AppData\Local\Temp\C8FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8FD.tmp"
        29⤵
        
        PID:916
        
        C:\Users\Admin\AppData\Local\Temp\C94B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C94B.tmp"
        30⤵
        
        PID:2624
        
        C:\Users\Admin\AppData\Local\Temp\C999.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C999.tmp"
        31⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\C9E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9E7.tmp"
        32⤵
        
        PID:1808
        
        C:\Users\Admin\AppData\Local\Temp\CA45.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA45.tmp"
        33⤵
        
        PID:4960
        
        C:\Users\Admin\AppData\Local\Temp\CA93.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA93.tmp"
        34⤵
        
        PID:4644
        
        C:\Users\Admin\AppData\Local\Temp\CAE1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAE1.tmp"
        35⤵
        
        PID:1460
        
        C:\Users\Admin\AppData\Local\Temp\CB2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB2F.tmp"
        36⤵
        
        PID:3300
        
        C:\Users\Admin\AppData\Local\Temp\CB7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB7E.tmp"
        37⤵
        
        PID:1320
        
        C:\Users\Admin\AppData\Local\Temp\CBCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBCC.tmp"
        38⤵
        
        PID:2684
        
        C:\Users\Admin\AppData\Local\Temp\CC1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC1A.tmp"
        39⤵
        
        PID:1500
        
        C:\Users\Admin\AppData\Local\Temp\CC68.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC68.tmp"
        40⤵
        
        PID:216
        
        C:\Users\Admin\AppData\Local\Temp\CCB6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCB6.tmp"
        41⤵
        
        PID:3992
        
        C:\Users\Admin\AppData\Local\Temp\CD04.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD04.tmp"
        42⤵
        
        PID:1524
        
        C:\Users\Admin\AppData\Local\Temp\CD52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD52.tmp"
        43⤵
        
        PID:2452
        
        C:\Users\Admin\AppData\Local\Temp\CDA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDA0.tmp"
        44⤵
        
        PID:4740
        
        C:\Users\Admin\AppData\Local\Temp\CDEF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDEF.tmp"
        45⤵
        
        PID:4996
        
        C:\Users\Admin\AppData\Local\Temp\CE3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE3D.tmp"
        46⤵
        
        PID:1904
        
        C:\Users\Admin\AppData\Local\Temp\CE8B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE8B.tmp"
        47⤵
        
        PID:4068
        
        C:\Users\Admin\AppData\Local\Temp\CED9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CED9.tmp"
        48⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\CF27.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF27.tmp"
        49⤵
        Executes dropped EXE
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\CF75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF75.tmp"
        50⤵
        
        PID:4820
        
        C:\Users\Admin\AppData\Local\Temp\CFC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFC3.tmp"
        51⤵
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\D011.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D011.tmp"
        52⤵
        
        PID:3860
        
        C:\Users\Admin\AppData\Local\Temp\D060.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D060.tmp"
        53⤵
        
        PID:4448
        
        C:\Users\Admin\AppData\Local\Temp\D0AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D0AE.tmp"
        54⤵
        
        PID:2508
        
        C:\Users\Admin\AppData\Local\Temp\D0FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D0FC.tmp"
        55⤵
        
        PID:2392
        
        C:\Users\Admin\AppData\Local\Temp\D14A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D14A.tmp"
        56⤵
        
        PID:3432
        
        C:\Users\Admin\AppData\Local\Temp\D198.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D198.tmp"
        57⤵
        
        PID:4896
        
        C:\Users\Admin\AppData\Local\Temp\D1D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1D7.tmp"
        58⤵
        
        PID:3024
        
        C:\Users\Admin\AppData\Local\Temp\D225.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D225.tmp"
        59⤵
        
        PID:944
        
        C:\Users\Admin\AppData\Local\Temp\D263.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D263.tmp"
        60⤵
        
        PID:1788

C:\Users\Admin\AppData\Local\Temp\5FE3.tmp
"C:\Users\Admin\AppData\Local\Temp\5FE3.tmp"
1⤵
PID:4444
- C:\Users\Admin\AppData\Local\Temp\6040.tmp
  "C:\Users\Admin\AppData\Local\Temp\6040.tmp"
  2⤵
  PID:1196
- - C:\Users\Admin\AppData\Local\Temp\608F.tmp
    "C:\Users\Admin\AppData\Local\Temp\608F.tmp"
    3⤵
    - Executes dropped EXE
    PID:4296
  - - C:\Users\Admin\AppData\Local\Temp\60DD.tmp
      "C:\Users\Admin\AppData\Local\Temp\60DD.tmp"
      4⤵
      Executes dropped EXE
      PID:432
    - - C:\Users\Admin\AppData\Local\Temp\612B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\612B.tmp"
        5⤵
        
        PID:4708
      - C:\Users\Admin\AppData\Local\Temp\6179.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6179.tmp"
        6⤵
        
        PID:1420
        
        C:\Users\Admin\AppData\Local\Temp\61C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\61C7.tmp"
        7⤵
        
        PID:1596
        
        C:\Users\Admin\AppData\Local\Temp\6215.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6215.tmp"
        8⤵
        
        PID:3608
        
        C:\Users\Admin\AppData\Local\Temp\6263.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6263.tmp"
        9⤵
        
        PID:3616

C:\Users\Admin\AppData\Local\Temp\62B1.tmp
"C:\Users\Admin\AppData\Local\Temp\62B1.tmp"
1⤵
PID:1396
- C:\Users\Admin\AppData\Local\Temp\6300.tmp
  "C:\Users\Admin\AppData\Local\Temp\6300.tmp"
  2⤵
  PID:4884
- - C:\Users\Admin\AppData\Local\Temp\634E.tmp
    "C:\Users\Admin\AppData\Local\Temp\634E.tmp"
    3⤵
    PID:1296
  - - C:\Users\Admin\AppData\Local\Temp\639C.tmp
      "C:\Users\Admin\AppData\Local\Temp\639C.tmp"
      4⤵
      PID:3900
    - - C:\Users\Admin\AppData\Local\Temp\63EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\63EA.tmp"
        5⤵
        
        PID:5100
      - C:\Users\Admin\AppData\Local\Temp\6438.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6438.tmp"
        6⤵
        
        PID:2008
        
        C:\Users\Admin\AppData\Local\Temp\64A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\64A5.tmp"
        7⤵
        
        PID:1000
        
        C:\Users\Admin\AppData\Local\Temp\64F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\64F4.tmp"
        8⤵
        
        PID:2684
        
        C:\Users\Admin\AppData\Local\Temp\6542.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6542.tmp"
        9⤵
        
        PID:868
        
        C:\Users\Admin\AppData\Local\Temp\6590.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6590.tmp"
        10⤵
        
        PID:3520
        
        C:\Users\Admin\AppData\Local\Temp\65DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\65DE.tmp"
        11⤵
        
        PID:4776
        
        C:\Users\Admin\AppData\Local\Temp\662C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\662C.tmp"
        12⤵
        
        PID:4412
        
        C:\Users\Admin\AppData\Local\Temp\52C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52C3.tmp"
        12⤵
        Executes dropped EXE
        
        PID:1680
        
        C:\Users\Admin\AppData\Local\Temp\95B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\95B8.tmp"
        10⤵
        
        PID:4004
        
        C:\Users\Admin\AppData\Local\Temp\9606.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9606.tmp"
        11⤵
        
        PID:916
        
        C:\Users\Admin\AppData\Local\Temp\9654.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9654.tmp"
        12⤵
        
        PID:2624
      - C:\Users\Admin\AppData\Local\Temp\50DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50DF.tmp"
        6⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3472
  - - C:\Users\Admin\AppData\Local\Temp\5033.tmp
      "C:\Users\Admin\AppData\Local\Temp\5033.tmp"
      4⤵
      PID:4076

C:\Users\Admin\AppData\Local\Temp\667A.tmp
"C:\Users\Admin\AppData\Local\Temp\667A.tmp"
1⤵
PID:4100
- C:\Users\Admin\AppData\Local\Temp\66C8.tmp
  "C:\Users\Admin\AppData\Local\Temp\66C8.tmp"
  2⤵
  PID:2080
- - C:\Users\Admin\AppData\Local\Temp\6716.tmp
    "C:\Users\Admin\AppData\Local\Temp\6716.tmp"
    3⤵
    PID:3028
- - C:\Users\Admin\AppData\Local\Temp\87AE.tmp
    "C:\Users\Admin\AppData\Local\Temp\87AE.tmp"
    3⤵
    PID:3028
  - - C:\Users\Admin\AppData\Local\Temp\880C.tmp
      "C:\Users\Admin\AppData\Local\Temp\880C.tmp"
      4⤵
      PID:5092
    - - C:\Users\Admin\AppData\Local\Temp\886A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\886A.tmp"
        5⤵
        
        PID:1916
      - C:\Users\Admin\AppData\Local\Temp\88B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88B8.tmp"
        6⤵
        
        PID:2952
        
        C:\Users\Admin\AppData\Local\Temp\8906.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8906.tmp"
        7⤵
        
        PID:4288
        
        C:\Users\Admin\AppData\Local\Temp\8954.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8954.tmp"
        8⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\89A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\89A2.tmp"
        9⤵
        
        PID:1500
        
        C:\Users\Admin\AppData\Local\Temp\89F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\89F0.tmp"
        10⤵
        
        PID:3920
        
        C:\Users\Admin\AppData\Local\Temp\8A2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A2F.tmp"
        11⤵
        
        PID:3684
        
        C:\Users\Admin\AppData\Local\Temp\8A7D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A7D.tmp"
        12⤵
        Executes dropped EXE
        
        PID:1316
        
        C:\Users\Admin\AppData\Local\Temp\8ACB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8ACB.tmp"
        13⤵
        
        PID:4124
        
        C:\Users\Admin\AppData\Local\Temp\8B19.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B19.tmp"
        14⤵
        
        PID:2376
        
        C:\Users\Admin\AppData\Local\Temp\8B67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B67.tmp"
        15⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\8BB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8BB5.tmp"
        16⤵
        
        PID:1096
        
        C:\Users\Admin\AppData\Local\Temp\8C04.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C04.tmp"
        17⤵
        
        PID:4996
        
        C:\Users\Admin\AppData\Local\Temp\8C52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C52.tmp"
        18⤵
        
        PID:1904
        
        C:\Users\Admin\AppData\Local\Temp\8CA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8CA0.tmp"
        19⤵
        
        PID:4468
        
        C:\Users\Admin\AppData\Local\Temp\8CEE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8CEE.tmp"
        20⤵
        
        PID:1980
        
        C:\Users\Admin\AppData\Local\Temp\8D3C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D3C.tmp"
        21⤵
        
        PID:4188
        
        C:\Users\Admin\AppData\Local\Temp\8D8A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D8A.tmp"
        22⤵
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\8DD8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8DD8.tmp"
        23⤵
        
        PID:4388
        
        C:\Users\Admin\AppData\Local\Temp\8E26.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E26.tmp"
        24⤵
        
        PID:4816
        
        C:\Users\Admin\AppData\Local\Temp\8E75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E75.tmp"
        25⤵
        
        PID:4052
        
        C:\Users\Admin\AppData\Local\Temp\8EC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8EC3.tmp"
        26⤵
        
        PID:3612
        
        C:\Users\Admin\AppData\Local\Temp\8F11.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F11.tmp"
        27⤵
        
        PID:624
        
        C:\Users\Admin\AppData\Local\Temp\8F4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F4F.tmp"
        28⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\8F9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F9D.tmp"
        29⤵
        
        PID:636
        
        C:\Users\Admin\AppData\Local\Temp\8FEC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8FEC.tmp"
        30⤵
        Executes dropped EXE
        
        PID:4656
        
        C:\Users\Admin\AppData\Local\Temp\903A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\903A.tmp"
        31⤵
        
        PID:872
        
        C:\Users\Admin\AppData\Local\Temp\9088.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9088.tmp"
        32⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:372
        
        C:\Users\Admin\AppData\Local\Temp\90D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\90D6.tmp"
        33⤵
        
        PID:804
        
        C:\Users\Admin\AppData\Local\Temp\9124.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9124.tmp"
        34⤵
        
        PID:1196
        
        C:\Users\Admin\AppData\Local\Temp\9172.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9172.tmp"
        35⤵
        
        PID:3496
        
        C:\Users\Admin\AppData\Local\Temp\91B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\91B1.tmp"
        36⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\91FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\91FF.tmp"
        37⤵
        
        PID:2652
        
        C:\Users\Admin\AppData\Local\Temp\924D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\924D.tmp"
        38⤵
        
        PID:1596
        
        C:\Users\Admin\AppData\Local\Temp\928B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\928B.tmp"
        39⤵
        
        PID:3616
        
        C:\Users\Admin\AppData\Local\Temp\92DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\92DA.tmp"
        40⤵
        
        PID:3592
        
        C:\Users\Admin\AppData\Local\Temp\9328.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9328.tmp"
        41⤵
        
        PID:3160
        
        C:\Users\Admin\AppData\Local\Temp\9376.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9376.tmp"
        42⤵
        
        PID:4884
        
        C:\Users\Admin\AppData\Local\Temp\93B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\93B4.tmp"
        43⤵
        
        PID:316
        
        C:\Users\Admin\AppData\Local\Temp\93F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\93F3.tmp"
        44⤵
        
        PID:4692
        
        C:\Users\Admin\AppData\Local\Temp\9441.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9441.tmp"
        45⤵
        
        PID:4764
        
        C:\Users\Admin\AppData\Local\Temp\948F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\948F.tmp"
        46⤵
        
        PID:2800
        
        C:\Users\Admin\AppData\Local\Temp\94CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\94CE.tmp"
        47⤵
        
        PID:4076
        
        C:\Users\Admin\AppData\Local\Temp\951C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\951C.tmp"
        48⤵
        
        PID:436
        
        C:\Users\Admin\AppData\Local\Temp\956A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\956A.tmp"
        49⤵
        
        PID:868
        
        C:\Users\Admin\AppData\Local\Temp\B805.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B805.tmp"
        48⤵
        
        PID:436
        
        C:\Users\Admin\AppData\Local\Temp\B853.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B853.tmp"
        49⤵
        
        PID:3520
        
        C:\Users\Admin\AppData\Local\Temp\B892.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B892.tmp"
        50⤵
        
        PID:1456
        
        C:\Users\Admin\AppData\Local\Temp\B8E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8E0.tmp"
        51⤵
        
        PID:2440
        
        C:\Users\Admin\AppData\Local\Temp\B92E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B92E.tmp"
        52⤵
        
        PID:1808
        
        C:\Users\Admin\AppData\Local\Temp\B97C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B97C.tmp"
        53⤵
        
        PID:620
        
        C:\Users\Admin\AppData\Local\Temp\B9CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B9CA.tmp"
        54⤵
        Executes dropped EXE
        
        PID:3216
        
        C:\Users\Admin\AppData\Local\Temp\BA18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA18.tmp"
        55⤵
        
        PID:3080
        
        C:\Users\Admin\AppData\Local\Temp\BA67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA67.tmp"
        56⤵
        
        PID:2104
        
        C:\Users\Admin\AppData\Local\Temp\BAB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BAB5.tmp"
        57⤵
        
        PID:5092
        
        C:\Users\Admin\AppData\Local\Temp\BB03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB03.tmp"
        58⤵
        
        PID:824
        
        C:\Users\Admin\AppData\Local\Temp\BB51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB51.tmp"
        59⤵
        
        PID:3508
        
        C:\Users\Admin\AppData\Local\Temp\BB9F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB9F.tmp"
        60⤵
        Executes dropped EXE
        
        PID:3940
        
        C:\Users\Admin\AppData\Local\Temp\A50A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A50A.tmp"
        43⤵
        
        PID:2100
        
        C:\Users\Admin\AppData\Local\Temp\A558.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A558.tmp"
        44⤵
        
        PID:4692
        
        C:\Users\Admin\AppData\Local\Temp\A5A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A5A6.tmp"
        45⤵
        
        PID:1200
        
        C:\Users\Admin\AppData\Local\Temp\A5F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A5F4.tmp"
        46⤵
        
        PID:2800
        
        C:\Users\Admin\AppData\Local\Temp\A642.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A642.tmp"
        47⤵
        
        PID:4036
        
        C:\Users\Admin\AppData\Local\Temp\A690.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A690.tmp"
        48⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\A6DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A6DF.tmp"
        49⤵
        Executes dropped EXE
        
        PID:4776
        
        C:\Users\Admin\AppData\Local\Temp\A72D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A72D.tmp"
        50⤵
        
        PID:1304
        
        C:\Users\Admin\AppData\Local\Temp\A77B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A77B.tmp"
        51⤵
        
        PID:5020

C:\Users\Admin\AppData\Local\Temp\6765.tmp
"C:\Users\Admin\AppData\Local\Temp\6765.tmp"
1⤵
PID:4548
- C:\Users\Admin\AppData\Local\Temp\67B3.tmp
  "C:\Users\Admin\AppData\Local\Temp\67B3.tmp"
  2⤵
  PID:2104
- - C:\Users\Admin\AppData\Local\Temp\6801.tmp
    "C:\Users\Admin\AppData\Local\Temp\6801.tmp"
    3⤵
    PID:5024
  - - C:\Users\Admin\AppData\Local\Temp\684F.tmp
      "C:\Users\Admin\AppData\Local\Temp\684F.tmp"
      4⤵
      PID:4288
    - - C:\Users\Admin\AppData\Local\Temp\689D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\689D.tmp"
        5⤵
        
        PID:3824
      - C:\Users\Admin\AppData\Local\Temp\68EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68EB.tmp"
        6⤵
        
        PID:2128

C:\Users\Admin\AppData\Local\Temp\6939.tmp
"C:\Users\Admin\AppData\Local\Temp\6939.tmp"
1⤵
PID:1500
- C:\Users\Admin\AppData\Local\Temp\6987.tmp
  "C:\Users\Admin\AppData\Local\Temp\6987.tmp"
  2⤵
  PID:2448

C:\Users\Admin\AppData\Local\Temp\69D6.tmp
"C:\Users\Admin\AppData\Local\Temp\69D6.tmp"
1⤵
PID:5052
- C:\Users\Admin\AppData\Local\Temp\6A24.tmp
  "C:\Users\Admin\AppData\Local\Temp\6A24.tmp"
  2⤵
  - Executes dropped EXE
  PID:4888
- - C:\Users\Admin\AppData\Local\Temp\6A72.tmp
    "C:\Users\Admin\AppData\Local\Temp\6A72.tmp"
    3⤵
    PID:3892
  - - C:\Users\Admin\AppData\Local\Temp\6AC0.tmp
      "C:\Users\Admin\AppData\Local\Temp\6AC0.tmp"
      4⤵
      PID:3936
    - - C:\Users\Admin\AppData\Local\Temp\6B0E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B0E.tmp"
        5⤵
        
        PID:3428
      - C:\Users\Admin\AppData\Local\Temp\6B5C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B5C.tmp"
        6⤵
        Executes dropped EXE
        
        PID:1804

C:\Users\Admin\AppData\Local\Temp\6C47.tmp
"C:\Users\Admin\AppData\Local\Temp\6C47.tmp"
1⤵
PID:4752
- C:\Users\Admin\AppData\Local\Temp\6C95.tmp
  "C:\Users\Admin\AppData\Local\Temp\6C95.tmp"
  2⤵
  PID:1764
- - C:\Users\Admin\AppData\Local\Temp\6CE3.tmp
    "C:\Users\Admin\AppData\Local\Temp\6CE3.tmp"
    3⤵
    PID:4292
  - - C:\Users\Admin\AppData\Local\Temp\6D31.tmp
      "C:\Users\Admin\AppData\Local\Temp\6D31.tmp"
      4⤵
      PID:4264

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k netsvcs -p -s wuauserv
1⤵
- Executes dropped EXE
PID:1212

C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding
1⤵
- Executes dropped EXE
PID:3500

C:\Users\Admin\AppData\Local\Temp\6E3B.tmp
"C:\Users\Admin\AppData\Local\Temp\6E3B.tmp"
1⤵
PID:4800
- C:\Users\Admin\AppData\Local\Temp\6E89.tmp
  "C:\Users\Admin\AppData\Local\Temp\6E89.tmp"
  2⤵
  PID:3860
- - C:\Users\Admin\AppData\Local\Temp\6ED7.tmp
    "C:\Users\Admin\AppData\Local\Temp\6ED7.tmp"
    3⤵
    PID:3432
  - - C:\Users\Admin\AppData\Local\Temp\6F25.tmp
      "C:\Users\Admin\AppData\Local\Temp\6F25.tmp"
      4⤵
      PID:1588

C:\Users\Admin\AppData\Local\Temp\6F73.tmp
"C:\Users\Admin\AppData\Local\Temp\6F73.tmp"
1⤵
PID:4896
- C:\Users\Admin\AppData\Local\Temp\6FC1.tmp
  "C:\Users\Admin\AppData\Local\Temp\6FC1.tmp"
  2⤵
  PID:628
- - C:\Users\Admin\AppData\Local\Temp\700F.tmp
    "C:\Users\Admin\AppData\Local\Temp\700F.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:4272
  - - C:\Users\Admin\AppData\Local\Temp\705D.tmp
      "C:\Users\Admin\AppData\Local\Temp\705D.tmp"
      4⤵
      PID:1308
    - - C:\Users\Admin\AppData\Local\Temp\70AC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\70AC.tmp"
        5⤵
        
        PID:804
  - - C:\Users\Admin\AppData\Local\Temp\4CD8.tmp
      "C:\Users\Admin\AppData\Local\Temp\4CD8.tmp"
      4⤵
      PID:372

C:\Users\Admin\AppData\Local\Temp\7109.tmp
"C:\Users\Admin\AppData\Local\Temp\7109.tmp"
1⤵
PID:4768
- C:\Users\Admin\AppData\Local\Temp\7157.tmp
  "C:\Users\Admin\AppData\Local\Temp\7157.tmp"
  2⤵
  PID:3192
- - C:\Users\Admin\AppData\Local\Temp\71A6.tmp
    "C:\Users\Admin\AppData\Local\Temp\71A6.tmp"
    3⤵
    PID:1640
  - - C:\Users\Admin\AppData\Local\Temp\71F4.tmp
      "C:\Users\Admin\AppData\Local\Temp\71F4.tmp"
      4⤵
      PID:1676
    - - C:\Users\Admin\AppData\Local\Temp\4EBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4EBC.tmp"
        5⤵
        
        PID:3280

C:\Users\Admin\AppData\Local\Temp\6DDD.tmp
"C:\Users\Admin\AppData\Local\Temp\6DDD.tmp"
1⤵
PID:3356

C:\Users\Admin\AppData\Local\Temp\6D7F.tmp
"C:\Users\Admin\AppData\Local\Temp\6D7F.tmp"
1⤵
PID:4276

C:\Users\Admin\AppData\Local\Temp\7242.tmp
"C:\Users\Admin\AppData\Local\Temp\7242.tmp"
1⤵
PID:3280
- C:\Users\Admin\AppData\Local\Temp\7290.tmp
  "C:\Users\Admin\AppData\Local\Temp\7290.tmp"
  2⤵
  PID:2384
- - C:\Users\Admin\AppData\Local\Temp\72DE.tmp
    "C:\Users\Admin\AppData\Local\Temp\72DE.tmp"
    3⤵
    PID:1312
  - - C:\Users\Admin\AppData\Local\Temp\732C.tmp
      "C:\Users\Admin\AppData\Local\Temp\732C.tmp"
      4⤵
      PID:3036
    - - C:\Users\Admin\AppData\Local\Temp\737A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\737A.tmp"
        5⤵
        
        PID:2964
      - C:\Users\Admin\AppData\Local\Temp\73C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73C8.tmp"
        6⤵
        
        PID:1648
- - C:\Users\Admin\AppData\Local\Temp\8397.tmp
    "C:\Users\Admin\AppData\Local\Temp\8397.tmp"
    3⤵
    PID:4872
  - - C:\Users\Admin\AppData\Local\Temp\83E5.tmp
      "C:\Users\Admin\AppData\Local\Temp\83E5.tmp"
      4⤵
      PID:64
    - - C:\Users\Admin\AppData\Local\Temp\8434.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8434.tmp"
        5⤵
        
        PID:4172
      - C:\Users\Admin\AppData\Local\Temp\8482.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8482.tmp"
        6⤵
        
        PID:2100
        
        C:\Users\Admin\AppData\Local\Temp\84DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\84DF.tmp"
        7⤵
        
        PID:1924
        
        C:\Users\Admin\AppData\Local\Temp\853D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\853D.tmp"
        8⤵
        
        PID:1444
        
        C:\Users\Admin\AppData\Local\Temp\858B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\858B.tmp"
        9⤵
        
        PID:3044
        
        C:\Users\Admin\AppData\Local\Temp\85D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\85D9.tmp"
        10⤵
        
        PID:4868
        
        C:\Users\Admin\AppData\Local\Temp\8628.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8628.tmp"
        11⤵
        
        PID:3520
        
        C:\Users\Admin\AppData\Local\Temp\8676.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8676.tmp"
        12⤵
        
        PID:5040
        
        C:\Users\Admin\AppData\Local\Temp\86C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\86C4.tmp"
        13⤵
        
        PID:1456
        
        C:\Users\Admin\AppData\Local\Temp\8712.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8712.tmp"
        14⤵
        
        PID:2440
        
        C:\Users\Admin\AppData\Local\Temp\8760.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8760.tmp"
        15⤵
        
        PID:2080
        
        C:\Users\Admin\AppData\Local\Temp\B71B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B71B.tmp"
        8⤵
        
        PID:4676
        
        C:\Users\Admin\AppData\Local\Temp\B769.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B769.tmp"
        9⤵
        
        PID:2956
        
        C:\Users\Admin\AppData\Local\Temp\B7B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7B7.tmp"
        10⤵
        
        PID:4076
    - - C:\Users\Admin\AppData\Local\Temp\B5E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B5E2.tmp"
        5⤵
        
        PID:2716
      - C:\Users\Admin\AppData\Local\Temp\B630.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B630.tmp"
        6⤵
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\B67F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B67F.tmp"
        7⤵
        
        PID:1424
        
        C:\Users\Admin\AppData\Local\Temp\B6CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B6CD.tmp"
        8⤵
        
        PID:1924
- C:\Users\Admin\AppData\Local\Temp\4F1A.tmp
  "C:\Users\Admin\AppData\Local\Temp\4F1A.tmp"
  2⤵
  PID:3592

C:\Users\Admin\AppData\Local\Temp\7417.tmp
"C:\Users\Admin\AppData\Local\Temp\7417.tmp"
1⤵
PID:2800
- C:\Users\Admin\AppData\Local\Temp\7465.tmp
  "C:\Users\Admin\AppData\Local\Temp\7465.tmp"
  2⤵
  PID:4076
- - C:\Users\Admin\AppData\Local\Temp\74B3.tmp
    "C:\Users\Admin\AppData\Local\Temp\74B3.tmp"
    3⤵
    PID:4340
  - - C:\Users\Admin\AppData\Local\Temp\7501.tmp
      "C:\Users\Admin\AppData\Local\Temp\7501.tmp"
      4⤵
      PID:4368
- - C:\Users\Admin\AppData\Local\Temp\5091.tmp
    "C:\Users\Admin\AppData\Local\Temp\5091.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:5100

C:\Users\Admin\AppData\Local\Temp\754F.tmp
"C:\Users\Admin\AppData\Local\Temp\754F.tmp"
1⤵
PID:4336
- C:\Users\Admin\AppData\Local\Temp\759D.tmp
  "C:\Users\Admin\AppData\Local\Temp\759D.tmp"
  2⤵
  PID:2008
- - C:\Users\Admin\AppData\Local\Temp\75EB.tmp
    "C:\Users\Admin\AppData\Local\Temp\75EB.tmp"
    3⤵
    PID:1000
  - - C:\Users\Admin\AppData\Local\Temp\7639.tmp
      "C:\Users\Admin\AppData\Local\Temp\7639.tmp"
      4⤵
      PID:1148
    - - C:\Users\Admin\AppData\Local\Temp\7688.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7688.tmp"
        5⤵
        
        PID:2528
      - C:\Users\Admin\AppData\Local\Temp\76D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76D6.tmp"
        6⤵
        
        PID:4004
        
        C:\Users\Admin\AppData\Local\Temp\7724.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7724.tmp"
        7⤵
        
        PID:5040
        
        C:\Users\Admin\AppData\Local\Temp\7772.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7772.tmp"
        8⤵
        
        PID:1456
        
        C:\Users\Admin\AppData\Local\Temp\77C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77C0.tmp"
        9⤵
        
        PID:364
        
        C:\Users\Admin\AppData\Local\Temp\780E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\780E.tmp"
        10⤵
        
        PID:4512
        
        C:\Users\Admin\AppData\Local\Temp\785C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\785C.tmp"
        11⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\78AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78AA.tmp"
        12⤵
        
        PID:5092
        
        C:\Users\Admin\AppData\Local\Temp\78F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78F9.tmp"
        13⤵
        
        PID:1916
        
        C:\Users\Admin\AppData\Local\Temp\7947.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7947.tmp"
        14⤵
        
        PID:2952
        
        C:\Users\Admin\AppData\Local\Temp\7995.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7995.tmp"
        15⤵
        
        PID:4288
        
        C:\Users\Admin\AppData\Local\Temp\79E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79E3.tmp"
        16⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\7A31.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A31.tmp"
        17⤵
        
        PID:1500
        
        C:\Users\Admin\AppData\Local\Temp\7A7F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A7F.tmp"
        18⤵
        
        PID:3920
        
        C:\Users\Admin\AppData\Local\Temp\7ACD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7ACD.tmp"
        19⤵
        
        PID:3684
        
        C:\Users\Admin\AppData\Local\Temp\7B2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B2B.tmp"
        20⤵
        
        PID:1920
        
        C:\Users\Admin\AppData\Local\Temp\7B79.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B79.tmp"
        21⤵
        
        PID:3908
        
        C:\Users\Admin\AppData\Local\Temp\7BC7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BC7.tmp"
        22⤵
        
        PID:5116
        
        C:\Users\Admin\AppData\Local\Temp\7C15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C15.tmp"
        23⤵
        
        PID:1152
        
        C:\Users\Admin\AppData\Local\Temp\7C64.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C64.tmp"
        24⤵
        
        PID:4304
        
        C:\Users\Admin\AppData\Local\Temp\7CB2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CB2.tmp"
        25⤵
        
        PID:4996
        
        C:\Users\Admin\AppData\Local\Temp\7D00.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D00.tmp"
        26⤵
        
        PID:1904
        
        C:\Users\Admin\AppData\Local\Temp\7D4E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D4E.tmp"
        27⤵
        
        PID:4468
        
        C:\Users\Admin\AppData\Local\Temp\7D9C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D9C.tmp"
        28⤵
        
        PID:1980
        
        C:\Users\Admin\AppData\Local\Temp\7DEA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DEA.tmp"
        29⤵
        
        PID:4188
        
        C:\Users\Admin\AppData\Local\Temp\7E38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E38.tmp"
        30⤵
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\7E86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E86.tmp"
        31⤵
        
        PID:4388
        
        C:\Users\Admin\AppData\Local\Temp\7ED5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7ED5.tmp"
        32⤵
        
        PID:4816
        
        C:\Users\Admin\AppData\Local\Temp\7F23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F23.tmp"
        33⤵
        
        PID:4052
        
        C:\Users\Admin\AppData\Local\Temp\7F61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F61.tmp"
        34⤵
        
        PID:3612
        
        C:\Users\Admin\AppData\Local\Temp\7FA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FA0.tmp"
        35⤵
        
        PID:624
        
        C:\Users\Admin\AppData\Local\Temp\7FEE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FEE.tmp"
        36⤵
        
        PID:4600
        
        C:\Users\Admin\AppData\Local\Temp\803C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\803C.tmp"
        37⤵
        
        PID:636
        
        C:\Users\Admin\AppData\Local\Temp\808A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\808A.tmp"
        38⤵
        
        PID:4656
        
        C:\Users\Admin\AppData\Local\Temp\80D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\80D8.tmp"
        39⤵
        
        PID:872
        
        C:\Users\Admin\AppData\Local\Temp\8126.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8126.tmp"
        40⤵
        
        PID:372
        
        C:\Users\Admin\AppData\Local\Temp\8174.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8174.tmp"
        41⤵
        
        PID:4948
        
        C:\Users\Admin\AppData\Local\Temp\81C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\81C3.tmp"
        42⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\8211.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8211.tmp"
        43⤵
        
        PID:2364
        
        C:\Users\Admin\AppData\Local\Temp\825F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\825F.tmp"
        44⤵
        
        PID:992
        
        C:\Users\Admin\AppData\Local\Temp\82AD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82AD.tmp"
        45⤵
        
        PID:1900
        
        C:\Users\Admin\AppData\Local\Temp\82FB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82FB.tmp"
        46⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3280
        
        C:\Users\Admin\AppData\Local\Temp\8349.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8349.tmp"
        47⤵
        
        PID:2384
- C:\Users\Admin\AppData\Local\Temp\518B.tmp
  "C:\Users\Admin\AppData\Local\Temp\518B.tmp"
  2⤵
  - Executes dropped EXE
  PID:4164

C:\Users\Admin\AppData\Local\Temp\5321.tmp
"C:\Users\Admin\AppData\Local\Temp\5321.tmp"
1⤵
- Executes dropped EXE
PID:4100

C:\Users\Admin\AppData\Local\Temp\5275.tmp
"C:\Users\Admin\AppData\Local\Temp\5275.tmp"
1⤵
PID:4776

C:\Users\Admin\AppData\Local\Temp\5227.tmp
"C:\Users\Admin\AppData\Local\Temp\5227.tmp"
1⤵
- Executes dropped EXE
PID:2308

C:\Users\Admin\AppData\Local\Temp\51D9.tmp
"C:\Users\Admin\AppData\Local\Temp\51D9.tmp"
1⤵
- Executes dropped EXE
PID:4532

C:\Users\Admin\AppData\Local\Temp\512D.tmp
"C:\Users\Admin\AppData\Local\Temp\512D.tmp"
1⤵
PID:4336

C:\Users\Admin\AppData\Local\Temp\4E6E.tmp
"C:\Users\Admin\AppData\Local\Temp\4E6E.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1676
- C:\Users\Admin\AppData\Local\Temp\73C4.tmp
  "C:\Users\Admin\AppData\Local\Temp\73C4.tmp"
  2⤵
  PID:3552
- - C:\Users\Admin\AppData\Local\Temp\7412.tmp
    "C:\Users\Admin\AppData\Local\Temp\7412.tmp"
    3⤵
    PID:3108
  - - C:\Users\Admin\AppData\Local\Temp\7460.tmp
      "C:\Users\Admin\AppData\Local\Temp\7460.tmp"
      4⤵
      PID:432
    - - C:\Users\Admin\AppData\Local\Temp\74AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\74AE.tmp"
        5⤵
        
        PID:1452
      - C:\Users\Admin\AppData\Local\Temp\74FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\74FC.tmp"
        6⤵
        
        PID:2704
        
        C:\Users\Admin\AppData\Local\Temp\754A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\754A.tmp"
        7⤵
        
        PID:2364
        
        C:\Users\Admin\AppData\Local\Temp\7598.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7598.tmp"
        8⤵
        
        PID:3280
        
        C:\Users\Admin\AppData\Local\Temp\75E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75E7.tmp"
        9⤵
        
        PID:3036
        
        C:\Users\Admin\AppData\Local\Temp\7635.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7635.tmp"
        10⤵
        
        PID:3796
        
        C:\Users\Admin\AppData\Local\Temp\7683.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7683.tmp"
        11⤵
        
        PID:4400
        
        C:\Users\Admin\AppData\Local\Temp\76D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76D1.tmp"
        12⤵
        
        PID:2796
        
        C:\Users\Admin\AppData\Local\Temp\771F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\771F.tmp"
        13⤵
        
        PID:1900
        
        C:\Users\Admin\AppData\Local\Temp\776D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\776D.tmp"
        14⤵
        
        PID:1312
        
        C:\Users\Admin\AppData\Local\Temp\77BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77BB.tmp"
        15⤵
        
        PID:2844
        
        C:\Users\Admin\AppData\Local\Temp\7809.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7809.tmp"
        16⤵
        
        PID:4256
        
        C:\Users\Admin\AppData\Local\Temp\7858.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7858.tmp"
        17⤵
        
        PID:4176
        
        C:\Users\Admin\AppData\Local\Temp\78A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78A6.tmp"
        18⤵
        
        PID:4956
        
        C:\Users\Admin\AppData\Local\Temp\78F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78F4.tmp"
        19⤵
        
        PID:936
        
        C:\Users\Admin\AppData\Local\Temp\7942.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7942.tmp"
        20⤵
        
        PID:3888
        
        C:\Users\Admin\AppData\Local\Temp\7990.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7990.tmp"
        21⤵
        
        PID:2144
        
        C:\Users\Admin\AppData\Local\Temp\79DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79DE.tmp"
        22⤵
        
        PID:856
        
        C:\Users\Admin\AppData\Local\Temp\7A2C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A2C.tmp"
        23⤵
        
        PID:4776
        
        C:\Users\Admin\AppData\Local\Temp\7A7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A7A.tmp"
        24⤵
        
        PID:2720
        
        C:\Users\Admin\AppData\Local\Temp\7AC9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AC9.tmp"
        25⤵
        
        PID:2624
        
        C:\Users\Admin\AppData\Local\Temp\7B17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B17.tmp"
        26⤵
        
        PID:1764
        
        C:\Users\Admin\AppData\Local\Temp\7B65.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B65.tmp"
        27⤵
        
        PID:4200
        
        C:\Users\Admin\AppData\Local\Temp\7BB3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BB3.tmp"
        28⤵
        
        PID:5076
        
        C:\Users\Admin\AppData\Local\Temp\7C01.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C01.tmp"
        29⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\7C4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C4F.tmp"
        30⤵
        
        PID:1980
        
        C:\Users\Admin\AppData\Local\Temp\7C9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C9D.tmp"
        31⤵
        
        PID:3848
        
        C:\Users\Admin\AppData\Local\Temp\7CEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CEB.tmp"
        32⤵
        
        PID:2104
        
        C:\Users\Admin\AppData\Local\Temp\7D3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D3A.tmp"
        33⤵
        
        PID:2952
        
        C:\Users\Admin\AppData\Local\Temp\7D88.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D88.tmp"
        34⤵
        
        PID:3908
        
        C:\Users\Admin\AppData\Local\Temp\7DD6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DD6.tmp"
        35⤵
        
        PID:5024
        
        C:\Users\Admin\AppData\Local\Temp\7E24.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E24.tmp"
        36⤵
        
        PID:1924
        
        C:\Users\Admin\AppData\Local\Temp\7E72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E72.tmp"
        37⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\7EC0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7EC0.tmp"
        38⤵
        
        PID:3684
        
        C:\Users\Admin\AppData\Local\Temp\7F0E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F0E.tmp"
        39⤵
        
        PID:1524
        
        C:\Users\Admin\AppData\Local\Temp\7F5C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F5C.tmp"
        40⤵
        
        PID:2948
        
        C:\Users\Admin\AppData\Local\Temp\7FAB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FAB.tmp"
        41⤵
        
        PID:512
        
        C:\Users\Admin\AppData\Local\Temp\7FF9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FF9.tmp"
        42⤵
        
        PID:4476
        
        C:\Users\Admin\AppData\Local\Temp\8047.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8047.tmp"
        43⤵
        
        PID:3664
        
        C:\Users\Admin\AppData\Local\Temp\8095.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8095.tmp"
        44⤵
        
        PID:3492
        
        C:\Users\Admin\AppData\Local\Temp\80E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\80E3.tmp"
        45⤵
        
        PID:5116
        
        C:\Users\Admin\AppData\Local\Temp\8131.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8131.tmp"
        46⤵
        
        PID:4016
        
        C:\Users\Admin\AppData\Local\Temp\817F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\817F.tmp"
        47⤵
        
        PID:4672
        
        C:\Users\Admin\AppData\Local\Temp\81CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\81CD.tmp"
        48⤵
        
        PID:3620
        
        C:\Users\Admin\AppData\Local\Temp\821C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\821C.tmp"
        49⤵
        
        PID:3328
        
        C:\Users\Admin\AppData\Local\Temp\826A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\826A.tmp"
        50⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\82B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82B8.tmp"
        51⤵
        
        PID:1904
        
        C:\Users\Admin\AppData\Local\Temp\8306.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8306.tmp"
        52⤵
        
        PID:4192
        
        C:\Users\Admin\AppData\Local\Temp\8354.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8354.tmp"
        53⤵
        
        PID:2216
        
        C:\Users\Admin\AppData\Local\Temp\83A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\83A2.tmp"
        54⤵
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\83F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\83F0.tmp"
        55⤵
        
        PID:4100
        
        C:\Users\Admin\AppData\Local\Temp\843E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\843E.tmp"
        56⤵
        
        PID:4388
        
        C:\Users\Admin\AppData\Local\Temp\848D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\848D.tmp"
        57⤵
        
        PID:3236
        
        C:\Users\Admin\AppData\Local\Temp\84DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\84DB.tmp"
        58⤵
        
        PID:4724
        
        C:\Users\Admin\AppData\Local\Temp\8538.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8538.tmp"
        59⤵
        
        PID:4704
        
        C:\Users\Admin\AppData\Local\Temp\8587.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8587.tmp"
        60⤵
        
        PID:3828
        
        C:\Users\Admin\AppData\Local\Temp\85D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\85D5.tmp"
        61⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\8623.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8623.tmp"
        62⤵
        
        PID:872
        
        C:\Users\Admin\AppData\Local\Temp\8671.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8671.tmp"
        63⤵
        
        PID:2992
        
        C:\Users\Admin\AppData\Local\Temp\86BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\86BF.tmp"
        64⤵
        
        PID:724
        
        C:\Users\Admin\AppData\Local\Temp\870D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\870D.tmp"
        65⤵
        
        PID:5060
        
        C:\Users\Admin\AppData\Local\Temp\875B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\875B.tmp"
        66⤵
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\87A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\87A9.tmp"
        67⤵
        
        PID:1280
        
        C:\Users\Admin\AppData\Local\Temp\8826.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8826.tmp"
        68⤵
        
        PID:2056
        
        C:\Users\Admin\AppData\Local\Temp\8884.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8884.tmp"
        69⤵
        
        PID:3552
        
        C:\Users\Admin\AppData\Local\Temp\88D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88D2.tmp"
        70⤵
        
        PID:3108
        
        C:\Users\Admin\AppData\Local\Temp\8930.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8930.tmp"
        71⤵
        
        PID:432
        
        C:\Users\Admin\AppData\Local\Temp\897E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\897E.tmp"
        72⤵
        
        PID:1452
        
        C:\Users\Admin\AppData\Local\Temp\89CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\89CC.tmp"
        73⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\8A1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A1A.tmp"
        74⤵
        
        PID:4980
        
        C:\Users\Admin\AppData\Local\Temp\8A78.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A78.tmp"
        75⤵
        
        PID:4340
        
        C:\Users\Admin\AppData\Local\Temp\8AE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8AE6.tmp"
        76⤵
        
        PID:2384
        
        C:\Users\Admin\AppData\Local\Temp\8B43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B43.tmp"
        77⤵
        
        PID:3916

C:\Users\Admin\AppData\Local\Temp\4E20.tmp
"C:\Users\Admin\AppData\Local\Temp\4E20.tmp"
1⤵
PID:3496

C:\Users\Admin\AppData\Local\Temp\4DD2.tmp
"C:\Users\Admin\AppData\Local\Temp\4DD2.tmp"
1⤵
PID:1632
- C:\Users\Admin\AppData\Local\Temp\B20A.tmp
  "C:\Users\Admin\AppData\Local\Temp\B20A.tmp"
  2⤵
  PID:804
- - C:\Users\Admin\AppData\Local\Temp\B258.tmp
    "C:\Users\Admin\AppData\Local\Temp\B258.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:4948
  - - C:\Users\Admin\AppData\Local\Temp\B2A6.tmp
      "C:\Users\Admin\AppData\Local\Temp\B2A6.tmp"
      4⤵
      PID:4840

C:\Users\Admin\AppData\Local\Temp\4D74.tmp
"C:\Users\Admin\AppData\Local\Temp\4D74.tmp"
1⤵
PID:2872

C:\Users\Admin\AppData\Local\Temp\4D26.tmp
"C:\Users\Admin\AppData\Local\Temp\4D26.tmp"
1⤵
PID:4948

C:\Users\Admin\AppData\Local\Temp\4C3B.tmp
"C:\Users\Admin\AppData\Local\Temp\4C3B.tmp"
1⤵
PID:3872

C:\Windows\System32\mousocoreworker.exe
C:\Windows\System32\mousocoreworker.exe -Embedding
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4336

C:\Users\Admin\AppData\Local\Temp\96A2.tmp
"C:\Users\Admin\AppData\Local\Temp\96A2.tmp"
1⤵
PID:4364
- C:\Users\Admin\AppData\Local\Temp\96F0.tmp
  "C:\Users\Admin\AppData\Local\Temp\96F0.tmp"
  2⤵
  PID:4512
- - C:\Users\Admin\AppData\Local\Temp\973F.tmp
    "C:\Users\Admin\AppData\Local\Temp\973F.tmp"
    3⤵
    PID:5024
  - - C:\Users\Admin\AppData\Local\Temp\978D.tmp
      "C:\Users\Admin\AppData\Local\Temp\978D.tmp"
      4⤵
      PID:2104
    - - C:\Users\Admin\AppData\Local\Temp\97DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\97DB.tmp"
        5⤵
        
        PID:5092
      - C:\Users\Admin\AppData\Local\Temp\9829.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9829.tmp"
        6⤵
        
        PID:3824
        
        C:\Users\Admin\AppData\Local\Temp\9877.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9877.tmp"
        7⤵
        Executes dropped EXE
        
        PID:4760
        
        C:\Users\Admin\AppData\Local\Temp\98C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\98C5.tmp"
        8⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\9913.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9913.tmp"
        9⤵
        
        PID:1500
        
        C:\Users\Admin\AppData\Local\Temp\9961.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9961.tmp"
        10⤵
        
        PID:3920
        
        C:\Users\Admin\AppData\Local\Temp\99B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\99B0.tmp"
        11⤵
        
        PID:2108
        
        C:\Users\Admin\AppData\Local\Temp\99FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\99FE.tmp"
        12⤵
        
        PID:3492
        
        C:\Users\Admin\AppData\Local\Temp\9A4C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9A4C.tmp"
        13⤵
        Executes dropped EXE
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\9A9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9A9A.tmp"
        14⤵
        
        PID:4928
        
        C:\Users\Admin\AppData\Local\Temp\9AE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9AE8.tmp"
        15⤵
        
        PID:2376
        
        C:\Users\Admin\AppData\Local\Temp\9B36.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9B36.tmp"
        16⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\9B84.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9B84.tmp"
        17⤵
        
        PID:4068
        
        C:\Users\Admin\AppData\Local\Temp\9BD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9BD2.tmp"
        18⤵
        
        PID:4752
        
        C:\Users\Admin\AppData\Local\Temp\9C21.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C21.tmp"
        19⤵
        
        PID:1764
        
        C:\Users\Admin\AppData\Local\Temp\9C6F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C6F.tmp"
        20⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\9CBD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9CBD.tmp"
        21⤵
        Executes dropped EXE
        
        PID:1980
        
        C:\Users\Admin\AppData\Local\Temp\9D1B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D1B.tmp"
        22⤵
        
        PID:2344
        
        C:\Users\Admin\AppData\Local\Temp\9D69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D69.tmp"
        23⤵
        
        PID:3356
        
        C:\Users\Admin\AppData\Local\Temp\9DB7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DB7.tmp"
        24⤵
        
        PID:4724
        
        C:\Users\Admin\AppData\Local\Temp\9E05.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E05.tmp"
        25⤵
        
        PID:4816
        
        C:\Users\Admin\AppData\Local\Temp\9E53.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E53.tmp"
        26⤵
        
        PID:3336
        
        C:\Users\Admin\AppData\Local\Temp\9EA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9EA1.tmp"
        27⤵
        
        PID:844

C:\Users\Admin\AppData\Local\Temp\A7B9.tmp
"C:\Users\Admin\AppData\Local\Temp\A7B9.tmp"
1⤵
PID:4616
- C:\Users\Admin\AppData\Local\Temp\A807.tmp
  "C:\Users\Admin\AppData\Local\Temp\A807.tmp"
  2⤵
  - Executes dropped EXE
  PID:4144
- - C:\Users\Admin\AppData\Local\Temp\A856.tmp
    "C:\Users\Admin\AppData\Local\Temp\A856.tmp"
    3⤵
    PID:2988
  - - C:\Users\Admin\AppData\Local\Temp\A8A4.tmp
      "C:\Users\Admin\AppData\Local\Temp\A8A4.tmp"
      4⤵
      PID:3836
    - - C:\Users\Admin\AppData\Local\Temp\A8F2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A8F2.tmp"
        5⤵
        
        PID:4644
      - C:\Users\Admin\AppData\Local\Temp\A940.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A940.tmp"
        6⤵
        
        PID:2424
        
        C:\Users\Admin\AppData\Local\Temp\A98E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A98E.tmp"
        7⤵
        
        PID:396

C:\Users\Admin\AppData\Local\Temp\A9DC.tmp
"C:\Users\Admin\AppData\Local\Temp\A9DC.tmp"
1⤵
PID:4696
- C:\Users\Admin\AppData\Local\Temp\AA2A.tmp
  "C:\Users\Admin\AppData\Local\Temp\AA2A.tmp"
  2⤵
  PID:5016
- - C:\Users\Admin\AppData\Local\Temp\AA78.tmp
    "C:\Users\Admin\AppData\Local\Temp\AA78.tmp"
    3⤵
    PID:1500
  - - C:\Users\Admin\AppData\Local\Temp\AAC7.tmp
      "C:\Users\Admin\AppData\Local\Temp\AAC7.tmp"
      4⤵
      PID:4912
    - - C:\Users\Admin\AppData\Local\Temp\AB15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB15.tmp"
        5⤵
        
        PID:3992
      - C:\Users\Admin\AppData\Local\Temp\AB63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB63.tmp"
        6⤵
        
        PID:1524
        
        C:\Users\Admin\AppData\Local\Temp\ABB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABB1.tmp"
        7⤵
        Executes dropped EXE
        
        PID:3444
        
        C:\Users\Admin\AppData\Local\Temp\ABFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABFF.tmp"
        8⤵
        
        PID:4740
        
        C:\Users\Admin\AppData\Local\Temp\AC4D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC4D.tmp"
        9⤵
        
        PID:2432
        
        C:\Users\Admin\AppData\Local\Temp\AC9B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC9B.tmp"
        10⤵
        
        PID:5004
        
        C:\Users\Admin\AppData\Local\Temp\ACE9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ACE9.tmp"
        11⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\AD38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD38.tmp"
        12⤵
        
        PID:5076
        
        C:\Users\Admin\AppData\Local\Temp\AD86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD86.tmp"
        13⤵
        
        PID:4856

C:\Users\Admin\AppData\Local\Temp\ADD4.tmp
"C:\Users\Admin\AppData\Local\Temp\ADD4.tmp"
1⤵
- Executes dropped EXE
PID:2044
- C:\Users\Admin\AppData\Local\Temp\AE22.tmp
  "C:\Users\Admin\AppData\Local\Temp\AE22.tmp"
  2⤵
  PID:4292
- - C:\Users\Admin\AppData\Local\Temp\AE70.tmp
    "C:\Users\Admin\AppData\Local\Temp\AE70.tmp"
    3⤵
    PID:5084
  - - C:\Users\Admin\AppData\Local\Temp\AEBE.tmp
      "C:\Users\Admin\AppData\Local\Temp\AEBE.tmp"
      4⤵
      PID:4252
    - - C:\Users\Admin\AppData\Local\Temp\AF0C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF0C.tmp"
        5⤵
        
        PID:3380
      - C:\Users\Admin\AppData\Local\Temp\AF5A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF5A.tmp"
        6⤵
        
        PID:2904
        
        C:\Users\Admin\AppData\Local\Temp\AFA9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AFA9.tmp"
        7⤵
        
        PID:3552
        
        C:\Users\Admin\AppData\Local\Temp\AFF7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AFF7.tmp"
        8⤵
        
        PID:1588
        
        C:\Users\Admin\AppData\Local\Temp\B045.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B045.tmp"
        9⤵
        
        PID:4556
        
        C:\Users\Admin\AppData\Local\Temp\B093.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B093.tmp"
        10⤵
        
        PID:5060
        
        C:\Users\Admin\AppData\Local\Temp\B0E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B0E1.tmp"
        11⤵
        
        PID:4728
        
        C:\Users\Admin\AppData\Local\Temp\B12F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B12F.tmp"
        12⤵
        
        PID:2056
        
        C:\Users\Admin\AppData\Local\Temp\B17D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B17D.tmp"
        13⤵
        
        PID:4964
        
        C:\Users\Admin\AppData\Local\Temp\B1CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B1CB.tmp"
        14⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1632

C:\Users\Admin\AppData\Local\Temp\B2F4.tmp
"C:\Users\Admin\AppData\Local\Temp\B2F4.tmp"
1⤵
PID:3192
- C:\Users\Admin\AppData\Local\Temp\B342.tmp
  "C:\Users\Admin\AppData\Local\Temp\B342.tmp"
  2⤵
  PID:2140
- - C:\Users\Admin\AppData\Local\Temp\B381.tmp
    "C:\Users\Admin\AppData\Local\Temp\B381.tmp"
    3⤵
    PID:1196
  - - C:\Users\Admin\AppData\Local\Temp\B3CF.tmp
      "C:\Users\Admin\AppData\Local\Temp\B3CF.tmp"
      4⤵
      PID:3496
    - - C:\Users\Admin\AppData\Local\Temp\B41D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B41D.tmp"
        5⤵
        
        PID:4488
      - C:\Users\Admin\AppData\Local\Temp\B46B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B46B.tmp"
        6⤵
        
        PID:2304
        
        C:\Users\Admin\AppData\Local\Temp\B4B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B4B9.tmp"
        7⤵
        
        PID:1828
        
        C:\Users\Admin\AppData\Local\Temp\B508.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B508.tmp"
        8⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\B556.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B556.tmp"
        9⤵
        
        PID:2796
        
        C:\Users\Admin\AppData\Local\Temp\B5A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B5A4.tmp"
        10⤵
        
        PID:64

C:\Users\Admin\AppData\Local\Temp\D38C.tmp
"C:\Users\Admin\AppData\Local\Temp\D38C.tmp"
1⤵
- Executes dropped EXE
PID:2372
- C:\Users\Admin\AppData\Local\Temp\D3DA.tmp
  "C:\Users\Admin\AppData\Local\Temp\D3DA.tmp"
  2⤵
  - Executes dropped EXE
  PID:3748
- - C:\Users\Admin\AppData\Local\Temp\D428.tmp
    "C:\Users\Admin\AppData\Local\Temp\D428.tmp"
    3⤵
    PID:4528
  - - C:\Users\Admin\AppData\Local\Temp\D476.tmp
      "C:\Users\Admin\AppData\Local\Temp\D476.tmp"
      4⤵
      Executes dropped EXE
      PID:2476
    - - C:\Users\Admin\AppData\Local\Temp\D4C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D4C5.tmp"
        5⤵
        
        PID:1640
      - C:\Users\Admin\AppData\Local\Temp\D513.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D513.tmp"
        6⤵
        
        PID:3468
        
        C:\Users\Admin\AppData\Local\Temp\D561.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D561.tmp"
        7⤵
        
        PID:3796
        
        C:\Users\Admin\AppData\Local\Temp\D5AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D5AF.tmp"
        8⤵
        
        PID:2920
        
        C:\Users\Admin\AppData\Local\Temp\D5FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D5FD.tmp"
        9⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\D64B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D64B.tmp"
        10⤵
        
        PID:3456
        
        C:\Users\Admin\AppData\Local\Temp\D699.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D699.tmp"
        11⤵
        
        PID:2844
        
        C:\Users\Admin\AppData\Local\Temp\D6E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6E7.tmp"
        12⤵
        
        PID:3160
        
        C:\Users\Admin\AppData\Local\Temp\D736.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D736.tmp"
        13⤵
        
        PID:936
        
        C:\Users\Admin\AppData\Local\Temp\D784.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D784.tmp"
        14⤵
        
        PID:316
        
        C:\Users\Admin\AppData\Local\Temp\D7D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7D2.tmp"
        15⤵
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\D820.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D820.tmp"
        16⤵
        
        PID:992
        
        C:\Users\Admin\AppData\Local\Temp\D86E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D86E.tmp"
        17⤵
        
        PID:688
        
        C:\Users\Admin\AppData\Local\Temp\D8BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D8BC.tmp"
        18⤵
        
        PID:1444
        
        C:\Users\Admin\AppData\Local\Temp\D90A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D90A.tmp"
        19⤵
        
        PID:2008
        
        C:\Users\Admin\AppData\Local\Temp\D958.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D958.tmp"
        20⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4076
        
        C:\Users\Admin\AppData\Local\Temp\D9A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D9A7.tmp"
        21⤵
        
        PID:436
        
        C:\Users\Admin\AppData\Local\Temp\D9F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D9F5.tmp"
        22⤵
        
        PID:708
        
        C:\Users\Admin\AppData\Local\Temp\DA52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA52.tmp"
        23⤵
        
        PID:1060
        
        C:\Users\Admin\AppData\Local\Temp\DAA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DAA1.tmp"
        24⤵
        
        PID:4616
        
        C:\Users\Admin\AppData\Local\Temp\DAEF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DAEF.tmp"
        25⤵
        Executes dropped EXE
        
        PID:2080
        
        C:\Users\Admin\AppData\Local\Temp\DB3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB3D.tmp"
        26⤵
        
        PID:1916
        
        C:\Users\Admin\AppData\Local\Temp\DB8B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB8B.tmp"
        27⤵
        
        PID:1532
        
        C:\Users\Admin\AppData\Local\Temp\DBD9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DBD9.tmp"
        28⤵
        
        PID:2344
        
        C:\Users\Admin\AppData\Local\Temp\DC27.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC27.tmp"
        29⤵
        
        PID:2128
        
        C:\Users\Admin\AppData\Local\Temp\DC75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC75.tmp"
        30⤵
        
        PID:3080
        
        C:\Users\Admin\AppData\Local\Temp\DCC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DCC3.tmp"
        31⤵
        
        PID:3824
        
        C:\Users\Admin\AppData\Local\Temp\DD12.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD12.tmp"
        32⤵
        
        PID:2732
        
        C:\Users\Admin\AppData\Local\Temp\DD60.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD60.tmp"
        33⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\DDAE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DDAE.tmp"
        34⤵
        
        PID:3508
        
        C:\Users\Admin\AppData\Local\Temp\DDFC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DDFC.tmp"
        35⤵
        
        PID:1792
        
        C:\Users\Admin\AppData\Local\Temp\DE4A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE4A.tmp"
        36⤵
        
        PID:1500
        
        C:\Users\Admin\AppData\Local\Temp\DE98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE98.tmp"
        37⤵
        
        PID:216
        
        C:\Users\Admin\AppData\Local\Temp\DEE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DEE6.tmp"
        38⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\DF34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF34.tmp"
        39⤵
        
        PID:1152
        
        C:\Users\Admin\AppData\Local\Temp\DF83.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF83.tmp"
        40⤵
        
        PID:2452
        
        C:\Users\Admin\AppData\Local\Temp\DFD1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DFD1.tmp"
        41⤵
        
        PID:4740
        
        C:\Users\Admin\AppData\Local\Temp\E01F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E01F.tmp"
        42⤵
        
        PID:4996
        
        C:\Users\Admin\AppData\Local\Temp\E07D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E07D.tmp"
        43⤵
        
        PID:1904
        
        C:\Users\Admin\AppData\Local\Temp\E0CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0CB.tmp"
        44⤵
        
        PID:4068
        
        C:\Users\Admin\AppData\Local\Temp\E119.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E119.tmp"
        45⤵
        
        PID:2096
        
        C:\Users\Admin\AppData\Local\Temp\E177.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E177.tmp"
        46⤵
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\E1C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1C5.tmp"
        47⤵
        
        PID:4540
        
        C:\Users\Admin\AppData\Local\Temp\E213.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E213.tmp"
        48⤵
        
        PID:3828
        
        C:\Users\Admin\AppData\Local\Temp\E271.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E271.tmp"
        49⤵
        
        PID:4388
        
        C:\Users\Admin\AppData\Local\Temp\E2BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E2BF.tmp"
        50⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3380
        
        C:\Users\Admin\AppData\Local\Temp\E30D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E30D.tmp"
        51⤵
        
        PID:4816
        
        C:\Users\Admin\AppData\Local\Temp\E35B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E35B.tmp"
        52⤵
        
        PID:844
        
        C:\Users\Admin\AppData\Local\Temp\E3B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E3B9.tmp"
        53⤵
        Executes dropped EXE
        
        PID:3432
        
        C:\Users\Admin\AppData\Local\Temp\E407.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E407.tmp"
        54⤵
        
        PID:4896
        
        C:\Users\Admin\AppData\Local\Temp\E455.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E455.tmp"
        55⤵
        
        PID:724
        
        C:\Users\Admin\AppData\Local\Temp\E4A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E4A3.tmp"
        56⤵
        
        PID:5060
        
        C:\Users\Admin\AppData\Local\Temp\E4F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E4F1.tmp"
        57⤵
        
        PID:4728
        
        C:\Users\Admin\AppData\Local\Temp\E53F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E53F.tmp"
        58⤵
        
        PID:2056
        
        C:\Users\Admin\AppData\Local\Temp\E58D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E58D.tmp"
        59⤵
        
        PID:3556
        
        C:\Users\Admin\AppData\Local\Temp\E5DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5DC.tmp"
        60⤵
        
        PID:4964
        
        C:\Users\Admin\AppData\Local\Temp\E62A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E62A.tmp"
        61⤵
        
        PID:4276
        
        C:\Users\Admin\AppData\Local\Temp\E678.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E678.tmp"
        62⤵
        
        PID:1784
        
        C:\Users\Admin\AppData\Local\Temp\E6C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E6C6.tmp"
        63⤵
        
        PID:1064
        
        C:\Users\Admin\AppData\Local\Temp\E714.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E714.tmp"
        64⤵
        
        PID:4840
        
        C:\Users\Admin\AppData\Local\Temp\E762.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E762.tmp"
        65⤵
        
        PID:3192
        
        C:\Users\Admin\AppData\Local\Temp\E7B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7B0.tmp"
        66⤵
        
        PID:3608
        
        C:\Users\Admin\AppData\Local\Temp\E7FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7FE.tmp"
        67⤵
        Executes dropped EXE
        
        PID:1196
        
        C:\Users\Admin\AppData\Local\Temp\E84D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E84D.tmp"
        68⤵
        
        PID:1900
        
        C:\Users\Admin\AppData\Local\Temp\E89B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E89B.tmp"
        69⤵
        
        PID:968
        
        C:\Users\Admin\AppData\Local\Temp\E8E9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E8E9.tmp"
        70⤵
        
        PID:1312
        
        C:\Users\Admin\AppData\Local\Temp\E937.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E937.tmp"
        71⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3592
        
        C:\Users\Admin\AppData\Local\Temp\E985.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E985.tmp"
        72⤵
        
        PID:4148
        
        C:\Users\Admin\AppData\Local\Temp\E9D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9D3.tmp"
        73⤵
        
        PID:4396
        
        C:\Users\Admin\AppData\Local\Temp\EA21.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA21.tmp"
        74⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\EA8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA8F.tmp"
        75⤵
        
        PID:2716
        
        C:\Users\Admin\AppData\Local\Temp\EADD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EADD.tmp"
        76⤵
        
        PID:4692
        
        C:\Users\Admin\AppData\Local\Temp\EB2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB2B.tmp"
        77⤵
        
        PID:2800
        
        C:\Users\Admin\AppData\Local\Temp\EB79.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB79.tmp"
        78⤵
        
        PID:1644
        
        C:\Users\Admin\AppData\Local\Temp\EBC7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EBC7.tmp"
        79⤵
        
        PID:4736
        
        C:\Users\Admin\AppData\Local\Temp\EC15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC15.tmp"
        80⤵
        
        PID:4868
        
        C:\Users\Admin\AppData\Local\Temp\EC63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC63.tmp"
        81⤵
        
        PID:1164
        
        C:\Users\Admin\AppData\Local\Temp\ECB2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ECB2.tmp"
        82⤵
        
        PID:1456
        
        C:\Users\Admin\AppData\Local\Temp\ED00.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED00.tmp"
        83⤵
        
        PID:916
        
        C:\Users\Admin\AppData\Local\Temp\ED4E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED4E.tmp"
        84⤵
        
        PID:2624
        
        C:\Users\Admin\AppData\Local\Temp\EDAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDAC.tmp"
        85⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\EDFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDFA.tmp"
        86⤵
        
        PID:1808
        
        C:\Users\Admin\AppData\Local\Temp\EE48.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE48.tmp"
        87⤵
        
        PID:3868
        
        C:\Users\Admin\AppData\Local\Temp\EE96.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE96.tmp"
        88⤵
        
        PID:3848
        
        C:\Users\Admin\AppData\Local\Temp\EEE4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EEE4.tmp"
        89⤵
        
        PID:5024
        
        C:\Users\Admin\AppData\Local\Temp\EF42.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF42.tmp"
        90⤵
        
        PID:400
        
        C:\Users\Admin\AppData\Local\Temp\EF90.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF90.tmp"
        91⤵
        
        PID:2104
        
        C:\Users\Admin\AppData\Local\Temp\EFEE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFEE.tmp"
        92⤵
        
        PID:4180
        
        C:\Users\Admin\AppData\Local\Temp\F03C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F03C.tmp"
        93⤵
        
        PID:824
        
        C:\Users\Admin\AppData\Local\Temp\F09A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F09A.tmp"
        94⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\F0E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0E8.tmp"
        95⤵
        
        PID:4312
        
        C:\Users\Admin\AppData\Local\Temp\F145.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F145.tmp"
        96⤵
        
        PID:2016
        
        C:\Users\Admin\AppData\Local\Temp\F194.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F194.tmp"
        97⤵
        
        PID:1708
        
        C:\Users\Admin\AppData\Local\Temp\F1E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1E2.tmp"
        98⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\F230.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F230.tmp"
        99⤵
        
        PID:3428
        
        C:\Users\Admin\AppData\Local\Temp\F27E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F27E.tmp"
        100⤵
        
        PID:2036
        
        C:\Users\Admin\AppData\Local\Temp\F2CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2CC.tmp"
        101⤵
        
        PID:2376
        
        C:\Users\Admin\AppData\Local\Temp\F31A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F31A.tmp"
        102⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\F359.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F359.tmp"
        103⤵
        
        PID:5004
        
        C:\Users\Admin\AppData\Local\Temp\F3A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3A7.tmp"
        104⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\F3F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3F5.tmp"
        105⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\F443.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F443.tmp"
        106⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\F491.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F491.tmp"
        107⤵
        
        PID:1280
        
        C:\Users\Admin\AppData\Local\Temp\F4FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4FF.tmp"
        108⤵
        
        PID:4724
        
        C:\Users\Admin\AppData\Local\Temp\F54D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F54D.tmp"
        109⤵
        
        PID:4604
        
        C:\Users\Admin\AppData\Local\Temp\F59B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F59B.tmp"
        110⤵
        
        PID:3552
        
        C:\Users\Admin\AppData\Local\Temp\F5E9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5E9.tmp"
        111⤵
        
        PID:4456
        
        C:\Users\Admin\AppData\Local\Temp\F637.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F637.tmp"
        112⤵
        
        PID:4272
        
        C:\Users\Admin\AppData\Local\Temp\F685.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F685.tmp"
        113⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\F6D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F6D3.tmp"
        114⤵
        
        PID:2676
        
        C:\Users\Admin\AppData\Local\Temp\F721.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F721.tmp"
        115⤵
        Executes dropped EXE
        
        PID:2068
        
        C:\Users\Admin\AppData\Local\Temp\F770.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F770.tmp"
        116⤵
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\F7BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F7BE.tmp"
        117⤵
        
        PID:3048
        
        C:\Users\Admin\AppData\Local\Temp\F80C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F80C.tmp"
        118⤵
        
        PID:4232
        
        C:\Users\Admin\AppData\Local\Temp\F85A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F85A.tmp"
        119⤵
        
        PID:372
        
        C:\Users\Admin\AppData\Local\Temp\F8A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8A8.tmp"
        120⤵
        
        PID:640
        
        C:\Users\Admin\AppData\Local\Temp\F8F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8F6.tmp"
        121⤵
        
        PID:4136
        
        C:\Users\Admin\AppData\Local\Temp\F944.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F944.tmp"
        122⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\F992.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F992.tmp"
        123⤵
        
        PID:3108
        
        C:\Users\Admin\AppData\Local\Temp\F9E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9E1.tmp"
        124⤵
        
        PID:1640
        
        C:\Users\Admin\AppData\Local\Temp\FA2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA2F.tmp"
        125⤵
        
        PID:3468
        
        C:\Users\Admin\AppData\Local\Temp\FA7D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA7D.tmp"
        126⤵
        
        PID:3796
        
        C:\Users\Admin\AppData\Local\Temp\FACB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FACB.tmp"
        127⤵
        
        PID:3872
        
        C:\Users\Admin\AppData\Local\Temp\FB19.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB19.tmp"
        128⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\FB67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB67.tmp"
        129⤵
        
        PID:1828
        
        C:\Users\Admin\AppData\Local\Temp\FBB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FBB5.tmp"
        130⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\FC03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC03.tmp"
        131⤵
        
        PID:2844
        
        C:\Users\Admin\AppData\Local\Temp\FC52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC52.tmp"
        132⤵
        
        PID:4660
        
        C:\Users\Admin\AppData\Local\Temp\FCA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FCA0.tmp"
        133⤵
        
        PID:936
        
        C:\Users\Admin\AppData\Local\Temp\FCEE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FCEE.tmp"
        134⤵
        
        PID:4744
        
        C:\Users\Admin\AppData\Local\Temp\FD3C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD3C.tmp"
        135⤵
        
        PID:4344
        
        C:\Users\Admin\AppData\Local\Temp\FD8A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD8A.tmp"
        136⤵
        
        PID:3572
        
        C:\Users\Admin\AppData\Local\Temp\FDD8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDD8.tmp"
        137⤵
        
        PID:3888
        
        C:\Users\Admin\AppData\Local\Temp\FE26.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE26.tmp"
        138⤵
        
        PID:1444
        
        C:\Users\Admin\AppData\Local\Temp\FE74.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE74.tmp"
        139⤵
        
        PID:856
        
        C:\Users\Admin\AppData\Local\Temp\FEC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEC3.tmp"
        140⤵
        
        PID:3520
        
        C:\Users\Admin\AppData\Local\Temp\FF11.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF11.tmp"
        141⤵
        
        PID:4776
        
        C:\Users\Admin\AppData\Local\Temp\FF5F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF5F.tmp"
        142⤵
        
        PID:1304
        
        C:\Users\Admin\AppData\Local\Temp\FFAD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFAD.tmp"
        143⤵
        
        PID:5020
        
        C:\Users\Admin\AppData\Local\Temp\FFEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFEB.tmp"
        144⤵
        
        PID:620
        
        C:\Users\Admin\AppData\Local\Temp\3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A.tmp"
        145⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\88.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88.tmp"
        146⤵
        
        PID:5076
        
        C:\Users\Admin\AppData\Local\Temp\D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6.tmp"
        147⤵
        
        PID:4376
        
        C:\Users\Admin\AppData\Local\Temp\124.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\124.tmp"
        148⤵
        
        PID:4500
        
        C:\Users\Admin\AppData\Local\Temp\172.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\172.tmp"
        149⤵
        
        PID:396
        
        C:\Users\Admin\AppData\Local\Temp\1C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C0.tmp"
        150⤵
        
        PID:5024
        
        C:\Users\Admin\AppData\Local\Temp\20E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\20E.tmp"
        151⤵
        
        PID:4760
        
        C:\Users\Admin\AppData\Local\Temp\25C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\25C.tmp"
        152⤵
        
        PID:3908
        
        C:\Users\Admin\AppData\Local\Temp\2AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2AB.tmp"
        153⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\2F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F9.tmp"
        154⤵
        
        PID:3684
        
        C:\Users\Admin\AppData\Local\Temp\347.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\347.tmp"
        155⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\395.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\395.tmp"
        156⤵
        
        PID:4312
        
        C:\Users\Admin\AppData\Local\Temp\3E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E3.tmp"
        157⤵
        
        PID:2016
        
        C:\Users\Admin\AppData\Local\Temp\431.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\431.tmp"
        158⤵
        
        PID:3008
        
        C:\Users\Admin\AppData\Local\Temp\47F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47F.tmp"
        159⤵
        
        PID:4772
        
        C:\Users\Admin\AppData\Local\Temp\4CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4CD.tmp"
        160⤵
        
        PID:3664
        
        C:\Users\Admin\AppData\Local\Temp\51C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\51C.tmp"
        161⤵
        Executes dropped EXE
        
        PID:4928
        
        C:\Users\Admin\AppData\Local\Temp\56A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56A.tmp"
        162⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\5B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B8.tmp"
        163⤵
        
        PID:3320
        
        C:\Users\Admin\AppData\Local\Temp\606.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\606.tmp"
        164⤵
        
        PID:2408
        
        C:\Users\Admin\AppData\Local\Temp\654.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\654.tmp"
        165⤵
        
        PID:1368
        
        C:\Users\Admin\AppData\Local\Temp\6A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A2.tmp"
        166⤵
        
        PID:680
        
        C:\Users\Admin\AppData\Local\Temp\6F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F0.tmp"
        167⤵
        
        PID:4752
        
        C:\Users\Admin\AppData\Local\Temp\73E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73E.tmp"
        168⤵
        
        PID:3084
        
        C:\Users\Admin\AppData\Local\Temp\78D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78D.tmp"
        169⤵
        
        PID:4252
        
        C:\Users\Admin\AppData\Local\Temp\7DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DB.tmp"
        170⤵
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\829.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\829.tmp"
        171⤵
        
        PID:3828
        
        C:\Users\Admin\AppData\Local\Temp\877.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\877.tmp"
        172⤵
        
        PID:4052
        
        C:\Users\Admin\AppData\Local\Temp\8C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C5.tmp"
        173⤵
        
        PID:3336
        
        C:\Users\Admin\AppData\Local\Temp\913.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\913.tmp"
        174⤵
        
        PID:2392
        
        C:\Users\Admin\AppData\Local\Temp\961.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\961.tmp"
        175⤵
        Executes dropped EXE
        
        PID:844
        
        C:\Users\Admin\AppData\Local\Temp\9AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9AF.tmp"
        176⤵
        
        PID:4504
        
        C:\Users\Admin\AppData\Local\Temp\9FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FE.tmp"
        177⤵
        Executes dropped EXE
        
        PID:636
        
        C:\Users\Admin\AppData\Local\Temp\A4C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A4C.tmp"
        178⤵
        
        PID:1308
        
        C:\Users\Admin\AppData\Local\Temp\A9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A9A.tmp"
        179⤵
        
        PID:3100
        
        C:\Users\Admin\AppData\Local\Temp\AE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE8.tmp"
        180⤵
        
        PID:1124
        
        C:\Users\Admin\AppData\Local\Temp\B36.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B36.tmp"
        181⤵
        
        PID:428
        
        C:\Users\Admin\AppData\Local\Temp\B84.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B84.tmp"
        182⤵
        
        PID:1452
        
        C:\Users\Admin\AppData\Local\Temp\BD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD2.tmp"
        183⤵
        
        PID:4372
        
        C:\Users\Admin\AppData\Local\Temp\C20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C20.tmp"
        184⤵
        
        PID:4528
        
        C:\Users\Admin\AppData\Local\Temp\C6F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6F.tmp"
        185⤵
        
        PID:4136
        
        C:\Users\Admin\AppData\Local\Temp\CAD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAD.tmp"
        186⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\CFB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFB.tmp"
        187⤵
        
        PID:2140
        
        C:\Users\Admin\AppData\Local\Temp\D49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D49.tmp"
        188⤵
        
        PID:3192
        
        C:\Users\Admin\AppData\Local\Temp\DA7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA7.tmp"
        189⤵
        
        PID:4340
        
        C:\Users\Admin\AppData\Local\Temp\DF5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF5.tmp"
        190⤵
        
        PID:3280
        
        C:\Users\Admin\AppData\Local\Temp\E63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E63.tmp"
        191⤵
        
        PID:3036
        
        C:\Users\Admin\AppData\Local\Temp\EB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB1.tmp"
        192⤵
        
        PID:2920
        
        C:\Users\Admin\AppData\Local\Temp\F1E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1E.tmp"
        193⤵
        
        PID:4160
        
        C:\Users\Admin\AppData\Local\Temp\F6C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F6C.tmp"
        194⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\FBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FBA.tmp"
        195⤵
        
        PID:2844
        
        C:\Users\Admin\AppData\Local\Temp\1008.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1008.tmp"
        196⤵
        
        PID:1744
        
        C:\Users\Admin\AppData\Local\Temp\1057.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1057.tmp"
        197⤵
        
        PID:936
        
        C:\Users\Admin\AppData\Local\Temp\10D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\10D4.tmp"
        198⤵
        
        PID:4744
        
        C:\Users\Admin\AppData\Local\Temp\1122.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1122.tmp"
        199⤵
        
        PID:4344
        
        C:\Users\Admin\AppData\Local\Temp\1170.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1170.tmp"
        200⤵
        
        PID:3572
        
        C:\Users\Admin\AppData\Local\Temp\11CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\11CE.tmp"
        201⤵
        
        PID:3888
        
        C:\Users\Admin\AppData\Local\Temp\121C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\121C.tmp"
        202⤵
        
        PID:3624
        
        C:\Users\Admin\AppData\Local\Temp\125A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\125A.tmp"
        203⤵
        
        PID:856
        
        C:\Users\Admin\AppData\Local\Temp\1299.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1299.tmp"
        204⤵
        
        PID:3520
        
        C:\Users\Admin\AppData\Local\Temp\12E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12E7.tmp"
        205⤵
        
        PID:4776
        
        C:\Users\Admin\AppData\Local\Temp\1354.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1354.tmp"
        206⤵
        
        PID:708
        
        C:\Users\Admin\AppData\Local\Temp\13B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\13B2.tmp"
        207⤵
        
        PID:2324
        
        C:\Users\Admin\AppData\Local\Temp\141F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\141F.tmp"
        208⤵
        
        PID:620
        
        C:\Users\Admin\AppData\Local\Temp\146D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\146D.tmp"
        209⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\14BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\14BC.tmp"
        210⤵
        
        PID:5076
        
        C:\Users\Admin\AppData\Local\Temp\150A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\150A.tmp"
        211⤵
        
        PID:4376
        
        C:\Users\Admin\AppData\Local\Temp\1558.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1558.tmp"
        212⤵
        
        PID:2424
        
        C:\Users\Admin\AppData\Local\Temp\15A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15A6.tmp"
        213⤵
        
        PID:400
        
        C:\Users\Admin\AppData\Local\Temp\15F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15F4.tmp"
        214⤵
        
        PID:5024
        
        C:\Users\Admin\AppData\Local\Temp\1642.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1642.tmp"
        215⤵
        
        PID:4760
        
        C:\Users\Admin\AppData\Local\Temp\1690.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1690.tmp"
        216⤵
        
        PID:824
        
        C:\Users\Admin\AppData\Local\Temp\16DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16DE.tmp"
        217⤵
        
        PID:3508
        
        C:\Users\Admin\AppData\Local\Temp\172D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\172D.tmp"
        218⤵
        
        PID:3684
        
        C:\Users\Admin\AppData\Local\Temp\179A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\179A.tmp"
        219⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\1807.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1807.tmp"
        220⤵
        
        PID:4312
        
        C:\Users\Admin\AppData\Local\Temp\1865.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1865.tmp"
        221⤵
        
        PID:1808
        
        C:\Users\Admin\AppData\Local\Temp\18E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\18E2.tmp"
        222⤵
        
        PID:3008
        
        C:\Users\Admin\AppData\Local\Temp\1930.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1930.tmp"
        223⤵
        
        PID:4772
        
        C:\Users\Admin\AppData\Local\Temp\198E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\198E.tmp"
        224⤵
        
        PID:3664
        
        C:\Users\Admin\AppData\Local\Temp\19EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\19EC.tmp"
        225⤵
        
        PID:4928
        
        C:\Users\Admin\AppData\Local\Temp\1A49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A49.tmp"
        226⤵
        
        PID:3480
        
        C:\Users\Admin\AppData\Local\Temp\1AA7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AA7.tmp"
        227⤵
        
        PID:3320
        
        C:\Users\Admin\AppData\Local\Temp\1B05.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B05.tmp"
        228⤵
        
        PID:2408
        
        C:\Users\Admin\AppData\Local\Temp\1B53.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B53.tmp"
        229⤵
        
        PID:2044
        
        C:\Users\Admin\AppData\Local\Temp\1BA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1BA1.tmp"
        230⤵
        
        PID:1904
        
        C:\Users\Admin\AppData\Local\Temp\1BFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1BFF.tmp"
        231⤵
        
        PID:4068
        
        C:\Users\Admin\AppData\Local\Temp\1C5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C5D.tmp"
        232⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\1CAB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1CAB.tmp"
        233⤵
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\1D09.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D09.tmp"
        234⤵
        
        PID:1712
        
        C:\Users\Admin\AppData\Local\Temp\1D57.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D57.tmp"
        235⤵
        
        PID:4724
        
        C:\Users\Admin\AppData\Local\Temp\1DA5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DA5.tmp"
        236⤵
        
        PID:4304
        
        C:\Users\Admin\AppData\Local\Temp\1DF3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DF3.tmp"
        237⤵
        
        PID:3612

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\4A86.tmp

Filesize
486KB

MD5
95ca70862f83ba1c2a6d1c8765ea6f31

SHA1
38d2828531582533c6fc3df750bbeb3494aec2e2

SHA256
c7617bd0986a15b2ffe9d31f2cde59ce2c853035994f95c9958062025ebd42e2

SHA512
b7b443132fef9a65a5253e1a3d7968fe7a02ba22309570ef88e552bb7b31c9bbd04b645e158e86c6edd855a8908998b853b6d0b20d409a17d1e74831faee2258

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A86.tmp

Filesize
234KB

MD5
1d2c657380744193129c17d5f24a5513

SHA1
de30df79751edf5801f5f3cae346756628f7362c

SHA256
5be711c4bc1a500a1b41f52b86e9534a01b4be526dd89c05ea490ee100826d24

SHA512
74141101f6358047a84318608f5d9ead144d94c9a2be770e14289fd60931d681f07addf825687eb863c8792942fb187b59901a35df628c7b0dde78654203fc23

Download Submit
C:\Users\Admin\AppData\Local\Temp\4AE4.tmp

Filesize
192KB

MD5
55900a2b56b4be098f06824c556ad333

SHA1
79eeda26eaa3aa2290731ee35cb797043e6f379e

SHA256
39025b2c0b1eb772d85c62dd69cd4e5fe1a9597615dc5371829329ba0899a087

SHA512
0e3fff344195a8c7fe5a993bd86a4851186d63091de05411bd68f604231faa0fa359d1d4b3abe76bc93db0ed758584b9aec77738599557550ec5f21603e13bbf

Download Submit
C:\Users\Admin\AppData\Local\Temp\4AE4.tmp

Filesize
130KB

MD5
aa7f97268efa82688de6bd9bcc3f3922

SHA1
ac6a004805e005724e8195222cde74ef704bf2f9

SHA256
0009c90c2c24305977c7f41dcbcd82ad7363b982467d6fd91cc63e9184610ebf

SHA512
b66ae86745e659eca15ef53298ec3c27a5de3e4543322ae8383b08a9d44bece14be6f79dff9319b7dbcb506b318df76ab8c693c62535d50a71181a9c70170e37

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B32.tmp

Filesize
486KB

MD5
bfff52e7634ff96d37f338911ec4055b

SHA1
91aa1b7360247178b62c84b0203746601572e15d

SHA256
09c47587f3959bb6d865b0f4ec2ac8a38e147212e0863514e63a90cb8ddf180e

SHA512
dc8d3f9e6fd396d3ed37633069c1d1070ce142280f695c094970675a4204227386b0c5f5189aab4aab15afec74f949291c1b61a3a70f679cff4fa07998d81a7f

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B32.tmp

Filesize
300KB

MD5
43787e5ad94cc805c475341e76ba25cd

SHA1
86cecfc8d76f72b70e42b2265a419a74ee1b003c

SHA256
83a39232ccf8b922750cab64984c18758a406b62b725ea11e1c3c1d8e3d1f960

SHA512
fe5522590cc494d2205902cf531824cba5c3ced1382c74984bddd1b0ed74975ed81ef1a5a875c3a2c15ce7f438083ffb06415224c8a29cdf4950584dccf4170d

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B90.tmp

Filesize
256KB

MD5
b791116d2ea1cd53f06945a08e00e1c7

SHA1
b4efcd3e52e89af2237977e3637917d7c06cec32

SHA256
1b30b7a0dff0f5b08fe93ef5010d08483aef19e9c6d728978edd7dbbf0487323

SHA512
c85efadd2bd9d2c5c406b4050917ee0a191ffa28c0d158bb116a6570bdb73ab4195683b6835f399d5eb21710643261bb0f0b1741491de93e981bc880aa0e5e6b

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B90.tmp

Filesize
486KB

MD5
181168ac14354ef8a391736f769af3f6

SHA1
0dc8532479e1f96fe68d3e4cc55a65367d7d034c

SHA256
5468f9b8d24c40986196b4fe783ced8376eab40f92786b9e088af1c7540754a4

SHA512
a1fb47e0f7c6cac8a362b9e73bb8385bded1e489a15d1d86c00cb24a8eac2e6d1d99d75703ace1d12d3dee7beb7b3ff02390a9ad997f73c14b2ccc6da2f06505

Download Submit
C:\Users\Admin\AppData\Local\Temp\4BED.tmp

Filesize
335KB

MD5
9a62fc9a6cf3dc56b61273497ffaa757

SHA1
8191a435783044b109f6e0b2c1256a9c77cfe49d

SHA256
0b53205796d33062f9819abb0819e51b35355646dde19514e14d6f3120d0a6cd

SHA512
ebf589170915d96cdcc0b68ed93d886bc63ba4e7655273ff33fe5458cf79cb72e016902ff3cad3b0e1189548d30b0ef0ad39cb84858efbfd6ce6872499ce460c

Download Submit
C:\Users\Admin\AppData\Local\Temp\4BED.tmp

Filesize
121KB

MD5
25a233dae48e6bacb738af72cadceec3

SHA1
eea6a80164f0eda5682475eaabe0c009467fab54

SHA256
a177d7ec71b1cb2fb4c9cd80430d2ed140a724f92c2482c90c99a7bf4aa0e9bf

SHA512
3ee93e891fc3e6d1e4697055baf1aee2b2ebcafe5833d9d2a66717a43a69d297cbb6e017141b173d7cb69b937c5c2d86fe9d477df058fb3153843afd32cd47f0

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C3B.tmp

Filesize
486KB

MD5
62648120531faa7de6d958966bdc37fe

SHA1
47fc97a1457be9162af5ad999c38589338dc3260

SHA256
e7677f2e7ccf512916988e80a2710df9b51cc957bdc3a89458c66a7cba35d3c1

SHA512
1f95b07f545a6af37caa8935759025a715e2b6da20bfd8ce8537cc9ad8d9c4b9f91feff2fa3426d2280a644f642584a12eaa6117165e41cb01a38b9b4f524fe4

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C3B.tmp

Filesize
107KB

MD5
5b7430f910f4280507f4433918ab75fc

SHA1
b1b236c36a202a52c88842876219d6c469b6866b

SHA256
6a8f184b6ac04d6a7c6fd281e0de6b06c307cc3b9e6fb0bdf15e1a219e7135ad

SHA512
c555ff487c9122c2dc5a454d8506d1f06760913eaa4e9be1c267eb044b6279034a4479b3869b57be99efd725c1de6b0a458088d2d6d14f338fa71fbd7376bb09

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C8A.tmp

Filesize
80KB

MD5
a588089461f4d8d95e4991a829f72880

SHA1
9e7d62a7ab4e26de5fd66ef9f5f19b5348174e46

SHA256
700db9fdfc2779cfb4cd1ddfeee1ff1e71a5a315c6a71b39e02c6a6497cc0073

SHA512
5b794bd1743d83d4c1c493ec41dd0a8cdcddc29d8e81dc5a4756434e80c9e6961b1ff1ba7546d023f97384de18e28c3e0ea2ce82753a8430b1d6f700eda2870e

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C8A.tmp

Filesize
26KB

MD5
5d7353ee8d5852b8a9a0bd56c376bc85

SHA1
1c860dc81ff4e813479344c279a729fc03aaccc8

SHA256
e8672ba3aa45ad9703783f336b52f139928c8949a336b73502fe5a8014c46051

SHA512
c5e44d0d2f5adcec44adcd5cfae878fb4d2e152367deb5dc892f21e5920f8eaea06d6782508c9adcd373c15f5e65655a06767140f79b76c1ddcabf4a6257f719

Download Submit
C:\Users\Admin\AppData\Local\Temp\4CD8.tmp

Filesize
486KB

MD5
b4688f4749aaddec092c1737215036cf

SHA1
4f4edadffcaf18c81739cdfac0069fea821a5c6f

SHA256
8065a6f8000fd334f14d51e1a0e91e8d248e12483c686d102b76252d73f1d9f8

SHA512
ee951d71015e0cb42dd2972703fe53ad65ae429c22aff509e45bdb7e2387f73b585ec27ea8fc53ad5b2e36adbc85464f896709b73b17805c437f802a64d49601

Download Submit
C:\Users\Admin\AppData\Local\Temp\4CD8.tmp

Filesize
42KB

MD5
fea79d431855a3a589bf6c496695ec3d

SHA1
ae061c0a157364c1aeca0557d4f774b2cf27072e

SHA256
d527706a362c77b857b3a433bfc391acdd92c2959df06bcb8f821f72a5fd1d29

SHA512
1f08ea2b3ce1bf8f9d15836ec6b40866f97cf797ae6c70dfe9b6ae48d68c1fcdecb2d4348f2bcc736025f4d8f70295fca88de5a0a26a4b3af600ef2a57c0089a

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D26.tmp

Filesize
85KB

MD5
25f0b3badf6ba1303230f8da37905d49

SHA1
fe6443579b728fc5dd587cd9f40bddbdff628729

SHA256
56a1c2ddaedd373237e6f1e77abf78cd9e52e1e9090a2bf3099ee59d31071286

SHA512
abad442f9ee0bfe3c850ded816c2786fdf3de5a7dea92c39f9cb4737256e00ebb591ff51907a9de8cc0e88873e72e89fcc2cf1add7378fd3458cba6e2d83107b

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D26.tmp

Filesize
124KB

MD5
336e2cde8724df05c93e5ed1d2522c49

SHA1
e65512be577d9073324bc967bb72c100ff0e0f70

SHA256
e828bc7689721b2ec6f661afa38130aa400a1a4d9a70a77263c985779bf4220b

SHA512
bf7bec77713361f242df38285dbf48ecf853ea1e266649354604188d3cd2aacedec9b14a90336d2ee40636be53e93742973c88ba2d5edd9261b19f6d5e6faf1c

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D74.tmp

Filesize
84KB

MD5
e11ebaf7f9f0747902f47a2328bfeed3

SHA1
c9ec25e477b36932b2372c19ddb1ce26aa2faf6d

SHA256
e7af8bb807686ae5e6c4be342f012064c83cf024a315d296769fd36ee84d1c90

SHA512
2f52a0292c3791d7216dad9d6e4c1808a829bfa68e8b8ba68d905120b0d2fb804c8612e8ec01b5c0daf2d25ac9d1d9976e04db74edc696a850c17ac442f4ab9d

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D74.tmp

Filesize
101KB

MD5
01b98e7f5ba4c9127fc3c8164fae2ce5

SHA1
3263d50bfe82c653699b311e4ad3c3723945445e

SHA256
d816bc5ddf37e68641986f75d2fc9efcbaa92981b5d649c833a5ce4156ef4076

SHA512
6cec8b19155e5bd5b0180a555b446f97b1206806ef760f6d21ec3117e7614fad80c037ecab6c7087809d2da82b73685e0c0651650a306f6d02b3fdba04efc9ff

Download Submit
C:\Users\Admin\AppData\Local\Temp\4DD2.tmp

Filesize
42KB

MD5
5adac7274b6f65c565c7e8bf5f5d0876

SHA1
096d75bc635db8f6e6887540c644a42e221292be

SHA256
53a55cdac071b2d66be5f7856792c029f5fa6e369003d0c71511eb6076346695

SHA512
b9ddbbfddf9a8d7d11fa69d7230266d87e0f6a232e3578c66a63f14e134527e68b9d7983cf5acc2261b6692d81040b0bdfba9b9e19a0426bf76f187b95bb793e

Download Submit
C:\Users\Admin\AppData\Local\Temp\4DD2.tmp

Filesize
19KB

MD5
b074d4b1130d3c911605e38dfe6d4f77

SHA1
c37a5a373a7b7f3250ca67ae3773a07566e15480

SHA256
cb77bc592aaa2b4e61d8e62e4874e6b1a2a45a3385859485225956bc4da0f1e5

SHA512
b9a5c9f30c3956066491daa73cea5a8c18c31068706b1a83f3be5b54360cec5bee598193f24e7e184ee78e7cf8175c80fd1633ecc717433667370da90512cb37

Download Submit
C:\Users\Admin\AppData\Local\Temp\4E20.tmp

Filesize
486KB

MD5
4f860bfd2ebc820340502c68b221c37c

SHA1
c8f8483def9d705460392cc879a74bd9f9eaa826

SHA256
ba49d35ba172ab2c01f8352b1da53f72171dbe44c07d54860c75c3bc180281f5

SHA512
32483baa46cfd30add24c5566c9773c62c0053a3e64ae75f5d31a9b7935ad2c267229cc197b0aa97a22cd9fdd80241a7cfab2bfadf7929a32bdab390c68c8fe9

Download Submit
C:\Users\Admin\AppData\Local\Temp\4E20.tmp

Filesize
89KB

MD5
5b8b489d1ad99a43e857ef9aaa476b38

SHA1
2352271d5ac0d0369fca653a6f42f69e382cd76e

SHA256
3efc374d78497a0b4cc233849fd39bd57e854096d01636266e1817abc58368d7

SHA512
e19916aa207d0b1e26920300030835c62e6735d1e1fdc5a2636abf6b65a2fd780d21d4c7b42eb095a3889d50c2a4643cf1710acc99e2063da72def9b524e8db8

Download Submit
C:\Users\Admin\AppData\Local\Temp\4E6E.tmp

Filesize
92KB

MD5
9508f0a03b873df2e238b9ed667ec563

SHA1
c65f85f219b0ce6a6f8779d37ddf67b57f6ca061

SHA256
ce014192893b902d3a2959cb4ab7cfc333569ca89e8c05acf662f041db39d6dc

SHA512
fda1afa5f3e667cb9bcd78d40aad10ade25831ce7165e97031c90259e2384bc1853df671e7f1013073eca871673559e95f662a638d9e5e2fbbe9f1fd482309a5

Download Submit
C:\Users\Admin\AppData\Local\Temp\4E6E.tmp

Filesize
27KB

MD5
9667babd7749fd7594d015088f500b40

SHA1
81b25211ab8c43e24d2e4cfe52142e88d220bddd

SHA256
0ac8dd568774f1895dcfc6995d3d676c2efc1f75a17a5e94b336703c714284b2

SHA512
f2248c3efa4d72964d0f5ce555e3283e04781c5c5f4de588b1dc06e4dc283c596fb44bc9f8eece96ccf193573fe275e9f2ab355ebd20afbf5c3b0b8c876063ff

Download Submit
C:\Users\Admin\AppData\Local\Temp\4EBC.tmp

Filesize
52KB

MD5
53379be8512d92c07cd567b25e2fa734

SHA1
859e008991c91af7a9ce165ff50d0db2ab0bea24

SHA256
db80903201b3cdddcf4c1384bbfa713698940b7bd35d3fe4b4aed814aecdb190

SHA512
72bb7b520d871d9e3168252c8d82cda11cb5ff044f38daac01ae174b34726ae5d3ff23a6ff2105b30b3dace2349af6a42744cfacf743eb0b6a39ee942d819340

Download Submit
C:\Users\Admin\AppData\Local\Temp\4EBC.tmp

Filesize
21KB

MD5
ac604a3c14e87852d09fc4dd851e5614

SHA1
9fa88099596394689d54319146ada65832631544

SHA256
0aba3f5813f845f32bb3fc99216593db83dd481ffe6e7eb1df6fdd9f3419648b

SHA512
d22a0a54a53eeda598760a79f3c6b13dd5f7c965afce96e5ba6cfc1b5ed028c8c468978f1249b93df14fa0fd3dede39534b19ad1fe1f4727ca156304798fd760

Download Submit
C:\Users\Admin\AppData\Local\Temp\4F1A.tmp

Filesize
486KB

MD5
81c09a3dd9ed79c77289d1ee5bb7dea9

SHA1
23e6a1ddd17939b2c773007733d23a5ba0f0ec0e

SHA256
2d57e8ab14d0ecc1c4c82ef501188c770d9bbebbf293c3c52f90c3a19c7937f5

SHA512
a435392a826064e305244e647199b2ef9d118aa4349b1cbb05276398c2b841483bc2df1f562beaf1b8bf6614bf3834e439c948f363026bfd438b199f304714a3

Download Submit
C:\Users\Admin\AppData\Local\Temp\4F78.tmp

Filesize
15KB

MD5
6951b305af2242242ebaad98f8424377

SHA1
c8839c2eaed9cd7273cd9e465b1e5f53181b5dc3

SHA256
abee5ebe2ce806c13d379ff4ede268b20066d4b5a742804d3ab4b60a53b2e95b

SHA512
bee295a598429abacaf456a42175231dca2b53876bb943a5ab38c18c9ad43f56755d24a6f8ed2d2803903d8bef1e8441d664aaf104ad7730439465d66500a6eb

Download Submit
C:\Users\Admin\AppData\Local\Temp\4FD5.tmp

Filesize
15KB

MD5
d77a30e33e6b45ffc3221e061901cf90

SHA1
742841717741ad4df874b97c3a1b62f482727d0f

SHA256
78d64abc4957fb81708d4ff8d139f2b21053400b182bd5097a70d99ccb81daf2

SHA512
207d53e9faa1bbad0f9dfc4bc5b5a20f72c2bc148b7106b3eca247a6d920d153db029d13f5a6609111179ca0102e98d59c948ef1cb82b79f79d372183898c3a7

Download Submit
C:\Users\Admin\AppData\Local\Temp\4FD5.tmp

Filesize
5KB

MD5
39d9dd623694653a817277c29546334e

SHA1
38c2dabaff8e490675c2efb3d4697de995ceb81a

SHA256
40052eaab0f477f0446d7277add5d09f58b378d0029083888ce286988f98f024

SHA512
e017001f13b073298db7b6f63c2fc7ad77964ee4245537adc79d25c341ab9295aae6604024fb3ec644c77a1860c59599dfddf7bbc9630e9b793ef6c7db6c7387

Download Submit
C:\Users\Admin\AppData\Local\Temp\5033.tmp

Filesize
10KB

MD5
01b0200e86be16b706c480ff394143e6

SHA1
f1f75ed01728c3a80e8d457512c3389f57537665

SHA256
fb08a98fc8716a5aa679a3ec4fbbf76fa76cc56032d81197363f252b0578a8bb

SHA512
f8fecc9a908739b57b24e23ea2d6ed7459afd7c4d6f2b03392109bd05b959cfbda80210dc46a0561d220c2f2e154905d326b6d12efd860e82e66ed7348ac6c85

Download Submit
C:\Users\Admin\AppData\Local\Temp\5033.tmp

Filesize
1KB

MD5
f31e39881a1444b996083b94e2397289

SHA1
00353e2d68e5895c48897be2ea99e3ec9024c3a6

SHA256
a49cd3f71b3d9df0108cd69460495fcc12e346904dd50a9dcfb0a36c0695a7d4

SHA512
6f80161d3fdac96cbf5f8ca731cecc30ca1e9fc8aae8729fe2b681978549d055340d4585a6bf3e60633eb1571c72f7db91aabafc9771b96ed045fea4a967a58b

Download Submit
C:\Users\Admin\AppData\Local\Temp\5091.tmp

Filesize
5KB

MD5
49a935c97c0d478a2380fe95ed1b018c

SHA1
359ba022bdae0dbdcc5a938c32f65de7bc3b301c

SHA256
5da34b961342aa1527b6b90223a0147126079a4cb9e63e5c2d5ff42ca768ec09

SHA512
0726acf0b31cf69921263da4368097be2adb2c8184afef27576bcc31dda619c8389b1d1376f466977ca07cd02928b216718e04939a2fa11d32cfd1aa55af9544

Download Submit
C:\Users\Admin\AppData\Local\Temp\5091.tmp

Filesize
5KB

MD5
c62cf56eeac318f20ff3f443389e1cc4

SHA1
4b191a14ab6640be94f045c8565df336a8b0bda9

SHA256
54200551c5b24d58381c96abaa380b1364e81c3f21cd43f01b3baff8c24642c0

SHA512
253d2eef73011519c04a75441233f863b0b9f0af290b3188ecc316d38f8390ef380eb088b781117bae2193c184ff2166318cfaf70633d8b5be00f39be1eb31e3

Download Submit
C:\Users\Admin\AppData\Local\Temp\50DF.tmp

Filesize
486KB

MD5
a2a7e37cbd0e5ba2240525bb6aeb326a

SHA1
c403196fe880a7f35ec585b27b615c12a5099672

SHA256
112ee8dac6cc284dabb58970cb4bac84432e31e5e30f5306ea22965d03246b5a

SHA512
7d3618ff1b6f4e0a38ea8e1aaeeacd306538e0644d366fbe6b6df38ccff52630133765a6ef12bdf71ec064e97611a9e6c46c6dbec9ee1d8724f36374e84096a8

Download Submit
C:\Users\Admin\AppData\Local\Temp\50DF.tmp

Filesize
63KB

MD5
884936ba4dcce9f319454cf74d230b44

SHA1
67be519861377e3c42bd662dbb0180f27e077eb9

SHA256
cc8a43cab010d05144a79bfa9b1d424a531d30481a0ff1049a71068cd4fc3594

SHA512
3c9b077f94869cab035d0ce17c3716f146d0c218b99231a71983ce20afd1592e9fc9a7488e5504a76f75dcb18b1ea9195fd510c1974438b0b62b8e3c8322a84a

Download Submit
C:\Users\Admin\AppData\Local\Temp\512D.tmp

Filesize
74KB

MD5
58a10a56f5e4830ee115849c29d65bb7

SHA1
b523a4ab46efe85e399bd3a5ef94ede216eaefb2

SHA256
cb924266a9ad47b5fb0501738e20f4d007cf585048df3822066c201cdfc382d9

SHA512
f610d0caec61bd02ec8ef948ae1bd1cd0582cb20812d38a7624121be824222306e71fa0d95829077ad4d7ced4be382be65588f659477d2f513a4fe3d05fbb2b1

Download Submit
C:\Users\Admin\AppData\Local\Temp\512D.tmp

Filesize
21KB

MD5
ee7119d19d560af6eccdcbdc19675252

SHA1
0759f7df95383ece856a8fa7f914a799b1b5e194

SHA256
b76ec687bc20e960df575f416fd7686958c99fea901db657bc0240c27f28403a

SHA512
eded80043943a19ec633610c933cdfc5601bdd4a8f426baa2a5739507e867c552311530b56707a957fffe4988b17c14969ee45e76927174eb20f57043066f918

Download Submit
C:\Users\Admin\AppData\Local\Temp\518B.tmp

Filesize
64KB

MD5
762a1229805de6cb788671e700e4d27e

SHA1
89c57c16a3cee89e6e97170e871493674c8c5459

SHA256
8daccec4a07a828e1e9db10641ff37c2aead56e914ab14ca138b89fe8031b63c

SHA512
23f08f1900cd2731dedc775b5c0f4248449895d736e263597c2b2ccd55a9c0827db47c3f88ad9c84d655f1705eb359e5a20b528f16a38caf24bfba150f738577

Download Submit
C:\Users\Admin\AppData\Local\Temp\518B.tmp

Filesize
35KB

MD5
936951e812157ba492b6a7f8c3673d23

SHA1
0b6b142d7c3513cdb8eba169662b13d89facbc8e

SHA256
539da45277444f6d422003be3186a82f92c133c465081d46bf51e2ab8682fce6

SHA512
ec9b536ca5b7a6530f2bdc2448b23d65fe97c5fb46521c43bb90e266146b0ceb17ccd37a3255b56c821c6ee3f96709296e45e1e09ea7b332f1d16097068dc622

Download Submit
C:\Users\Admin\AppData\Local\Temp\51D9.tmp

Filesize
486KB

MD5
afd9005995565e9a6f43540ef40c544e

SHA1
934b33b1064fef44f9186c8fddce1dbf70fe0ddc

SHA256
876264c4740bbc317a8311b659868da2ee91428ffa6024469f449a67e1d54d5e

SHA512
3406c9dbb3ad42b690d895288cb48403fe01b7e82e15936f7c248826a0e2521b04690b4390a7be28822af48099c6e480032b3eae07497cdcc4dbd86fed598993

Download Submit
C:\Users\Admin\AppData\Local\Temp\51D9.tmp

Filesize
91KB

MD5
c2d20232b571a6a7425fdbfc47eb6f0e

SHA1
cf31a130aad729a33222ed077fac38d5085acb4b

SHA256
bdbd0c435bb7a1f008332dd53897210fcdeb1485e61624f93abc938897b1ae4d

SHA512
12ac0345b6975c4c8f891885eff9528af5c7447892a27ba10d6c9500a4d78822b852187e250e895b3e507b69047abf8b3276af517133c55876404aeaf5ccdb57

Download Submit
C:\Users\Admin\AppData\Local\Temp\5227.tmp

Filesize
59KB

MD5
0f3c9470e1fa564f4445465c79ef4236

SHA1
bb56cbd15ecbbe464eb7415685839a807cd7a048

SHA256
9763afe5902a688e7ec5732e408885b1dda5673307487e2ac8edf9d6a66ee647

SHA512
3d6d4a3300d51bead4dc729a956ccc5eb2aa9df315617ef27ff4a494050be3500515d390494a4ee6e6dd64139b6dd0685ec3ae8c7173d99854358a0892a40f45

Download Submit
C:\Users\Admin\AppData\Local\Temp\5227.tmp

Filesize
8KB

MD5
1a08deb20d23499770daaa97b7cda085

SHA1
6af6d4e0830175e1d04be327850b540c1bc6f31c

SHA256
6fb47a34a9c8d839891a7673f0a4e02e56fb633a12e83cd5fcd9c79bec9a107e

SHA512
fd538f4fc7753ffc7bc7634367047a837349c764d6a4a87967c14eaac23dbf794fe73baedc3ddd97d179cf11e1945ed6d8333b940c515464beb050d9ab18d509

Download Submit
C:\Users\Admin\AppData\Local\Temp\5275.tmp

Filesize
61KB

MD5
5b994706f074b102928da90de677aee2

SHA1
66e2ebe1f69ea098bbb27ecaa506483ca558e6a9

SHA256
78775786610f189f9495d81a077316135ea6e94ce345769d8528c9a378c76045

SHA512
c92d6da1e71c0ee5846c86a0e81335cd87a76165f69ba4bc98db3f704f551c91d984509c676e418a448ca3afae72447764663000db6378b3f601eec97212d3a4

Download Submit
C:\Users\Admin\AppData\Local\Temp\5275.tmp

Filesize
38KB

MD5
84d11372ae2e4a7ad264890a6969b3b2

SHA1
1988f940360d1b46982f7886ac472a0d8b71c26b

SHA256
e30851607e30dae4ad63a3baf5e664111b84ad394173c1380dd8805024b8525a

SHA512
47fc2acb271a28edc04f8fe5f3195470b9d5c2d5488fb107e465791665acb4f99974eb24a1e35a7a7d80874c491ddc05afe49b14507033831a44303f78485def

Download Submit
C:\Users\Admin\AppData\Local\Temp\52C3.tmp

Filesize
9KB

MD5
c4d6695a185aa2fe5d7e90291285cf80

SHA1
38f599be501e4320e1d89015372362b9dcdde3e5

SHA256
1b022c28c3a7fa67b3fc9282566268a44b8c68e24bb5cb15671466c9e0db03b5

SHA512
572bb7ad1e4c8c04045d3273ba8c9a4057e24ece5cb4bce60cb5bbcf7777e6d1b572e953c4b755938bc43097654fc9d9d62c536aedf12e2a69a5e673f523b37a

Download Submit
C:\Users\Admin\AppData\Local\Temp\52C3.tmp

Filesize
43KB

MD5
5ffc6701a704e9f47aa8a77dc11d67de

SHA1
27eb41a4ab75ed6b31c44d7db187b19aeae53edd

SHA256
6cea87f3ec8b20adf46e6e3f3bf0d8854156adc30cdfdbd8c2cbabeb51389469

SHA512
43d6fdc90898a2acefe0ae50601b08b5521b17bc2b8737a268a9268988551795410b5e5b6d695024aaca8e109348a51b05d38e0fa4ea73be1c32e9270624b458

Download Submit
C:\Users\Admin\AppData\Local\Temp\5321.tmp

Filesize
35KB

MD5
09c639ba0fe31622989c4b20db8c3b6a

SHA1
2a86eb4eaa543e6cbe86dc8775621d657192f12f

SHA256
2336fa91a4f46a2a53b87fcd171b3e87afcb9c241eb14e79c62f847e10462856

SHA512
e8fffb7d430dbd53e807befbc43ee8996080b69352944086a6637893c045e958aa07ab0be6114ec54f5c3533c48a4ef25a00f52023715dcce07e7f4b8e99e2fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\5321.tmp

Filesize
14KB

MD5
d2a040e8d9cbb8ff40461929e39fefbe

SHA1
370aa2b22e3867f15c0f2b7704f1599fce7adb38

SHA256
322eb15d215327adb9c294af95d99657a5538cf8494fbf2884255f86a657872e

SHA512
ba001a6e086adfde39a9bd9accc047d2f55dd67093109bdf80d5ba3045b0d1fa4c67bd3ce0e275bb1d11c828dfc0ad5bb14972788f8db1a6c8daefd83df30334

Download Submit
C:\Users\Admin\AppData\Local\Temp\537F.tmp

Filesize
65KB

MD5
17b18fc0402853d466ef5a556e1b8b6e

SHA1
4dd3ce921ea6a2a028c26fd4c72f36ad36fa1a68

SHA256
6629db0a16e4bf4a3f25c532c5c06cadcf1260ed6cb221ab54785354bb2769be

SHA512
04c644c5f46815c6db4a9be982167bd6fd221331f1935683527a37e4bb4f982fdadc28458d77cbe1d65f895c4569bd7f9644773c9dc0ad99fa3ea226a8df2746

Download Submit
C:\Users\Admin\AppData\Local\Temp\537F.tmp

Filesize
28KB

MD5
2244b9f0c6a667eedff0ec5f840bc6a3

SHA1
9da7b89bf8605a2cf5c01510be9eeef07d0466c4

SHA256
e805bea47bbbbfc8ed1ef8d89e21557b487bf5fe3561500407b412ebaf5d2e70

SHA512
5517c2df0134302bc62b1175ae391938285ce99835afc683b0f9fb79be1d3b5ea09c557540d9bccbed783726d7b9e52adcf3c58afac54c1a567c788df866870d

Download Submit
C:\Users\Admin\AppData\Local\Temp\53DD.tmp

Filesize
57KB

MD5
4db61745a9564fae8d9784986bd5e168

SHA1
dda66f20bdae60d925f9efaec02d94fe7ac68c4f

SHA256
54c389a8a659a1ed938a1f7c284be9628bca388268f00be367accb5e4573e0d6

SHA512
18634fc571d3c32e02932a09f0b9ff8ff7d7ba122bdc3217a7abd278c5284c007e9ada67dc81f0a80bc54b0601a0c4b0f48395be420fb9a6a8844a18c3166983

Download Submit
C:\Users\Admin\AppData\Local\Temp\53DD.tmp

Filesize
45KB

MD5
8882a9478bc5a662862ddaaa2ea6e461

SHA1
afb731dc13364003a05ddfc8e13c2abb80d3c694

SHA256
cf8b931618154ee09bb14d8eb85c3de5b27e276d33af91c657d87d6174ea68f3

SHA512
d862c7a4db984d2e0be8ec3ddeb8b09004d72ef69ffde5610641bfbf663afadcfc0850fed12a23b12e5639226f2894ab59a2a623e148384b9c0ca8d47398cf67

Download Submit
C:\Users\Admin\AppData\Local\Temp\542B.tmp

Filesize
10KB

MD5
da40528bdca36af17376acacbf900ff6

SHA1
6dd959e9625405daa5c416fff35148526150d503

SHA256
c88bda77231b5d7892dd3701396d5719f2ff1499bd8f3f71cdfad8fb01c3f26d

SHA512
d4264c4665f51dca73ca71a107a7e197bdab31889c5276ac272bcd6dd4c42ff54305d2c00f3c0577892a8341c172d5d0d79fed9d060e5bb38d8a4166167b99b3

Download Submit
C:\Users\Admin\AppData\Local\Temp\5479.tmp

Filesize
177KB

MD5
07bff125bdc8765c55309dc710d91f2c

SHA1
047b4de758e2a9ad83142d5e46142620c5f7f14f

SHA256
aa67c09d10cb4059daf5e6bae3e850b4dc867cc1f3ecb0c33864a219d8135779

SHA512
ef49a14d90a2bf8aaea3874b326fe62b2c94654be6117ebbdafd319d8e09b2a2b45afa592c9685ab061e22d6c33061a6116d83a1568714b8d9a9f048def78ba5

Download Submit
C:\Users\Admin\AppData\Local\Temp\5479.tmp

Filesize
34KB

MD5
4243a77deaa64213b114bc849122efac

SHA1
336def4db9f662b7f2f89cd73e5f4bb03197c2cc

SHA256
49fe8380d45d7259bb9acd85f2712c3b7afba568e3daec92e206ca6ad87e6f22

SHA512
9deee78b20da1802f68fda173bd4b2974e7c1a35303abacf0a62eae3c49e61016319bc711471c8e4be0e272833faf0a9df5e06f6a28dd8d86a12a4be0c95f72e

Download Submit
C:\Users\Admin\AppData\Local\Temp\54C7.tmp

Filesize
30KB

MD5
49e309bfdd70f18d26196bd3959b3c8a

SHA1
36acd9b5baabbef9fe36b75b7d47bac0384c1cc6

SHA256
fe567b4e537a3cdb254a221054c3e3778397629256cccccb0f0de4eb2471c4c6

SHA512
4780d0f5bc6636ed9be417fef2b3616e97922d4c090665f6d6ee253a01ebc4b6e5c7eafed0e459830a4480ee9e8635f278e2b186ad01df2fec6c9882f934e118

Download Submit
C:\Users\Admin\AppData\Local\Temp\54C7.tmp

Filesize
20KB

MD5
7c2abad8d3531cb900db7f419febceb6

SHA1
5c3074a80046005d2974b00d7bc8e90d7bd7479e

SHA256
32e5103ceff034f608ae5f1589bea84bffe49f21393b42006db955e6fe97521d

SHA512
a2a97ea0d195e644a48f1531d24d9f96c20e8056d83200b524b6d236360b24d2f288a4aed9a9788d1e8f1dc1bc382f9802498bfd62f41049921a63bf3f006e09

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads