6423241eeda8f8c1fdd950f3edee5d103f737a5293283d37d45be265bebfc35a

Analysis

max time kernel
150s
max time network
149s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
23-01-2024 20:43

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2024-01-23_0c9027312a8556c9da939797977e9d5f_mafia.exe
Size

488KB
MD5

0c9027312a8556c9da939797977e9d5f
SHA1

9619f2a4c791673a8ed5bac90fec310a373cab02
SHA256

6423241eeda8f8c1fdd950f3edee5d103f737a5293283d37d45be265bebfc35a
SHA512

bc908f549657c72addb6d1563d8ddfb2a7de6e5ad1be8946e9a6930d8492bb551fa38d2d44cf1cfa4b0fd0c5c67c59da516e01f89f3f413940a5f04bf71cba79
SSDEEP

6144:Sorf3lPvovsgZnqG2C7mOTeiLfD7lDXKX6Gt8o6tquY7nIwunVm68EQEPO8obCRt:/U5rCOTeiDFXM6g8oz97XAkB/DUKaNZ

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
3532	4371.tmp
116	43CF.tmp
2696	441D.tmp
1608	446B.tmp
4472	8C32.tmp
5876	4527.tmp
2720	4575.tmp
3900	45D3.tmp
1064	4621.tmp
4876	467F.tmp
4908	46CD.tmp
5540	471B.tmp
4008	4769.tmp
3728	47B7.tmp
2896	4815.tmp
5228	4863.tmp
5364	470.tmp
3828	48FF.tmp
5208	494D.tmp
4148	499C.tmp
4900	49EA.tmp
5212	693.tmp
4020	4AA5.tmp
5016	4AF3.tmp
5052	4B41.tmp
4308	4B90.tmp
688	7DB.tmp
6052	4C3B.tmp
5476	4C8A.tmp
1048	A9A.tmp
2724	B55.tmp
5676	4D84.tmp
4680	4DC2.tmp
4840	4E10.tmp
6100	4E5E.tmp
4136	B5C3.tmp
5732	EE67.tmp
1688	8201.tmp
2852	82EB.tmp
5920	4FF5.tmp
3176	F08A.tmp
464	B824.tmp
2084	50DF.tmp
2032	512D.tmp
1764	1076.tmp
3052	51C9.tmp
3516	10B4.tmp
4836	9E92.tmp
5164	52B4.tmp
1612	5311.tmp
5860	6DDD.tmp
5568	53AE.tmp
4944	53FC.tmp
1972	F4D0.tmp
5768	F5BA.tmp
2884	54E6.tmp
5084	5534.tmp
5072	5582.tmp
5924	14CB.tmp
4756	561F.tmp
2552	1567.tmp
4152	56BB.tmp
4832	5709.tmp
4208	339E.tmp

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1212 wrote to memory of 3532	1212	591C.tmp	656
PID 1212 wrote to memory of 3532	1212	591C.tmp	656
PID 1212 wrote to memory of 3532	1212	591C.tmp	656
PID 3532 wrote to memory of 116	3532	4371.tmp	655
PID 3532 wrote to memory of 116	3532	4371.tmp	655
PID 3532 wrote to memory of 116	3532	4371.tmp	655
PID 116 wrote to memory of 2696	116	43CF.tmp	654
PID 116 wrote to memory of 2696	116	43CF.tmp	654
PID 116 wrote to memory of 2696	116	43CF.tmp	654
PID 2696 wrote to memory of 1608	2696	441D.tmp	653
PID 2696 wrote to memory of 1608	2696	441D.tmp	653
PID 2696 wrote to memory of 1608	2696	441D.tmp	653
PID 1608 wrote to memory of 4472	1608	446B.tmp	534
PID 1608 wrote to memory of 4472	1608	446B.tmp	534
PID 1608 wrote to memory of 4472	1608	446B.tmp	534
PID 4472 wrote to memory of 5876	4472	8C32.tmp	652
PID 4472 wrote to memory of 5876	4472	8C32.tmp	652
PID 4472 wrote to memory of 5876	4472	8C32.tmp	652
PID 5876 wrote to memory of 2720	5876	4527.tmp	651
PID 5876 wrote to memory of 2720	5876	4527.tmp	651
PID 5876 wrote to memory of 2720	5876	4527.tmp	651
PID 2720 wrote to memory of 3900	2720	4575.tmp	650
PID 2720 wrote to memory of 3900	2720	4575.tmp	650
PID 2720 wrote to memory of 3900	2720	4575.tmp	650
PID 3900 wrote to memory of 1064	3900	45D3.tmp	649
PID 3900 wrote to memory of 1064	3900	45D3.tmp	649
PID 3900 wrote to memory of 1064	3900	45D3.tmp	649
PID 1064 wrote to memory of 4876	1064	4621.tmp	648
PID 1064 wrote to memory of 4876	1064	4621.tmp	648
PID 1064 wrote to memory of 4876	1064	4621.tmp	648
PID 4876 wrote to memory of 4908	4876	467F.tmp	647
PID 4876 wrote to memory of 4908	4876	467F.tmp	647
PID 4876 wrote to memory of 4908	4876	467F.tmp	647
PID 4908 wrote to memory of 5540	4908	46CD.tmp	646
PID 4908 wrote to memory of 5540	4908	46CD.tmp	646
PID 4908 wrote to memory of 5540	4908	46CD.tmp	646
PID 5540 wrote to memory of 4008	5540	471B.tmp	18
PID 5540 wrote to memory of 4008	5540	471B.tmp	18
PID 5540 wrote to memory of 4008	5540	471B.tmp	18
PID 4008 wrote to memory of 3728	4008	4769.tmp	645
PID 4008 wrote to memory of 3728	4008	4769.tmp	645
PID 4008 wrote to memory of 3728	4008	4769.tmp	645
PID 3728 wrote to memory of 2896	3728	47B7.tmp	644
PID 3728 wrote to memory of 2896	3728	47B7.tmp	644
PID 3728 wrote to memory of 2896	3728	47B7.tmp	644
PID 2896 wrote to memory of 5228	2896	4815.tmp	643
PID 2896 wrote to memory of 5228	2896	4815.tmp	643
PID 2896 wrote to memory of 5228	2896	4815.tmp	643
PID 5228 wrote to memory of 5364	5228	4863.tmp	736
PID 5228 wrote to memory of 5364	5228	4863.tmp	736
PID 5228 wrote to memory of 5364	5228	4863.tmp	736
PID 5364 wrote to memory of 3828	5364	470.tmp	641
PID 5364 wrote to memory of 3828	5364	470.tmp	641
PID 5364 wrote to memory of 3828	5364	470.tmp	641
PID 3828 wrote to memory of 5208	3828	48FF.tmp	640
PID 3828 wrote to memory of 5208	3828	48FF.tmp	640
PID 3828 wrote to memory of 5208	3828	48FF.tmp	640
PID 5208 wrote to memory of 4148	5208	494D.tmp	639
PID 5208 wrote to memory of 4148	5208	494D.tmp	639
PID 5208 wrote to memory of 4148	5208	494D.tmp	639
PID 4148 wrote to memory of 4900	4148	499C.tmp	638
PID 4148 wrote to memory of 4900	4148	499C.tmp	638
PID 4148 wrote to memory of 4900	4148	499C.tmp	638
PID 4900 wrote to memory of 5212	4900	49EA.tmp	743

C:\Users\Admin\AppData\Local\Temp\2024-01-23_0c9027312a8556c9da939797977e9d5f_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-23_0c9027312a8556c9da939797977e9d5f_mafia.exe"
1⤵
PID:1212
- C:\Users\Admin\AppData\Local\Temp\596A.tmp
  "C:\Users\Admin\AppData\Local\Temp\596A.tmp"
  2⤵
  PID:4896
- - C:\Users\Admin\AppData\Local\Temp\59B9.tmp
    "C:\Users\Admin\AppData\Local\Temp\59B9.tmp"
    3⤵
    PID:1300
  - - C:\Users\Admin\AppData\Local\Temp\5A07.tmp
      "C:\Users\Admin\AppData\Local\Temp\5A07.tmp"
      4⤵
      PID:3532
    - - C:\Users\Admin\AppData\Local\Temp\5A55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A55.tmp"
        5⤵
        
        PID:4512
      - C:\Users\Admin\AppData\Local\Temp\5AA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5AA3.tmp"
        6⤵
        
        PID:4940
      - C:\Users\Admin\AppData\Local\Temp\76B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76B2.tmp"
        6⤵
        
        PID:4940
        
        C:\Users\Admin\AppData\Local\Temp\7700.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7700.tmp"
        7⤵
        
        PID:1608
        
        C:\Users\Admin\AppData\Local\Temp\774E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\774E.tmp"
        8⤵
        
        PID:2696
        
        C:\Users\Admin\AppData\Local\Temp\779C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\779C.tmp"
        9⤵
        
        PID:3304
    - - C:\Users\Admin\AppData\Local\Temp\A681.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A681.tmp"
        5⤵
        
        PID:1932
      - C:\Users\Admin\AppData\Local\Temp\A6CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A6CF.tmp"
        6⤵
        
        PID:4144
        
        C:\Users\Admin\AppData\Local\Temp\A71D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A71D.tmp"
        7⤵
        
        PID:2888
        
        C:\Users\Admin\AppData\Local\Temp\C302.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C302.tmp"
        8⤵
        
        PID:1104
        
        C:\Users\Admin\AppData\Local\Temp\C350.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C350.tmp"
        9⤵
        
        PID:4632
        
        C:\Users\Admin\AppData\Local\Temp\C39E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C39E.tmp"
        10⤵
        
        PID:3160
    - - C:\Users\Admin\AppData\Local\Temp\C227.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C227.tmp"
        5⤵
        
        PID:1932
      - C:\Users\Admin\AppData\Local\Temp\C265.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C265.tmp"
        6⤵
        
        PID:4144
        
        C:\Users\Admin\AppData\Local\Temp\C2B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C2B4.tmp"
        7⤵
        
        PID:2888
  - - C:\Users\Admin\AppData\Local\Temp\C0A0.tmp
      "C:\Users\Admin\AppData\Local\Temp\C0A0.tmp"
      4⤵
      PID:2856
    - - C:\Users\Admin\AppData\Local\Temp\C0EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0EE.tmp"
        5⤵
        
        PID:3296
      - C:\Users\Admin\AppData\Local\Temp\C13D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C13D.tmp"
        6⤵
        
        PID:884
- C:\Users\Admin\AppData\Local\Temp\72BF.tmp
  "C:\Users\Admin\AppData\Local\Temp\72BF.tmp"
  2⤵
  PID:816
- - C:\Users\Admin\AppData\Local\Temp\730D.tmp
    "C:\Users\Admin\AppData\Local\Temp\730D.tmp"
    3⤵
    PID:1784
  - - C:\Users\Admin\AppData\Local\Temp\735B.tmp
      "C:\Users\Admin\AppData\Local\Temp\735B.tmp"
      4⤵
      PID:2700
    - - C:\Users\Admin\AppData\Local\Temp\73A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73A9.tmp"
        5⤵
        
        PID:1928
      - C:\Users\Admin\AppData\Local\Temp\73F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73F7.tmp"
        6⤵
        
        PID:2696
        
        C:\Users\Admin\AppData\Local\Temp\7445.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7445.tmp"
        7⤵
        
        PID:2556
        
        C:\Users\Admin\AppData\Local\Temp\7494.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7494.tmp"
        8⤵
        
        PID:1608
        
        C:\Users\Admin\AppData\Local\Temp\FBA6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FBA6.tmp"
        9⤵
        
        PID:2716
        
        C:\Users\Admin\AppData\Local\Temp\FBF4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FBF4.tmp"
        10⤵
        
        PID:2556
        
        C:\Users\Admin\AppData\Local\Temp\FC42.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC42.tmp"
        11⤵
        
        PID:2156
        
        C:\Users\Admin\AppData\Local\Temp\446B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\446B.tmp"
        7⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1608

C:\Users\Admin\AppData\Local\Temp\44C9.tmp
"C:\Users\Admin\AppData\Local\Temp\44C9.tmp"
1⤵
PID:4472
- C:\Users\Admin\AppData\Local\Temp\8C81.tmp
  "C:\Users\Admin\AppData\Local\Temp\8C81.tmp"
  2⤵
  PID:3160
- - C:\Users\Admin\AppData\Local\Temp\8CCF.tmp
    "C:\Users\Admin\AppData\Local\Temp\8CCF.tmp"
    3⤵
    PID:1352
- - C:\Users\Admin\AppData\Local\Temp\C3EC.tmp
    "C:\Users\Admin\AppData\Local\Temp\C3EC.tmp"
    3⤵
    PID:5288
  - - C:\Users\Admin\AppData\Local\Temp\C43A.tmp
      "C:\Users\Admin\AppData\Local\Temp\C43A.tmp"
      4⤵
      PID:4480
    - - C:\Users\Admin\AppData\Local\Temp\C488.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C488.tmp"
        5⤵
        
        PID:4220
      - C:\Users\Admin\AppData\Local\Temp\C4D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4D6.tmp"
        6⤵
        
        PID:4876
        
        C:\Users\Admin\AppData\Local\Temp\C525.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C525.tmp"
        7⤵
        
        PID:4164
        
        C:\Users\Admin\AppData\Local\Temp\C573.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C573.tmp"
        8⤵
        
        PID:5612
        
        C:\Users\Admin\AppData\Local\Temp\46CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46CD.tmp"
        7⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4908
      - C:\Users\Admin\AppData\Local\Temp\5AAE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5AAE.tmp"
        6⤵
        
        PID:5792
        
        C:\Users\Admin\AppData\Local\Temp\5B0C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B0C.tmp"
        7⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\5B5A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B5A.tmp"
        8⤵
        
        PID:4164
        
        C:\Users\Admin\AppData\Local\Temp\5BA8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5BA8.tmp"
        9⤵
        
        PID:5232
        
        C:\Users\Admin\AppData\Local\Temp\5BF6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5BF6.tmp"
        10⤵
        
        PID:2760
  - - C:\Users\Admin\AppData\Local\Temp\A8A4.tmp
      "C:\Users\Admin\AppData\Local\Temp\A8A4.tmp"
      4⤵
      PID:4480
  - - C:\Users\Admin\AppData\Local\Temp\FDC9.tmp
      "C:\Users\Admin\AppData\Local\Temp\FDC9.tmp"
      4⤵
      PID:1064
    - - C:\Users\Admin\AppData\Local\Temp\FE17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE17.tmp"
        5⤵
        
        PID:116
      - C:\Users\Admin\AppData\Local\Temp\441D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\441D.tmp"
        6⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2696
    - - C:\Users\Admin\AppData\Local\Temp\467F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\467F.tmp"
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4876

C:\Users\Admin\AppData\Local\Temp\4769.tmp
"C:\Users\Admin\AppData\Local\Temp\4769.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4008
- C:\Users\Admin\AppData\Local\Temp\47B7.tmp
  "C:\Users\Admin\AppData\Local\Temp\47B7.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:3728

C:\Users\Admin\AppData\Local\Temp\4E10.tmp
"C:\Users\Admin\AppData\Local\Temp\4E10.tmp"
1⤵
- Executes dropped EXE
PID:4840
- C:\Users\Admin\AppData\Local\Temp\4E5E.tmp
  "C:\Users\Admin\AppData\Local\Temp\4E5E.tmp"
  2⤵
  - Executes dropped EXE
  PID:6100
- - C:\Users\Admin\AppData\Local\Temp\4EAC.tmp
    "C:\Users\Admin\AppData\Local\Temp\4EAC.tmp"
    3⤵
    PID:4136
  - - C:\Users\Admin\AppData\Local\Temp\4EFB.tmp
      "C:\Users\Admin\AppData\Local\Temp\4EFB.tmp"
      4⤵
      PID:5732
    - - C:\Users\Admin\AppData\Local\Temp\4F58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F58.tmp"
        5⤵
        
        PID:1688

C:\Users\Admin\AppData\Local\Temp\4FA6.tmp
"C:\Users\Admin\AppData\Local\Temp\4FA6.tmp"
1⤵
PID:2852

C:\Users\Admin\AppData\Local\Temp\5043.tmp
"C:\Users\Admin\AppData\Local\Temp\5043.tmp"
1⤵
PID:3176
- C:\Users\Admin\AppData\Local\Temp\5091.tmp
  "C:\Users\Admin\AppData\Local\Temp\5091.tmp"
  2⤵
  PID:464
- - C:\Users\Admin\AppData\Local\Temp\50DF.tmp
    "C:\Users\Admin\AppData\Local\Temp\50DF.tmp"
    3⤵
    - Executes dropped EXE
    PID:2084

C:\Users\Admin\AppData\Local\Temp\512D.tmp
"C:\Users\Admin\AppData\Local\Temp\512D.tmp"
1⤵
- Executes dropped EXE
PID:2032
- C:\Users\Admin\AppData\Local\Temp\517B.tmp
  "C:\Users\Admin\AppData\Local\Temp\517B.tmp"
  2⤵
  PID:1764

C:\Users\Admin\AppData\Local\Temp\51C9.tmp
"C:\Users\Admin\AppData\Local\Temp\51C9.tmp"
1⤵
- Executes dropped EXE
PID:3052
- C:\Users\Admin\AppData\Local\Temp\5217.tmp
  "C:\Users\Admin\AppData\Local\Temp\5217.tmp"
  2⤵
  PID:3516

C:\Users\Admin\AppData\Local\Temp\5266.tmp
"C:\Users\Admin\AppData\Local\Temp\5266.tmp"
1⤵
PID:4836
- C:\Users\Admin\AppData\Local\Temp\9EE0.tmp
  "C:\Users\Admin\AppData\Local\Temp\9EE0.tmp"
  2⤵
  PID:3720
- - C:\Users\Admin\AppData\Local\Temp\9F2E.tmp
    "C:\Users\Admin\AppData\Local\Temp\9F2E.tmp"
    3⤵
    PID:5056
  - - C:\Users\Admin\AppData\Local\Temp\9F7C.tmp
      "C:\Users\Admin\AppData\Local\Temp\9F7C.tmp"
      4⤵
      PID:5484
    - - C:\Users\Admin\AppData\Local\Temp\9FCA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FCA.tmp"
        5⤵
        
        PID:4116
      - C:\Users\Admin\AppData\Local\Temp\6DDD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DDD.tmp"
        6⤵
        Executes dropped EXE
        
        PID:5860
    - - C:\Users\Admin\AppData\Local\Temp\6D8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D8F.tmp"
        5⤵
        
        PID:4116

C:\Users\Admin\AppData\Local\Temp\5311.tmp
"C:\Users\Admin\AppData\Local\Temp\5311.tmp"
1⤵
- Executes dropped EXE
PID:1612
- C:\Users\Admin\AppData\Local\Temp\5360.tmp
  "C:\Users\Admin\AppData\Local\Temp\5360.tmp"
  2⤵
  PID:5860
- - C:\Users\Admin\AppData\Local\Temp\53AE.tmp
    "C:\Users\Admin\AppData\Local\Temp\53AE.tmp"
    3⤵
    - Executes dropped EXE
    PID:5568
  - - C:\Users\Admin\AppData\Local\Temp\53FC.tmp
      "C:\Users\Admin\AppData\Local\Temp\53FC.tmp"
      4⤵
      Executes dropped EXE
      PID:4944
- - C:\Users\Admin\AppData\Local\Temp\A103.tmp
    "C:\Users\Admin\AppData\Local\Temp\A103.tmp"
    3⤵
    PID:5812
  - - C:\Users\Admin\AppData\Local\Temp\A151.tmp
      "C:\Users\Admin\AppData\Local\Temp\A151.tmp"
      4⤵
      PID:5600
    - - C:\Users\Admin\AppData\Local\Temp\A19F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A19F.tmp"
        5⤵
        
        PID:5400
      - C:\Users\Admin\AppData\Local\Temp\A1ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A1ED.tmp"
        6⤵
        
        PID:4128

C:\Users\Admin\AppData\Local\Temp\544A.tmp
"C:\Users\Admin\AppData\Local\Temp\544A.tmp"
1⤵
PID:1972
- C:\Users\Admin\AppData\Local\Temp\5498.tmp
  "C:\Users\Admin\AppData\Local\Temp\5498.tmp"
  2⤵
  PID:5768

C:\Users\Admin\AppData\Local\Temp\5534.tmp
"C:\Users\Admin\AppData\Local\Temp\5534.tmp"
1⤵
- Executes dropped EXE
PID:5084
- C:\Users\Admin\AppData\Local\Temp\5582.tmp
  "C:\Users\Admin\AppData\Local\Temp\5582.tmp"
  2⤵
  - Executes dropped EXE
  PID:5072
- - C:\Users\Admin\AppData\Local\Temp\55D1.tmp
    "C:\Users\Admin\AppData\Local\Temp\55D1.tmp"
    3⤵
    PID:5924

C:\Users\Admin\AppData\Local\Temp\566D.tmp
"C:\Users\Admin\AppData\Local\Temp\566D.tmp"
1⤵
PID:2552
- C:\Users\Admin\AppData\Local\Temp\56BB.tmp
  "C:\Users\Admin\AppData\Local\Temp\56BB.tmp"
  2⤵
  - Executes dropped EXE
  PID:4152
- - C:\Users\Admin\AppData\Local\Temp\5709.tmp
    "C:\Users\Admin\AppData\Local\Temp\5709.tmp"
    3⤵
    - Executes dropped EXE
    PID:4832

C:\Users\Admin\AppData\Local\Temp\5757.tmp
"C:\Users\Admin\AppData\Local\Temp\5757.tmp"
1⤵
PID:4208
- C:\Users\Admin\AppData\Local\Temp\5796.tmp
  "C:\Users\Admin\AppData\Local\Temp\5796.tmp"
  2⤵
  PID:4996

C:\Users\Admin\AppData\Local\Temp\57E4.tmp
"C:\Users\Admin\AppData\Local\Temp\57E4.tmp"
1⤵
PID:4704
- C:\Users\Admin\AppData\Local\Temp\5822.tmp
  "C:\Users\Admin\AppData\Local\Temp\5822.tmp"
  2⤵
  PID:5748
- - C:\Users\Admin\AppData\Local\Temp\5880.tmp
    "C:\Users\Admin\AppData\Local\Temp\5880.tmp"
    3⤵
    PID:4484
  - - C:\Users\Admin\AppData\Local\Temp\58CE.tmp
      "C:\Users\Admin\AppData\Local\Temp\58CE.tmp"
      4⤵
      PID:4528

C:\Users\Admin\AppData\Local\Temp\5AF1.tmp
"C:\Users\Admin\AppData\Local\Temp\5AF1.tmp"
1⤵
PID:920
- C:\Users\Admin\AppData\Local\Temp\5B3F.tmp
  "C:\Users\Admin\AppData\Local\Temp\5B3F.tmp"
  2⤵
  PID:5444
- C:\Users\Admin\AppData\Local\Temp\8B96.tmp
  "C:\Users\Admin\AppData\Local\Temp\8B96.tmp"
  2⤵
  PID:496
- - C:\Users\Admin\AppData\Local\Temp\8BE4.tmp
    "C:\Users\Admin\AppData\Local\Temp\8BE4.tmp"
    3⤵
    PID:2964
  - - C:\Users\Admin\AppData\Local\Temp\DFD1.tmp
      "C:\Users\Admin\AppData\Local\Temp\DFD1.tmp"
      4⤵
      PID:4472
    - - C:\Users\Admin\AppData\Local\Temp\E00F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E00F.tmp"
        5⤵
        
        PID:3644
      - C:\Users\Admin\AppData\Local\Temp\E05D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E05D.tmp"
        6⤵
        
        PID:2720
        
        C:\Users\Admin\AppData\Local\Temp\45D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\45D3.tmp"
        7⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3900
- - C:\Users\Admin\AppData\Local\Temp\588B.tmp
    "C:\Users\Admin\AppData\Local\Temp\588B.tmp"
    3⤵
    PID:2520
  - - C:\Users\Admin\AppData\Local\Temp\58D9.tmp
      "C:\Users\Admin\AppData\Local\Temp\58D9.tmp"
      4⤵
      PID:1808
    - - C:\Users\Admin\AppData\Local\Temp\5927.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5927.tmp"
        5⤵
        
        PID:5132
- C:\Users\Admin\AppData\Local\Temp\DF44.tmp
  "C:\Users\Admin\AppData\Local\Temp\DF44.tmp"
  2⤵
  PID:1808
- - C:\Users\Admin\AppData\Local\Temp\DF83.tmp
    "C:\Users\Admin\AppData\Local\Temp\DF83.tmp"
    3⤵
    PID:2964
  - - C:\Users\Admin\AppData\Local\Temp\8C32.tmp
      "C:\Users\Admin\AppData\Local\Temp\8C32.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:4472
    - - C:\Users\Admin\AppData\Local\Temp\4527.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4527.tmp"
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:5876

C:\Users\Admin\AppData\Local\Temp\5BCC.tmp
"C:\Users\Admin\AppData\Local\Temp\5BCC.tmp"
1⤵
PID:3160
- C:\Users\Admin\AppData\Local\Temp\5C1A.tmp
  "C:\Users\Admin\AppData\Local\Temp\5C1A.tmp"
  2⤵
  PID:2024

C:\Users\Admin\AppData\Local\Temp\5CB6.tmp
"C:\Users\Admin\AppData\Local\Temp\5CB6.tmp"
1⤵
PID:2836
- C:\Users\Admin\AppData\Local\Temp\5D04.tmp
  "C:\Users\Admin\AppData\Local\Temp\5D04.tmp"
  2⤵
  PID:5856
- - C:\Users\Admin\AppData\Local\Temp\5D52.tmp
    "C:\Users\Admin\AppData\Local\Temp\5D52.tmp"
    3⤵
    PID:1500

C:\Users\Admin\AppData\Local\Temp\5DEF.tmp
"C:\Users\Admin\AppData\Local\Temp\5DEF.tmp"
1⤵
PID:5816
- C:\Users\Admin\AppData\Local\Temp\5E3D.tmp
  "C:\Users\Admin\AppData\Local\Temp\5E3D.tmp"
  2⤵
  PID:3616
- - C:\Users\Admin\AppData\Local\Temp\5E8B.tmp
    "C:\Users\Admin\AppData\Local\Temp\5E8B.tmp"
    3⤵
    PID:1180

C:\Users\Admin\AppData\Local\Temp\5F27.tmp
"C:\Users\Admin\AppData\Local\Temp\5F27.tmp"
1⤵
PID:2224
- C:\Users\Admin\AppData\Local\Temp\5F75.tmp
  "C:\Users\Admin\AppData\Local\Temp\5F75.tmp"
  2⤵
  PID:3000
- - C:\Users\Admin\AppData\Local\Temp\5FC3.tmp
    "C:\Users\Admin\AppData\Local\Temp\5FC3.tmp"
    3⤵
    PID:5644
  - - C:\Users\Admin\AppData\Local\Temp\6012.tmp
      "C:\Users\Admin\AppData\Local\Temp\6012.tmp"
      4⤵
      PID:4576
  - - C:\Users\Admin\AppData\Local\Temp\E4F1.tmp
      "C:\Users\Admin\AppData\Local\Temp\E4F1.tmp"
      4⤵
      PID:5652
    - - C:\Users\Admin\AppData\Local\Temp\E53F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E53F.tmp"
        5⤵
        
        PID:2452
      - C:\Users\Admin\AppData\Local\Temp\E58D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E58D.tmp"
        6⤵
        
        PID:5200
        
        C:\Users\Admin\AppData\Local\Temp\E5DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5DC.tmp"
        7⤵
        
        PID:1016
        
        C:\Users\Admin\AppData\Local\Temp\E62A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E62A.tmp"
        8⤵
        
        PID:1052
        
        C:\Users\Admin\AppData\Local\Temp\E678.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E678.tmp"
        9⤵
        
        PID:5384
        
        C:\Users\Admin\AppData\Local\Temp\E6D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E6D6.tmp"
        10⤵
        
        PID:5664
        
        C:\Users\Admin\AppData\Local\Temp\E724.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E724.tmp"
        11⤵
        
        PID:5024
        
        C:\Users\Admin\AppData\Local\Temp\7A8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A8F.tmp"
        12⤵
        
        PID:5404
        
        C:\Users\Admin\AppData\Local\Temp\4050.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4050.tmp"
        10⤵
        
        PID:2052
        
        C:\Users\Admin\AppData\Local\Temp\409E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\409E.tmp"
        11⤵
        
        PID:2356
        
        C:\Users\Admin\AppData\Local\Temp\40EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\40EC.tmp"
        12⤵
        
        PID:4960
        
        C:\Users\Admin\AppData\Local\Temp\413A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\413A.tmp"
        13⤵
        
        PID:484
        
        C:\Users\Admin\AppData\Local\Temp\4179.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4179.tmp"
        14⤵
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\41B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\41B7.tmp"
        15⤵
        
        PID:5228
        
        C:\Users\Admin\AppData\Local\Temp\4205.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4205.tmp"
        16⤵
        
        PID:2772
        
        C:\Users\Admin\AppData\Local\Temp\4253.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4253.tmp"
        17⤵
        
        PID:1084
        
        C:\Users\Admin\AppData\Local\Temp\42A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42A2.tmp"
        18⤵
        
        PID:364
        
        C:\Users\Admin\AppData\Local\Temp\42F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42F0.tmp"
        19⤵
        
        PID:5200
        
        C:\Users\Admin\AppData\Local\Temp\433E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\433E.tmp"
        20⤵
        
        PID:2768
        
        C:\Users\Admin\AppData\Local\Temp\438C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\438C.tmp"
        21⤵
        
        PID:5352
        
        C:\Users\Admin\AppData\Local\Temp\43DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\43DA.tmp"
        22⤵
        
        PID:2304
- C:\Users\Admin\AppData\Local\Temp\900B.tmp
  "C:\Users\Admin\AppData\Local\Temp\900B.tmp"
  2⤵
  PID:4180
- - C:\Users\Admin\AppData\Local\Temp\9059.tmp
    "C:\Users\Admin\AppData\Local\Temp\9059.tmp"
    3⤵
    PID:960
  - - C:\Users\Admin\AppData\Local\Temp\90A7.tmp
      "C:\Users\Admin\AppData\Local\Temp\90A7.tmp"
      4⤵
      PID:3008
    - - C:\Users\Admin\AppData\Local\Temp\7976.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7976.tmp"
        5⤵
        
        PID:2896
      - C:\Users\Admin\AppData\Local\Temp\4863.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4863.tmp"
        6⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:5228

C:\Users\Admin\AppData\Local\Temp\6060.tmp
"C:\Users\Admin\AppData\Local\Temp\6060.tmp"
1⤵
PID:5200
- C:\Users\Admin\AppData\Local\Temp\60AE.tmp
  "C:\Users\Admin\AppData\Local\Temp\60AE.tmp"
  2⤵
  PID:2420
- - C:\Users\Admin\AppData\Local\Temp\60FC.tmp
    "C:\Users\Admin\AppData\Local\Temp\60FC.tmp"
    3⤵
    PID:3044
  - - C:\Users\Admin\AppData\Local\Temp\22A6.tmp
      "C:\Users\Admin\AppData\Local\Temp\22A6.tmp"
      4⤵
      PID:4500
    - - C:\Users\Admin\AppData\Local\Temp\22F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\22F4.tmp"
        5⤵
        
        PID:4424
      - C:\Users\Admin\AppData\Local\Temp\2333.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2333.tmp"
        6⤵
        
        PID:5204
        
        C:\Users\Admin\AppData\Local\Temp\2381.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2381.tmp"
        7⤵
        
        PID:5208
        
        C:\Users\Admin\AppData\Local\Temp\23CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23CF.tmp"
        8⤵
        
        PID:5776
        
        C:\Users\Admin\AppData\Local\Temp\240D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\240D.tmp"
        9⤵
        
        PID:4148
        
        C:\Users\Admin\AppData\Local\Temp\244C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\244C.tmp"
        10⤵
        
        PID:868
        
        C:\Users\Admin\AppData\Local\Temp\249A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\249A.tmp"
        11⤵
        
        PID:4928

C:\Users\Admin\AppData\Local\Temp\614A.tmp
"C:\Users\Admin\AppData\Local\Temp\614A.tmp"
1⤵
PID:2356
- C:\Users\Admin\AppData\Local\Temp\6198.tmp
  "C:\Users\Admin\AppData\Local\Temp\6198.tmp"
  2⤵
  PID:5228

C:\Users\Admin\AppData\Local\Temp\6234.tmp
"C:\Users\Admin\AppData\Local\Temp\6234.tmp"
1⤵
PID:3828
- C:\Users\Admin\AppData\Local\Temp\6283.tmp
  "C:\Users\Admin\AppData\Local\Temp\6283.tmp"
  2⤵
  PID:4148
- C:\Users\Admin\AppData\Local\Temp\7BC7.tmp
  "C:\Users\Admin\AppData\Local\Temp\7BC7.tmp"
  2⤵
  PID:4148
- - C:\Users\Admin\AppData\Local\Temp\7C15.tmp
    "C:\Users\Admin\AppData\Local\Temp\7C15.tmp"
    3⤵
    PID:6128
- - C:\Users\Admin\AppData\Local\Temp\62D1.tmp
    "C:\Users\Admin\AppData\Local\Temp\62D1.tmp"
    3⤵
    PID:868
- - C:\Users\Admin\AppData\Local\Temp\49EA.tmp
    "C:\Users\Admin\AppData\Local\Temp\49EA.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:4900

C:\Users\Admin\AppData\Local\Temp\630F.tmp
"C:\Users\Admin\AppData\Local\Temp\630F.tmp"
1⤵
PID:2772
- C:\Users\Admin\AppData\Local\Temp\635D.tmp
  "C:\Users\Admin\AppData\Local\Temp\635D.tmp"
  2⤵
  PID:5320
- - C:\Users\Admin\AppData\Local\Temp\63AB.tmp
    "C:\Users\Admin\AppData\Local\Temp\63AB.tmp"
    3⤵
    PID:1268

C:\Users\Admin\AppData\Local\Temp\63FA.tmp
"C:\Users\Admin\AppData\Local\Temp\63FA.tmp"
1⤵
PID:3104
- C:\Users\Admin\AppData\Local\Temp\6448.tmp
  "C:\Users\Admin\AppData\Local\Temp\6448.tmp"
  2⤵
  PID:4856
- C:\Users\Admin\AppData\Local\Temp\95B8.tmp
  "C:\Users\Admin\AppData\Local\Temp\95B8.tmp"
  2⤵
  PID:4856
- - C:\Users\Admin\AppData\Local\Temp\9606.tmp
    "C:\Users\Admin\AppData\Local\Temp\9606.tmp"
    3⤵
    PID:5492
  - - C:\Users\Admin\AppData\Local\Temp\9654.tmp
      "C:\Users\Admin\AppData\Local\Temp\9654.tmp"
      4⤵
      PID:6076
    - - C:\Users\Admin\AppData\Local\Temp\96A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\96A2.tmp"
        5⤵
        
        PID:3092
- - C:\Users\Admin\AppData\Local\Temp\6496.tmp
    "C:\Users\Admin\AppData\Local\Temp\6496.tmp"
    3⤵
    PID:652

C:\Users\Admin\AppData\Local\Temp\64E4.tmp
"C:\Users\Admin\AppData\Local\Temp\64E4.tmp"
1⤵
PID:6076
- C:\Users\Admin\AppData\Local\Temp\6532.tmp
  "C:\Users\Admin\AppData\Local\Temp\6532.tmp"
  2⤵
  PID:3092
- - C:\Users\Admin\AppData\Local\Temp\6580.tmp
    "C:\Users\Admin\AppData\Local\Temp\6580.tmp"
    3⤵
    PID:3700
- - C:\Users\Admin\AppData\Local\Temp\96F0.tmp
    "C:\Users\Admin\AppData\Local\Temp\96F0.tmp"
    3⤵
    PID:3700
  - - C:\Users\Admin\AppData\Local\Temp\973F.tmp
      "C:\Users\Admin\AppData\Local\Temp\973F.tmp"
      4⤵
      PID:4436
    - - C:\Users\Admin\AppData\Local\Temp\978D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\978D.tmp"
        5⤵
        
        PID:3156
      - C:\Users\Admin\AppData\Local\Temp\97DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\97DB.tmp"
        6⤵
        
        PID:4680
        
        C:\Users\Admin\AppData\Local\Temp\9829.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9829.tmp"
        7⤵
        
        PID:5360
        
        C:\Users\Admin\AppData\Local\Temp\9877.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9877.tmp"
        8⤵
        
        PID:5928
        
        C:\Users\Admin\AppData\Local\Temp\CFB4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFB4.tmp"
        7⤵
        
        PID:1200
        
        C:\Users\Admin\AppData\Local\Temp\D002.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D002.tmp"
        8⤵
        
        PID:5928
        
        C:\Users\Admin\AppData\Local\Temp\D050.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D050.tmp"
        9⤵
        
        PID:3444
        
        C:\Users\Admin\AppData\Local\Temp\D09E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D09E.tmp"
        10⤵
        
        PID:3132
        
        C:\Users\Admin\AppData\Local\Temp\D0EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D0EC.tmp"
        11⤵
        
        PID:1088
  - - C:\Users\Admin\AppData\Local\Temp\65CE.tmp
      "C:\Users\Admin\AppData\Local\Temp\65CE.tmp"
      4⤵
      PID:4436

C:\Users\Admin\AppData\Local\Temp\660D.tmp
"C:\Users\Admin\AppData\Local\Temp\660D.tmp"
1⤵
PID:1048

C:\Users\Admin\AppData\Local\Temp\6699.tmp
"C:\Users\Admin\AppData\Local\Temp\6699.tmp"
1⤵
PID:2412
- C:\Users\Admin\AppData\Local\Temp\66E8.tmp
  "C:\Users\Admin\AppData\Local\Temp\66E8.tmp"
  2⤵
  PID:3128

C:\Users\Admin\AppData\Local\Temp\6784.tmp
"C:\Users\Admin\AppData\Local\Temp\6784.tmp"
1⤵
PID:2432
- C:\Users\Admin\AppData\Local\Temp\67D2.tmp
  "C:\Users\Admin\AppData\Local\Temp\67D2.tmp"
  2⤵
  PID:980

C:\Users\Admin\AppData\Local\Temp\6820.tmp
"C:\Users\Admin\AppData\Local\Temp\6820.tmp"
1⤵
PID:1080
- C:\Users\Admin\AppData\Local\Temp\686E.tmp
  "C:\Users\Admin\AppData\Local\Temp\686E.tmp"
  2⤵
  PID:4668

C:\Users\Admin\AppData\Local\Temp\68FB.tmp
"C:\Users\Admin\AppData\Local\Temp\68FB.tmp"
1⤵
PID:6060

C:\Users\Admin\AppData\Local\Temp\6987.tmp
"C:\Users\Admin\AppData\Local\Temp\6987.tmp"
1⤵
PID:2852

C:\Users\Admin\AppData\Local\Temp\6A14.tmp
"C:\Users\Admin\AppData\Local\Temp\6A14.tmp"
1⤵
PID:5708
- C:\Users\Admin\AppData\Local\Temp\6A62.tmp
  "C:\Users\Admin\AppData\Local\Temp\6A62.tmp"
  2⤵
  PID:1520
- - C:\Users\Admin\AppData\Local\Temp\6AB0.tmp
    "C:\Users\Admin\AppData\Local\Temp\6AB0.tmp"
    3⤵
    PID:464

C:\Users\Admin\AppData\Local\Temp\6B4D.tmp
"C:\Users\Admin\AppData\Local\Temp\6B4D.tmp"
1⤵
PID:2828
- C:\Users\Admin\AppData\Local\Temp\8424.tmp
  "C:\Users\Admin\AppData\Local\Temp\8424.tmp"
  2⤵
  PID:2008
- - C:\Users\Admin\AppData\Local\Temp\8472.tmp
    "C:\Users\Admin\AppData\Local\Temp\8472.tmp"
    3⤵
    PID:4476
  - - C:\Users\Admin\AppData\Local\Temp\84C0.tmp
      "C:\Users\Admin\AppData\Local\Temp\84C0.tmp"
      4⤵
      PID:5168

C:\Users\Admin\AppData\Local\Temp\6BD9.tmp
"C:\Users\Admin\AppData\Local\Temp\6BD9.tmp"
1⤵
PID:3140
- C:\Users\Admin\AppData\Local\Temp\6C18.tmp
  "C:\Users\Admin\AppData\Local\Temp\6C18.tmp"
  2⤵
  PID:888

C:\Users\Admin\AppData\Local\Temp\6C56.tmp
"C:\Users\Admin\AppData\Local\Temp\6C56.tmp"
1⤵
PID:5740

C:\Users\Admin\AppData\Local\Temp\6CF2.tmp
"C:\Users\Admin\AppData\Local\Temp\6CF2.tmp"
1⤵
PID:5000
- C:\Users\Admin\AppData\Local\Temp\6D41.tmp
  "C:\Users\Admin\AppData\Local\Temp\6D41.tmp"
  2⤵
  PID:5484

C:\Users\Admin\AppData\Local\Temp\6EC7.tmp
"C:\Users\Admin\AppData\Local\Temp\6EC7.tmp"
1⤵
PID:1704
- C:\Users\Admin\AppData\Local\Temp\6F15.tmp
  "C:\Users\Admin\AppData\Local\Temp\6F15.tmp"
  2⤵
  PID:1812
- - C:\Users\Admin\AppData\Local\Temp\6F63.tmp
    "C:\Users\Admin\AppData\Local\Temp\6F63.tmp"
    3⤵
    PID:4672

C:\Users\Admin\AppData\Local\Temp\6E79.tmp
"C:\Users\Admin\AppData\Local\Temp\6E79.tmp"
1⤵
PID:5600

C:\Users\Admin\AppData\Local\Temp\6FB2.tmp
"C:\Users\Admin\AppData\Local\Temp\6FB2.tmp"
1⤵
PID:2292
- C:\Users\Admin\AppData\Local\Temp\7000.tmp
  "C:\Users\Admin\AppData\Local\Temp\7000.tmp"
  2⤵
  PID:4044
- - C:\Users\Admin\AppData\Local\Temp\704E.tmp
    "C:\Users\Admin\AppData\Local\Temp\704E.tmp"
    3⤵
    PID:1056

C:\Users\Admin\AppData\Local\Temp\70EA.tmp
"C:\Users\Admin\AppData\Local\Temp\70EA.tmp"
1⤵
PID:5744
- C:\Users\Admin\AppData\Local\Temp\7138.tmp
  "C:\Users\Admin\AppData\Local\Temp\7138.tmp"
  2⤵
  PID:4524
- - C:\Users\Admin\AppData\Local\Temp\7186.tmp
    "C:\Users\Admin\AppData\Local\Temp\7186.tmp"
    3⤵
    PID:5748
  - - C:\Users\Admin\AppData\Local\Temp\8944.tmp
      "C:\Users\Admin\AppData\Local\Temp\8944.tmp"
      4⤵
      PID:5068

C:\Users\Admin\AppData\Local\Temp\7223.tmp
"C:\Users\Admin\AppData\Local\Temp\7223.tmp"
1⤵
PID:4528
- C:\Users\Admin\AppData\Local\Temp\89D1.tmp
  "C:\Users\Admin\AppData\Local\Temp\89D1.tmp"
  2⤵
  PID:1212
- - C:\Users\Admin\AppData\Local\Temp\8A10.tmp
    "C:\Users\Admin\AppData\Local\Temp\8A10.tmp"
    3⤵
    PID:816
  - - C:\Users\Admin\AppData\Local\Temp\8A5E.tmp
      "C:\Users\Admin\AppData\Local\Temp\8A5E.tmp"
      4⤵
      PID:4268

C:\Users\Admin\AppData\Local\Temp\74E2.tmp
"C:\Users\Admin\AppData\Local\Temp\74E2.tmp"
1⤵
PID:5444
- C:\Users\Admin\AppData\Local\Temp\7530.tmp
  "C:\Users\Admin\AppData\Local\Temp\7530.tmp"
  2⤵
  PID:5480
- - C:\Users\Admin\AppData\Local\Temp\757E.tmp
    "C:\Users\Admin\AppData\Local\Temp\757E.tmp"
    3⤵
    PID:5288
- C:\Users\Admin\AppData\Local\Temp\5B8D.tmp
  "C:\Users\Admin\AppData\Local\Temp\5B8D.tmp"
  2⤵
  PID:5480

C:\Users\Admin\AppData\Local\Temp\75BC.tmp
"C:\Users\Admin\AppData\Local\Temp\75BC.tmp"
1⤵
PID:636
- C:\Users\Admin\AppData\Local\Temp\760B.tmp
  "C:\Users\Admin\AppData\Local\Temp\760B.tmp"
  2⤵
  PID:4516

C:\Users\Admin\AppData\Local\Temp\7659.tmp
"C:\Users\Admin\AppData\Local\Temp\7659.tmp"
1⤵
PID:5608
- C:\Users\Admin\AppData\Local\Temp\7697.tmp
  "C:\Users\Admin\AppData\Local\Temp\7697.tmp"
  2⤵
  PID:5396
- C:\Users\Admin\AppData\Local\Temp\3A06.tmp
  "C:\Users\Admin\AppData\Local\Temp\3A06.tmp"
  2⤵
  PID:4876
- - C:\Users\Admin\AppData\Local\Temp\3A55.tmp
    "C:\Users\Admin\AppData\Local\Temp\3A55.tmp"
    3⤵
    PID:1836
  - - C:\Users\Admin\AppData\Local\Temp\3A93.tmp
      "C:\Users\Admin\AppData\Local\Temp\3A93.tmp"
      4⤵
      PID:4908
    - - C:\Users\Admin\AppData\Local\Temp\3B00.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B00.tmp"
        5⤵
        
        PID:5856
      - C:\Users\Admin\AppData\Local\Temp\3B4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B4F.tmp"
        6⤵
        
        PID:3352
        
        C:\Users\Admin\AppData\Local\Temp\3B9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B9D.tmp"
        7⤵
        
        PID:1180
        
        C:\Users\Admin\AppData\Local\Temp\3BEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3BEB.tmp"
        8⤵
        
        PID:2988
        
        C:\Users\Admin\AppData\Local\Temp\3C39.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C39.tmp"
        9⤵
        
        PID:5520
        
        C:\Users\Admin\AppData\Local\Temp\3C87.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C87.tmp"
        10⤵
        
        PID:5940
      - C:\Users\Admin\AppData\Local\Temp\7AF7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AF7.tmp"
        6⤵
        
        PID:3352

C:\Users\Admin\AppData\Local\Temp\76E5.tmp
"C:\Users\Admin\AppData\Local\Temp\76E5.tmp"
1⤵
PID:1836
- C:\Users\Admin\AppData\Local\Temp\7733.tmp
  "C:\Users\Admin\AppData\Local\Temp\7733.tmp"
  2⤵
  PID:5232

C:\Users\Admin\AppData\Local\Temp\7772.tmp
"C:\Users\Admin\AppData\Local\Temp\7772.tmp"
1⤵
PID:1452

C:\Users\Admin\AppData\Local\Temp\77FF.tmp
"C:\Users\Admin\AppData\Local\Temp\77FF.tmp"
1⤵
PID:2360
- C:\Users\Admin\AppData\Local\Temp\784D.tmp
  "C:\Users\Admin\AppData\Local\Temp\784D.tmp"
  2⤵
  PID:3520
- - C:\Users\Admin\AppData\Local\Temp\789B.tmp
    "C:\Users\Admin\AppData\Local\Temp\789B.tmp"
    3⤵
    PID:4180
- C:\Users\Admin\AppData\Local\Temp\2A.tmp
  "C:\Users\Admin\AppData\Local\Temp\2A.tmp"
  2⤵
  PID:400
- - C:\Users\Admin\AppData\Local\Temp\68.tmp
    "C:\Users\Admin\AppData\Local\Temp\68.tmp"
    3⤵
    PID:1560
  - - C:\Users\Admin\AppData\Local\Temp\B7.tmp
      "C:\Users\Admin\AppData\Local\Temp\B7.tmp"
      4⤵
      PID:5412
    - - C:\Users\Admin\AppData\Local\Temp\105.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\105.tmp"
        5⤵
        
        PID:3480
      - C:\Users\Admin\AppData\Local\Temp\153.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\153.tmp"
        6⤵
        
        PID:5572

C:\Users\Admin\AppData\Local\Temp\78D9.tmp
"C:\Users\Admin\AppData\Local\Temp\78D9.tmp"
1⤵
PID:960
- C:\Users\Admin\AppData\Local\Temp\7927.tmp
  "C:\Users\Admin\AppData\Local\Temp\7927.tmp"
  2⤵
  PID:3008
- - C:\Users\Admin\AppData\Local\Temp\90F5.tmp
    "C:\Users\Admin\AppData\Local\Temp\90F5.tmp"
    3⤵
    PID:2896
  - - C:\Users\Admin\AppData\Local\Temp\9134.tmp
      "C:\Users\Admin\AppData\Local\Temp\9134.tmp"
      4⤵
      PID:5272
    - - C:\Users\Admin\AppData\Local\Temp\9172.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9172.tmp"
        5⤵
        
        PID:3120
      - C:\Users\Admin\AppData\Local\Temp\91C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\91C0.tmp"
        6⤵
        
        PID:5176

C:\Users\Admin\AppData\Local\Temp\79C4.tmp
"C:\Users\Admin\AppData\Local\Temp\79C4.tmp"
1⤵
PID:4928
- C:\Users\Admin\AppData\Local\Temp\7A12.tmp
  "C:\Users\Admin\AppData\Local\Temp\7A12.tmp"
  2⤵
  PID:1492
- C:\Users\Admin\AppData\Local\Temp\24E8.tmp
  "C:\Users\Admin\AppData\Local\Temp\24E8.tmp"
  2⤵
  PID:4884
- - C:\Users\Admin\AppData\Local\Temp\2536.tmp
    "C:\Users\Admin\AppData\Local\Temp\2536.tmp"
    3⤵
    PID:232
  - - C:\Users\Admin\AppData\Local\Temp\2584.tmp
      "C:\Users\Admin\AppData\Local\Temp\2584.tmp"
      4⤵
      PID:2448

C:\Users\Admin\AppData\Local\Temp\7A50.tmp
"C:\Users\Admin\AppData\Local\Temp\7A50.tmp"
1⤵
PID:5024
- C:\Users\Admin\AppData\Local\Temp\E772.tmp
  "C:\Users\Admin\AppData\Local\Temp\E772.tmp"
  2⤵
  PID:5404
- - C:\Users\Admin\AppData\Local\Temp\E7C0.tmp
    "C:\Users\Admin\AppData\Local\Temp\E7C0.tmp"
    3⤵
    PID:5464
  - - C:\Users\Admin\AppData\Local\Temp\E80E.tmp
      "C:\Users\Admin\AppData\Local\Temp\E80E.tmp"
      4⤵
      PID:4968

C:\Users\Admin\AppData\Local\Temp\7ADD.tmp
"C:\Users\Admin\AppData\Local\Temp\7ADD.tmp"
1⤵
PID:3672
- C:\Users\Admin\AppData\Local\Temp\7B2B.tmp
  "C:\Users\Admin\AppData\Local\Temp\7B2B.tmp"
  2⤵
  PID:5776
- - C:\Users\Admin\AppData\Local\Temp\7B79.tmp
    "C:\Users\Admin\AppData\Local\Temp\7B79.tmp"
    3⤵
    PID:3828

C:\Users\Admin\AppData\Local\Temp\7C54.tmp
"C:\Users\Admin\AppData\Local\Temp\7C54.tmp"
1⤵
PID:3212
- C:\Users\Admin\AppData\Local\Temp\7C92.tmp
  "C:\Users\Admin\AppData\Local\Temp\7C92.tmp"
  2⤵
  PID:3884

C:\Users\Admin\AppData\Local\Temp\7CE1.tmp
"C:\Users\Admin\AppData\Local\Temp\7CE1.tmp"
1⤵
PID:2448
- C:\Users\Admin\AppData\Local\Temp\7D2F.tmp
  "C:\Users\Admin\AppData\Local\Temp\7D2F.tmp"
  2⤵
  PID:2044
- - C:\Users\Admin\AppData\Local\Temp\7D7D.tmp
    "C:\Users\Admin\AppData\Local\Temp\7D7D.tmp"
    3⤵
    PID:796
  - - C:\Users\Admin\AppData\Local\Temp\7DCB.tmp
      "C:\Users\Admin\AppData\Local\Temp\7DCB.tmp"
      4⤵
      PID:6104
    - - C:\Users\Admin\AppData\Local\Temp\7E19.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E19.tmp"
        5⤵
        
        PID:4388
      - C:\Users\Admin\AppData\Local\Temp\CE2D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE2D.tmp"
        6⤵
        
        PID:728
        
        C:\Users\Admin\AppData\Local\Temp\CE7B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE7B.tmp"
        7⤵
        
        PID:3972
        
        C:\Users\Admin\AppData\Local\Temp\CEC9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CEC9.tmp"
        8⤵
        
        PID:4436
        
        C:\Users\Admin\AppData\Local\Temp\CF17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF17.tmp"
        9⤵
        
        PID:3156
        
        C:\Users\Admin\AppData\Local\Temp\CF66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF66.tmp"
        10⤵
        
        PID:4680
        
        C:\Users\Admin\AppData\Local\Temp\2844.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2844.tmp"
        8⤵
        
        PID:5676
        
        C:\Users\Admin\AppData\Local\Temp\2892.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2892.tmp"
        9⤵
        
        PID:1508
- - C:\Users\Admin\AppData\Local\Temp\CD43.tmp
    "C:\Users\Admin\AppData\Local\Temp\CD43.tmp"
    3⤵
    PID:6052
  - - C:\Users\Admin\AppData\Local\Temp\CD91.tmp
      "C:\Users\Admin\AppData\Local\Temp\CD91.tmp"
      4⤵
      PID:2172
    - - C:\Users\Admin\AppData\Local\Temp\CDDF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDDF.tmp"
        5⤵
        
        PID:4388

C:\Users\Admin\AppData\Local\Temp\7E67.tmp
"C:\Users\Admin\AppData\Local\Temp\7E67.tmp"
1⤵
PID:4684
- C:\Users\Admin\AppData\Local\Temp\7EB5.tmp
  "C:\Users\Admin\AppData\Local\Temp\7EB5.tmp"
  2⤵
  PID:5184

C:\Users\Admin\AppData\Local\Temp\7F03.tmp
"C:\Users\Admin\AppData\Local\Temp\7F03.tmp"
1⤵
PID:4064
- C:\Users\Admin\AppData\Local\Temp\7F42.tmp
  "C:\Users\Admin\AppData\Local\Temp\7F42.tmp"
  2⤵
  PID:2244
- - C:\Users\Admin\AppData\Local\Temp\7F90.tmp
    "C:\Users\Admin\AppData\Local\Temp\7F90.tmp"
    3⤵
    PID:2724

C:\Users\Admin\AppData\Local\Temp\7FDE.tmp
"C:\Users\Admin\AppData\Local\Temp\7FDE.tmp"
1⤵
PID:1308
- C:\Users\Admin\AppData\Local\Temp\802C.tmp
  "C:\Users\Admin\AppData\Local\Temp\802C.tmp"
  2⤵
  PID:3128

C:\Users\Admin\AppData\Local\Temp\80C9.tmp
"C:\Users\Admin\AppData\Local\Temp\80C9.tmp"
1⤵
PID:3416
- C:\Users\Admin\AppData\Local\Temp\8117.tmp
  "C:\Users\Admin\AppData\Local\Temp\8117.tmp"
  2⤵
  PID:1088
- - C:\Users\Admin\AppData\Local\Temp\8165.tmp
    "C:\Users\Admin\AppData\Local\Temp\8165.tmp"
    3⤵
    PID:1644
  - - C:\Users\Admin\AppData\Local\Temp\81B3.tmp
      "C:\Users\Admin\AppData\Local\Temp\81B3.tmp"
      4⤵
      PID:2960
- - C:\Users\Admin\AppData\Local\Temp\D13A.tmp
    "C:\Users\Admin\AppData\Local\Temp\D13A.tmp"
    3⤵
    PID:2960
  - - C:\Users\Admin\AppData\Local\Temp\D188.tmp
      "C:\Users\Admin\AppData\Local\Temp\D188.tmp"
      4⤵
      PID:6060
    - - C:\Users\Admin\AppData\Local\Temp\D1D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1D7.tmp"
        5⤵
        
        PID:924
      - C:\Users\Admin\AppData\Local\Temp\D225.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D225.tmp"
        6⤵
        
        PID:1720
        
        C:\Users\Admin\AppData\Local\Temp\D273.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D273.tmp"
        7⤵
        
        PID:872
        
        C:\Users\Admin\AppData\Local\Temp\D2C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2C1.tmp"
        8⤵
        
        PID:3024
    - - C:\Users\Admin\AppData\Local\Temp\6939.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6939.tmp"
        5⤵
        
        PID:924

C:\Users\Admin\AppData\Local\Temp\8201.tmp
"C:\Users\Admin\AppData\Local\Temp\8201.tmp"
1⤵
- Executes dropped EXE
PID:1688
- C:\Users\Admin\AppData\Local\Temp\824F.tmp
  "C:\Users\Admin\AppData\Local\Temp\824F.tmp"
  2⤵
  PID:3540
- - C:\Users\Admin\AppData\Local\Temp\829D.tmp
    "C:\Users\Admin\AppData\Local\Temp\829D.tmp"
    3⤵
    PID:2908

C:\Users\Admin\AppData\Local\Temp\82EB.tmp
"C:\Users\Admin\AppData\Local\Temp\82EB.tmp"
1⤵
- Executes dropped EXE
PID:2852
- C:\Users\Admin\AppData\Local\Temp\833A.tmp
  "C:\Users\Admin\AppData\Local\Temp\833A.tmp"
  2⤵
  PID:4956
- - C:\Users\Admin\AppData\Local\Temp\8388.tmp
    "C:\Users\Admin\AppData\Local\Temp\8388.tmp"
    3⤵
    PID:4912
  - - C:\Users\Admin\AppData\Local\Temp\83D6.tmp
      "C:\Users\Admin\AppData\Local\Temp\83D6.tmp"
      4⤵
      PID:2828
    - - C:\Users\Admin\AppData\Local\Temp\6B9B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B9B.tmp"
        5⤵
        
        PID:2008
- C:\Users\Admin\AppData\Local\Temp\69D6.tmp
  "C:\Users\Admin\AppData\Local\Temp\69D6.tmp"
  2⤵
  PID:4956
- C:\Users\Admin\AppData\Local\Temp\4FF5.tmp
  "C:\Users\Admin\AppData\Local\Temp\4FF5.tmp"
  2⤵
  - Executes dropped EXE
  PID:5920

C:\Users\Admin\AppData\Local\Temp\850E.tmp
"C:\Users\Admin\AppData\Local\Temp\850E.tmp"
1⤵
PID:5740
- C:\Users\Admin\AppData\Local\Temp\855C.tmp
  "C:\Users\Admin\AppData\Local\Temp\855C.tmp"
  2⤵
  PID:5616
- - C:\Users\Admin\AppData\Local\Temp\85AB.tmp
    "C:\Users\Admin\AppData\Local\Temp\85AB.tmp"
    3⤵
    PID:5248
  - - C:\Users\Admin\AppData\Local\Temp\85F9.tmp
      "C:\Users\Admin\AppData\Local\Temp\85F9.tmp"
      4⤵
      PID:316
    - - C:\Users\Admin\AppData\Local\Temp\8647.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8647.tmp"
        5⤵
        
        PID:4920
      - C:\Users\Admin\AppData\Local\Temp\50EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50EA.tmp"
        6⤵
        
        PID:1596
        
        C:\Users\Admin\AppData\Local\Temp\5138.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5138.tmp"
        7⤵
        
        PID:1972
        
        C:\Users\Admin\AppData\Local\Temp\5186.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5186.tmp"
        8⤵
        
        PID:3812
        
        C:\Users\Admin\AppData\Local\Temp\51D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\51D4.tmp"
        9⤵
        
        PID:3996
        
        C:\Users\Admin\AppData\Local\Temp\5222.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5222.tmp"
        10⤵
        
        PID:1480
        
        C:\Users\Admin\AppData\Local\Temp\5270.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5270.tmp"
        11⤵
        
        PID:4240
        
        C:\Users\Admin\AppData\Local\Temp\52BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52BF.tmp"
        12⤵
        
        PID:5768
        
        C:\Users\Admin\AppData\Local\Temp\530D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\530D.tmp"
        13⤵
        
        PID:3648
        
        C:\Users\Admin\AppData\Local\Temp\535B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\535B.tmp"
        14⤵
        
        PID:3852
        
        C:\Users\Admin\AppData\Local\Temp\53A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53A9.tmp"
        15⤵
        
        PID:4100
        
        C:\Users\Admin\AppData\Local\Temp\53F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53F7.tmp"
        16⤵
        
        PID:4208
        
        C:\Users\Admin\AppData\Local\Temp\5445.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5445.tmp"
        17⤵
        
        PID:3196
        
        C:\Users\Admin\AppData\Local\Temp\5493.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5493.tmp"
        18⤵
        
        PID:4416
        
        C:\Users\Admin\AppData\Local\Temp\54E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54E1.tmp"
        19⤵
        
        PID:4624

C:\Users\Admin\AppData\Local\Temp\8695.tmp
"C:\Users\Admin\AppData\Local\Temp\8695.tmp"
1⤵
PID:2800
- C:\Users\Admin\AppData\Local\Temp\86E3.tmp
  "C:\Users\Admin\AppData\Local\Temp\86E3.tmp"
  2⤵
  PID:5768
- - C:\Users\Admin\AppData\Local\Temp\8731.tmp
    "C:\Users\Admin\AppData\Local\Temp\8731.tmp"
    3⤵
    PID:5144
  - - C:\Users\Admin\AppData\Local\Temp\877F.tmp
      "C:\Users\Admin\AppData\Local\Temp\877F.tmp"
      4⤵
      PID:4952
    - - C:\Users\Admin\AppData\Local\Temp\87CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\87CD.tmp"
        5⤵
        
        PID:640
      - C:\Users\Admin\AppData\Local\Temp\881C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\881C.tmp"
        6⤵
        
        PID:3208
  - - C:\Users\Admin\AppData\Local\Temp\73A4.tmp
      "C:\Users\Admin\AppData\Local\Temp\73A4.tmp"
      4⤵
      PID:2860
    - - C:\Users\Admin\AppData\Local\Temp\73F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73F3.tmp"
        5⤵
        
        PID:2592
      - C:\Users\Admin\AppData\Local\Temp\7441.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7441.tmp"
        6⤵
        
        PID:5172
        
        C:\Users\Admin\AppData\Local\Temp\748F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\748F.tmp"
        7⤵
        
        PID:2300

C:\Users\Admin\AppData\Local\Temp\885A.tmp
"C:\Users\Admin\AppData\Local\Temp\885A.tmp"
1⤵
PID:5744
- C:\Users\Admin\AppData\Local\Temp\88A8.tmp
  "C:\Users\Admin\AppData\Local\Temp\88A8.tmp"
  2⤵
  PID:4524
- - C:\Users\Admin\AppData\Local\Temp\88F6.tmp
    "C:\Users\Admin\AppData\Local\Temp\88F6.tmp"
    3⤵
    PID:5748
  - - C:\Users\Admin\AppData\Local\Temp\71D4.tmp
      "C:\Users\Admin\AppData\Local\Temp\71D4.tmp"
      4⤵
      PID:5068

C:\Users\Admin\AppData\Local\Temp\8AAC.tmp
"C:\Users\Admin\AppData\Local\Temp\8AAC.tmp"
1⤵
PID:4412
- C:\Users\Admin\AppData\Local\Temp\8AFA.tmp
  "C:\Users\Admin\AppData\Local\Temp\8AFA.tmp"
  2⤵
  PID:4536
- - C:\Users\Admin\AppData\Local\Temp\8B48.tmp
    "C:\Users\Admin\AppData\Local\Temp\8B48.tmp"
    3⤵
    PID:920

C:\Users\Admin\AppData\Local\Temp\8D6B.tmp
"C:\Users\Admin\AppData\Local\Temp\8D6B.tmp"
1⤵
PID:2836
- C:\Users\Admin\AppData\Local\Temp\8DB9.tmp
  "C:\Users\Admin\AppData\Local\Temp\8DB9.tmp"
  2⤵
  PID:3440
- - C:\Users\Admin\AppData\Local\Temp\8E07.tmp
    "C:\Users\Admin\AppData\Local\Temp\8E07.tmp"
    3⤵
    PID:1500
- C:\Users\Admin\AppData\Local\Temp\FEF1.tmp
  "C:\Users\Admin\AppData\Local\Temp\FEF1.tmp"
  2⤵
  PID:5232
- - C:\Users\Admin\AppData\Local\Temp\FF40.tmp
    "C:\Users\Admin\AppData\Local\Temp\FF40.tmp"
    3⤵
    PID:2760
  - - C:\Users\Admin\AppData\Local\Temp\FF8E.tmp
      "C:\Users\Admin\AppData\Local\Temp\FF8E.tmp"
      4⤵
      PID:5576
    - - C:\Users\Admin\AppData\Local\Temp\FFDC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFDC.tmp"
        5⤵
        
        PID:2360
  - - C:\Users\Admin\AppData\Local\Temp\5C44.tmp
      "C:\Users\Admin\AppData\Local\Temp\5C44.tmp"
      4⤵
      PID:2668
    - - C:\Users\Admin\AppData\Local\Temp\5C92.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C92.tmp"
        5⤵
        
        PID:5568
      - C:\Users\Admin\AppData\Local\Temp\5CE0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5CE0.tmp"
        6⤵
        
        PID:5460
        
        C:\Users\Admin\AppData\Local\Temp\5D2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D2E.tmp"
        7⤵
        
        PID:3728
        
        C:\Users\Admin\AppData\Local\Temp\5D7D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D7D.tmp"
        8⤵
        
        PID:1924
        
        C:\Users\Admin\AppData\Local\Temp\5DCB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DCB.tmp"
        9⤵
        
        PID:4600
        
        C:\Users\Admin\AppData\Local\Temp\5E19.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E19.tmp"
        10⤵
        
        PID:3452
        
        C:\Users\Admin\AppData\Local\Temp\5E57.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E57.tmp"
        11⤵
        
        PID:1712
        
        C:\Users\Admin\AppData\Local\Temp\5EA5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5EA5.tmp"
        12⤵
        
        PID:6124
        
        C:\Users\Admin\AppData\Local\Temp\5EF4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5EF4.tmp"
        13⤵
        
        PID:460

C:\Users\Admin\AppData\Local\Temp\8EA3.tmp
"C:\Users\Admin\AppData\Local\Temp\8EA3.tmp"
1⤵
PID:5816
- C:\Users\Admin\AppData\Local\Temp\8EE2.tmp
  "C:\Users\Admin\AppData\Local\Temp\8EE2.tmp"
  2⤵
  PID:3352

C:\Users\Admin\AppData\Local\Temp\8F30.tmp
"C:\Users\Admin\AppData\Local\Temp\8F30.tmp"
1⤵
PID:1180
- C:\Users\Admin\AppData\Local\Temp\8F7E.tmp
  "C:\Users\Admin\AppData\Local\Temp\8F7E.tmp"
  2⤵
  PID:2988
- - C:\Users\Admin\AppData\Local\Temp\8FCC.tmp
    "C:\Users\Admin\AppData\Local\Temp\8FCC.tmp"
    3⤵
    PID:2224
- C:\Users\Admin\AppData\Local\Temp\5ED9.tmp
  "C:\Users\Admin\AppData\Local\Temp\5ED9.tmp"
  2⤵
  PID:3452

C:\Users\Admin\AppData\Local\Temp\920E.tmp
"C:\Users\Admin\AppData\Local\Temp\920E.tmp"
1⤵
PID:1068
- C:\Users\Admin\AppData\Local\Temp\925D.tmp
  "C:\Users\Admin\AppData\Local\Temp\925D.tmp"
  2⤵
  PID:2872
- - C:\Users\Admin\AppData\Local\Temp\92AB.tmp
    "C:\Users\Admin\AppData\Local\Temp\92AB.tmp"
    3⤵
    PID:5872
  - - C:\Users\Admin\AppData\Local\Temp\60C8.tmp
      "C:\Users\Admin\AppData\Local\Temp\60C8.tmp"
      4⤵
      PID:3044
    - - C:\Users\Admin\AppData\Local\Temp\6116.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6116.tmp"
        5⤵
        
        PID:3992
      - C:\Users\Admin\AppData\Local\Temp\6165.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6165.tmp"
        6⤵
        
        PID:5404
        
        C:\Users\Admin\AppData\Local\Temp\61B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\61B3.tmp"
        7⤵
        
        PID:5392

C:\Users\Admin\AppData\Local\Temp\92F9.tmp
"C:\Users\Admin\AppData\Local\Temp\92F9.tmp"
1⤵
PID:5228
- C:\Users\Admin\AppData\Local\Temp\9347.tmp
  "C:\Users\Admin\AppData\Local\Temp\9347.tmp"
  2⤵
  PID:5392
- - C:\Users\Admin\AppData\Local\Temp\9395.tmp
    "C:\Users\Admin\AppData\Local\Temp\9395.tmp"
    3⤵
    PID:5648
- C:\Users\Admin\AppData\Local\Temp\61E6.tmp
  "C:\Users\Admin\AppData\Local\Temp\61E6.tmp"
  2⤵
  PID:5392
- - C:\Users\Admin\AppData\Local\Temp\6201.tmp
    "C:\Users\Admin\AppData\Local\Temp\6201.tmp"
    3⤵
    PID:4424
  - - C:\Users\Admin\AppData\Local\Temp\624F.tmp
      "C:\Users\Admin\AppData\Local\Temp\624F.tmp"
      4⤵
      PID:3544
    - - C:\Users\Admin\AppData\Local\Temp\629D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\629D.tmp"
        5⤵
        
        PID:6084
      - C:\Users\Admin\AppData\Local\Temp\62EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\62EB.tmp"
        6⤵
        
        PID:2704
- C:\Users\Admin\AppData\Local\Temp\48B1.tmp
  "C:\Users\Admin\AppData\Local\Temp\48B1.tmp"
  2⤵
  PID:5364

C:\Users\Admin\AppData\Local\Temp\93E3.tmp
"C:\Users\Admin\AppData\Local\Temp\93E3.tmp"
1⤵
PID:364
- C:\Users\Admin\AppData\Local\Temp\9431.tmp
  "C:\Users\Admin\AppData\Local\Temp\9431.tmp"
  2⤵
  PID:868
- - C:\Users\Admin\AppData\Local\Temp\947F.tmp
    "C:\Users\Admin\AppData\Local\Temp\947F.tmp"
    3⤵
    PID:5212
  - - C:\Users\Admin\AppData\Local\Temp\94CE.tmp
      "C:\Users\Admin\AppData\Local\Temp\94CE.tmp"
      4⤵
      PID:5784
    - - C:\Users\Admin\AppData\Local\Temp\951C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\951C.tmp"
        5⤵
        
        PID:1268
      - C:\Users\Admin\AppData\Local\Temp\956A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\956A.tmp"
        6⤵
        
        PID:3104

C:\Users\Admin\AppData\Local\Temp\98C5.tmp
"C:\Users\Admin\AppData\Local\Temp\98C5.tmp"
1⤵
PID:1136
- C:\Users\Admin\AppData\Local\Temp\9913.tmp
  "C:\Users\Admin\AppData\Local\Temp\9913.tmp"
  2⤵
  PID:5336
- - C:\Users\Admin\AppData\Local\Temp\9961.tmp
    "C:\Users\Admin\AppData\Local\Temp\9961.tmp"
    3⤵
    PID:4844
  - - C:\Users\Admin\AppData\Local\Temp\2AB5.tmp
      "C:\Users\Admin\AppData\Local\Temp\2AB5.tmp"
      4⤵
      PID:5148
    - - C:\Users\Admin\AppData\Local\Temp\2B03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B03.tmp"
        5⤵
        
        PID:3528
      - C:\Users\Admin\AppData\Local\Temp\2B51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B51.tmp"
        6⤵
        
        PID:4024
        
        C:\Users\Admin\AppData\Local\Temp\2B9F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B9F.tmp"
        7⤵
        
        PID:2972
        
        C:\Users\Admin\AppData\Local\Temp\2BED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2BED.tmp"
        8⤵
        
        PID:4280
        
        C:\Users\Admin\AppData\Local\Temp\2C3B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C3B.tmp"
        9⤵
        
        PID:2996
        
        C:\Users\Admin\AppData\Local\Temp\2C89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C89.tmp"
        10⤵
        
        PID:5512
        
        C:\Users\Admin\AppData\Local\Temp\2CD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2CD7.tmp"
        11⤵
        
        PID:1516
        
        C:\Users\Admin\AppData\Local\Temp\6B77.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B77.tmp"
        8⤵
        
        PID:4280
        
        C:\Users\Admin\AppData\Local\Temp\6BC5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BC5.tmp"
        9⤵
        
        PID:872
        
        C:\Users\Admin\AppData\Local\Temp\6C13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C13.tmp"
        10⤵
        
        PID:3600

C:\Users\Admin\AppData\Local\Temp\99B0.tmp
"C:\Users\Admin\AppData\Local\Temp\99B0.tmp"
1⤵
PID:4548
- C:\Users\Admin\AppData\Local\Temp\99FE.tmp
  "C:\Users\Admin\AppData\Local\Temp\99FE.tmp"
  2⤵
  PID:900
- - C:\Users\Admin\AppData\Local\Temp\9A4C.tmp
    "C:\Users\Admin\AppData\Local\Temp\9A4C.tmp"
    3⤵
    PID:3528
  - - C:\Users\Admin\AppData\Local\Temp\9A9A.tmp
      "C:\Users\Admin\AppData\Local\Temp\9A9A.tmp"
      4⤵
      PID:1244
    - - C:\Users\Admin\AppData\Local\Temp\9AE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9AE8.tmp"
        5⤵
        
        PID:1632

C:\Users\Admin\AppData\Local\Temp\9B36.tmp
"C:\Users\Admin\AppData\Local\Temp\9B36.tmp"
1⤵
PID:5520
- C:\Users\Admin\AppData\Local\Temp\9B84.tmp
  "C:\Users\Admin\AppData\Local\Temp\9B84.tmp"
  2⤵
  PID:5268
- - C:\Users\Admin\AppData\Local\Temp\9BD2.tmp
    "C:\Users\Admin\AppData\Local\Temp\9BD2.tmp"
    3⤵
    PID:5160

C:\Users\Admin\AppData\Local\Temp\9C21.tmp
"C:\Users\Admin\AppData\Local\Temp\9C21.tmp"
1⤵
PID:1520
- C:\Users\Admin\AppData\Local\Temp\9C6F.tmp
  "C:\Users\Admin\AppData\Local\Temp\9C6F.tmp"
  2⤵
  PID:4056
- - C:\Users\Admin\AppData\Local\Temp\9CBD.tmp
    "C:\Users\Admin\AppData\Local\Temp\9CBD.tmp"
    3⤵
    PID:1744

C:\Users\Admin\AppData\Local\Temp\9D0B.tmp
"C:\Users\Admin\AppData\Local\Temp\9D0B.tmp"
1⤵
PID:840
- C:\Users\Admin\AppData\Local\Temp\9D59.tmp
  "C:\Users\Admin\AppData\Local\Temp\9D59.tmp"
  2⤵
  PID:1764
- - C:\Users\Admin\AppData\Local\Temp\9DA7.tmp
    "C:\Users\Admin\AppData\Local\Temp\9DA7.tmp"
    3⤵
    PID:4192
  - - C:\Users\Admin\AppData\Local\Temp\6E74.tmp
      "C:\Users\Admin\AppData\Local\Temp\6E74.tmp"
      4⤵
      PID:768
    - - C:\Users\Admin\AppData\Local\Temp\6EC2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6EC2.tmp"
        5⤵
        
        PID:5436
      - C:\Users\Admin\AppData\Local\Temp\6F11.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F11.tmp"
        6⤵
        
        PID:888

C:\Users\Admin\AppData\Local\Temp\9DF5.tmp
"C:\Users\Admin\AppData\Local\Temp\9DF5.tmp"
1⤵
PID:2008
- C:\Users\Admin\AppData\Local\Temp\9E43.tmp
  "C:\Users\Admin\AppData\Local\Temp\9E43.tmp"
  2⤵
  PID:2968
- - C:\Users\Admin\AppData\Local\Temp\9E92.tmp
    "C:\Users\Admin\AppData\Local\Temp\9E92.tmp"
    3⤵
    - Executes dropped EXE
    PID:4836
  - - C:\Users\Admin\AppData\Local\Temp\52B4.tmp
      "C:\Users\Admin\AppData\Local\Temp\52B4.tmp"
      4⤵
      Executes dropped EXE
      PID:5164
- - C:\Users\Admin\AppData\Local\Temp\2F48.tmp
    "C:\Users\Admin\AppData\Local\Temp\2F48.tmp"
    3⤵
    PID:4836
  - - C:\Users\Admin\AppData\Local\Temp\2F97.tmp
      "C:\Users\Admin\AppData\Local\Temp\2F97.tmp"
      4⤵
      PID:3244
    - - C:\Users\Admin\AppData\Local\Temp\2FE5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2FE5.tmp"
        5⤵
        
        PID:5560
      - C:\Users\Admin\AppData\Local\Temp\3033.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3033.tmp"
        6⤵
        
        PID:5056
        
        C:\Users\Admin\AppData\Local\Temp\3081.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3081.tmp"
        7⤵
        
        PID:3712
        
        C:\Users\Admin\AppData\Local\Temp\30CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30CF.tmp"
        8⤵
        
        PID:6068
        
        C:\Users\Admin\AppData\Local\Temp\311D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\311D.tmp"
        9⤵
        
        PID:5140
        
        C:\Users\Admin\AppData\Local\Temp\316B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\316B.tmp"
        10⤵
        
        PID:5884
        
        C:\Users\Admin\AppData\Local\Temp\31B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\31B9.tmp"
        11⤵
        
        PID:1480
        
        C:\Users\Admin\AppData\Local\Temp\3227.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3227.tmp"
        12⤵
        
        PID:4240
        
        C:\Users\Admin\AppData\Local\Temp\3275.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3275.tmp"
        13⤵
        
        PID:5768
        
        C:\Users\Admin\AppData\Local\Temp\32C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\32C3.tmp"
        14⤵
        
        PID:3648
        
        C:\Users\Admin\AppData\Local\Temp\3311.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3311.tmp"
        15⤵
        
        PID:3852
        
        C:\Users\Admin\AppData\Local\Temp\335F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\335F.tmp"
        16⤵
        
        PID:4100
        
        C:\Users\Admin\AppData\Local\Temp\339E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\339E.tmp"
        17⤵
        Executes dropped EXE
        
        PID:4208
        
        C:\Users\Admin\AppData\Local\Temp\33EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\33EC.tmp"
        18⤵
        
        PID:2592
        
        C:\Users\Admin\AppData\Local\Temp\343A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\343A.tmp"
        19⤵
        
        PID:4772
        
        C:\Users\Admin\AppData\Local\Temp\3488.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3488.tmp"
        20⤵
        
        PID:5172
        
        C:\Users\Admin\AppData\Local\Temp\34D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\34D6.tmp"
        21⤵
        
        PID:4524
        
        C:\Users\Admin\AppData\Local\Temp\3524.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3524.tmp"
        22⤵
        
        PID:4532

C:\Users\Admin\AppData\Local\Temp\A018.tmp
"C:\Users\Admin\AppData\Local\Temp\A018.tmp"
1⤵
PID:4772
- C:\Users\Admin\AppData\Local\Temp\A066.tmp
  "C:\Users\Admin\AppData\Local\Temp\A066.tmp"
  2⤵
  PID:3932
- - C:\Users\Admin\AppData\Local\Temp\A0B4.tmp
    "C:\Users\Admin\AppData\Local\Temp\A0B4.tmp"
    3⤵
    PID:5860
  - - C:\Users\Admin\AppData\Local\Temp\6E2B.tmp
      "C:\Users\Admin\AppData\Local\Temp\6E2B.tmp"
      4⤵
      PID:5140

C:\Users\Admin\AppData\Local\Temp\A23B.tmp
"C:\Users\Admin\AppData\Local\Temp\A23B.tmp"
1⤵
PID:6080
- C:\Users\Admin\AppData\Local\Temp\A289.tmp
  "C:\Users\Admin\AppData\Local\Temp\A289.tmp"
  2⤵
  PID:5196
- - C:\Users\Admin\AppData\Local\Temp\A2D7.tmp
    "C:\Users\Admin\AppData\Local\Temp\A2D7.tmp"
    3⤵
    PID:5300
- - C:\Users\Admin\AppData\Local\Temp\F80C.tmp
    "C:\Users\Admin\AppData\Local\Temp\F80C.tmp"
    3⤵
    PID:5300
  - - C:\Users\Admin\AppData\Local\Temp\F85A.tmp
      "C:\Users\Admin\AppData\Local\Temp\F85A.tmp"
      4⤵
      PID:5524
    - - C:\Users\Admin\AppData\Local\Temp\F8A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8A8.tmp"
        5⤵
        
        PID:5744
      - C:\Users\Admin\AppData\Local\Temp\F8E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8E7.tmp"
        6⤵
        
        PID:2300
        
        C:\Users\Admin\AppData\Local\Temp\F935.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F935.tmp"
        7⤵
        
        PID:1456
        
        C:\Users\Admin\AppData\Local\Temp\74DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\74DD.tmp"
        7⤵
        
        PID:3260
        
        C:\Users\Admin\AppData\Local\Temp\752B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\752B.tmp"
        8⤵
        
        PID:1316
        
        C:\Users\Admin\AppData\Local\Temp\7579.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7579.tmp"
        9⤵
        
        PID:4408
        
        C:\Users\Admin\AppData\Local\Temp\75C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75C7.tmp"
        10⤵
        
        PID:816
        
        C:\Users\Admin\AppData\Local\Temp\7615.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7615.tmp"
        11⤵
        
        PID:3296
        
        C:\Users\Admin\AppData\Local\Temp\7664.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7664.tmp"
        12⤵
        
        PID:4512

C:\Users\Admin\AppData\Local\Temp\A325.tmp
"C:\Users\Admin\AppData\Local\Temp\A325.tmp"
1⤵
PID:5764
- C:\Users\Admin\AppData\Local\Temp\A374.tmp
  "C:\Users\Admin\AppData\Local\Temp\A374.tmp"
  2⤵
  PID:1376

C:\Users\Admin\AppData\Local\Temp\A410.tmp
"C:\Users\Admin\AppData\Local\Temp\A410.tmp"
1⤵
PID:4416
- C:\Users\Admin\AppData\Local\Temp\A45E.tmp
  "C:\Users\Admin\AppData\Local\Temp\A45E.tmp"
  2⤵
  PID:3492
- - C:\Users\Admin\AppData\Local\Temp\A4AC.tmp
    "C:\Users\Admin\AppData\Local\Temp\A4AC.tmp"
    3⤵
    PID:744
  - - C:\Users\Admin\AppData\Local\Temp\A4FA.tmp
      "C:\Users\Admin\AppData\Local\Temp\A4FA.tmp"
      4⤵
      PID:3592

C:\Users\Admin\AppData\Local\Temp\A548.tmp
"C:\Users\Admin\AppData\Local\Temp\A548.tmp"
1⤵
PID:5004
- C:\Users\Admin\AppData\Local\Temp\A596.tmp
  "C:\Users\Admin\AppData\Local\Temp\A596.tmp"
  2⤵
  PID:884
- - C:\Users\Admin\AppData\Local\Temp\A5E5.tmp
    "C:\Users\Admin\AppData\Local\Temp\A5E5.tmp"
    3⤵
    PID:224
- - C:\Users\Admin\AppData\Local\Temp\C18B.tmp
    "C:\Users\Admin\AppData\Local\Temp\C18B.tmp"
    3⤵
    PID:224
  - - C:\Users\Admin\AppData\Local\Temp\C1D9.tmp
      "C:\Users\Admin\AppData\Local\Temp\C1D9.tmp"
      4⤵
      PID:3532
  - - C:\Users\Admin\AppData\Local\Temp\A633.tmp
      "C:\Users\Admin\AppData\Local\Temp\A633.tmp"
      4⤵
      PID:3532
    - - C:\Users\Admin\AppData\Local\Temp\43CF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\43CF.tmp"
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:116

C:\Users\Admin\AppData\Local\Temp\A76B.tmp
"C:\Users\Admin\AppData\Local\Temp\A76B.tmp"
1⤵
PID:1104
- C:\Users\Admin\AppData\Local\Temp\A7B9.tmp
  "C:\Users\Admin\AppData\Local\Temp\A7B9.tmp"
  2⤵
  PID:4632
- - C:\Users\Admin\AppData\Local\Temp\A807.tmp
    "C:\Users\Admin\AppData\Local\Temp\A807.tmp"
    3⤵
    PID:3644

C:\Users\Admin\AppData\Local\Temp\A856.tmp
"C:\Users\Admin\AppData\Local\Temp\A856.tmp"
1⤵
PID:5288

C:\Users\Admin\AppData\Local\Temp\A8F2.tmp
"C:\Users\Admin\AppData\Local\Temp\A8F2.tmp"
1⤵
PID:1352
- C:\Users\Admin\AppData\Local\Temp\A940.tmp
  "C:\Users\Admin\AppData\Local\Temp\A940.tmp"
  2⤵
  PID:5408
- - C:\Users\Admin\AppData\Local\Temp\A98E.tmp
    "C:\Users\Admin\AppData\Local\Temp\A98E.tmp"
    3⤵
    PID:116
  - - C:\Users\Admin\AppData\Local\Temp\FE65.tmp
      "C:\Users\Admin\AppData\Local\Temp\FE65.tmp"
      4⤵
      PID:5820
    - - C:\Users\Admin\AppData\Local\Temp\FEB3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEB3.tmp"
        5⤵
        
        PID:2836
- C:\Users\Admin\AppData\Local\Temp\8D1D.tmp
  "C:\Users\Admin\AppData\Local\Temp\8D1D.tmp"
  2⤵
  PID:5792

C:\Users\Admin\AppData\Local\Temp\A9DC.tmp
"C:\Users\Admin\AppData\Local\Temp\A9DC.tmp"
1⤵
PID:4976
- C:\Users\Admin\AppData\Local\Temp\AA2A.tmp
  "C:\Users\Admin\AppData\Local\Temp\AA2A.tmp"
  2⤵
  PID:5856
- - C:\Users\Admin\AppData\Local\Temp\AA78.tmp
    "C:\Users\Admin\AppData\Local\Temp\AA78.tmp"
    3⤵
    PID:4908
  - - C:\Users\Admin\AppData\Local\Temp\AAC7.tmp
      "C:\Users\Admin\AppData\Local\Temp\AAC7.tmp"
      4⤵
      PID:1452
    - - C:\Users\Admin\AppData\Local\Temp\AB15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB15.tmp"
        5⤵
        
        PID:5460
      - C:\Users\Admin\AppData\Local\Temp\AB63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB63.tmp"
        6⤵
        
        PID:3452
      - C:\Users\Admin\AppData\Local\Temp\C6DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6DA.tmp"
        6⤵
        
        PID:3452
        
        C:\Users\Admin\AppData\Local\Temp\C728.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C728.tmp"
        7⤵
        
        PID:5504
        
        C:\Users\Admin\AppData\Local\Temp\C776.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C776.tmp"
        8⤵
        
        PID:5652
        
        C:\Users\Admin\AppData\Local\Temp\C7C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C7C4.tmp"
        9⤵
        
        PID:2452
        
        C:\Users\Admin\AppData\Local\Temp\ABB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABB1.tmp"
        7⤵
        
        PID:4600
  - - C:\Users\Admin\AppData\Local\Temp\471B.tmp
      "C:\Users\Admin\AppData\Local\Temp\471B.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:5540
- - C:\Users\Admin\AppData\Local\Temp\1D66.tmp
    "C:\Users\Admin\AppData\Local\Temp\1D66.tmp"
    3⤵
    PID:2200
  - - C:\Users\Admin\AppData\Local\Temp\1DB4.tmp
      "C:\Users\Admin\AppData\Local\Temp\1DB4.tmp"
      4⤵
      PID:3440
    - - C:\Users\Admin\AppData\Local\Temp\1E03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E03.tmp"
        5⤵
        
        PID:2168
      - C:\Users\Admin\AppData\Local\Temp\1E51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E51.tmp"
        6⤵
        
        PID:3752
        
        C:\Users\Admin\AppData\Local\Temp\1E8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E8F.tmp"
        7⤵
        
        PID:5940
        
        C:\Users\Admin\AppData\Local\Temp\1ECE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1ECE.tmp"
        8⤵
        
        PID:1216
        
        C:\Users\Admin\AppData\Local\Temp\1F1C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F1C.tmp"
        9⤵
        
        PID:5772
        
        C:\Users\Admin\AppData\Local\Temp\1F6A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F6A.tmp"
        10⤵
        
        PID:2908
        
        C:\Users\Admin\AppData\Local\Temp\1FB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FB8.tmp"
        11⤵
        
        PID:4560
        
        C:\Users\Admin\AppData\Local\Temp\3CD5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CD5.tmp"
        8⤵
        
        PID:1216
        
        C:\Users\Admin\AppData\Local\Temp\3D23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D23.tmp"
        9⤵
        
        PID:5412
        
        C:\Users\Admin\AppData\Local\Temp\3D71.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D71.tmp"
        10⤵
        
        PID:2908
        
        C:\Users\Admin\AppData\Local\Temp\3DCF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3DCF.tmp"
        11⤵
        
        PID:5424
        
        C:\Users\Admin\AppData\Local\Temp\3E1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E1D.tmp"
        12⤵
        
        PID:5644
        
        C:\Users\Admin\AppData\Local\Temp\3E6B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E6B.tmp"
        13⤵
        
        PID:5652
        
        C:\Users\Admin\AppData\Local\Temp\3EBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3EBA.tmp"
        14⤵
        
        PID:4576
        
        C:\Users\Admin\AppData\Local\Temp\3F17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F17.tmp"
        15⤵
        
        PID:4592
        
        C:\Users\Admin\AppData\Local\Temp\3F65.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F65.tmp"
        16⤵
        
        PID:1016
        
        C:\Users\Admin\AppData\Local\Temp\3FB4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3FB4.tmp"
        17⤵
        
        PID:4820
        
        C:\Users\Admin\AppData\Local\Temp\4002.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4002.tmp"
        18⤵
        
        PID:5384

C:\Users\Admin\AppData\Local\Temp\ABFF.tmp
"C:\Users\Admin\AppData\Local\Temp\ABFF.tmp"
1⤵
PID:5572
- C:\Users\Admin\AppData\Local\Temp\AC4D.tmp
  "C:\Users\Admin\AppData\Local\Temp\AC4D.tmp"
  2⤵
  PID:3000
- - C:\Users\Admin\AppData\Local\Temp\AC9B.tmp
    "C:\Users\Admin\AppData\Local\Temp\AC9B.tmp"
    3⤵
    PID:1988
  - - C:\Users\Admin\AppData\Local\Temp\ACE9.tmp
      "C:\Users\Admin\AppData\Local\Temp\ACE9.tmp"
      4⤵
      PID:460
    - - C:\Users\Admin\AppData\Local\Temp\AD38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD38.tmp"
        5⤵
        
        PID:5200
      - C:\Users\Admin\AppData\Local\Temp\AD86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD86.tmp"
        6⤵
        
        PID:4256
    - - C:\Users\Admin\AppData\Local\Temp\5F42.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F42.tmp"
        5⤵
        
        PID:1620
      - C:\Users\Admin\AppData\Local\Temp\5F90.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F90.tmp"
        6⤵
        
        PID:1492
        
        C:\Users\Admin\AppData\Local\Temp\5FDE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FDE.tmp"
        7⤵
        
        PID:4764
        
        C:\Users\Admin\AppData\Local\Temp\602C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\602C.tmp"
        8⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\607A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\607A.tmp"
        9⤵
        
        PID:5872
- C:\Users\Admin\AppData\Local\Temp\1A1.tmp
  "C:\Users\Admin\AppData\Local\Temp\1A1.tmp"
  2⤵
  PID:3000
- - C:\Users\Admin\AppData\Local\Temp\1EF.tmp
    "C:\Users\Admin\AppData\Local\Temp\1EF.tmp"
    3⤵
    PID:1908
  - - C:\Users\Admin\AppData\Local\Temp\23D.tmp
      "C:\Users\Admin\AppData\Local\Temp\23D.tmp"
      4⤵
      PID:5304
    - - C:\Users\Admin\AppData\Local\Temp\28B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28B.tmp"
        5⤵
        
        PID:3008
      - C:\Users\Admin\AppData\Local\Temp\2D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D9.tmp"
        6⤵
        
        PID:1620
        
        C:\Users\Admin\AppData\Local\Temp\328.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\328.tmp"
        7⤵
        
        PID:3120
        
        C:\Users\Admin\AppData\Local\Temp\376.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\376.tmp"
        8⤵
        
        PID:376
        
        C:\Users\Admin\AppData\Local\Temp\3C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C4.tmp"
        9⤵
        
        PID:1052
        
        C:\Users\Admin\AppData\Local\Temp\422.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\422.tmp"
        10⤵
        
        PID:4636
        
        C:\Users\Admin\AppData\Local\Temp\470.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\470.tmp"
        11⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:5364
        
        C:\Users\Admin\AppData\Local\Temp\4BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BE.tmp"
        12⤵
        
        PID:648
        
        C:\Users\Admin\AppData\Local\Temp\50C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50C.tmp"
        13⤵
        
        PID:1912
        
        C:\Users\Admin\AppData\Local\Temp\55A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55A.tmp"
        14⤵
        
        PID:2772
        
        C:\Users\Admin\AppData\Local\Temp\5A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A8.tmp"
        15⤵
        
        PID:5648
        
        C:\Users\Admin\AppData\Local\Temp\5F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F6.tmp"
        16⤵
        
        PID:860
        
        C:\Users\Admin\AppData\Local\Temp\644.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\644.tmp"
        17⤵
        
        PID:60
        
        C:\Users\Admin\AppData\Local\Temp\693.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\693.tmp"
        18⤵
        Executes dropped EXE
        
        PID:5212
        
        C:\Users\Admin\AppData\Local\Temp\6E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E1.tmp"
        19⤵
        
        PID:1448
        
        C:\Users\Admin\AppData\Local\Temp\73E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73E.tmp"
        20⤵
        
        PID:1496
        
        C:\Users\Admin\AppData\Local\Temp\78D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78D.tmp"
        21⤵
        
        PID:3884
        
        C:\Users\Admin\AppData\Local\Temp\7DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DB.tmp"
        22⤵
        Executes dropped EXE
        
        PID:688
        
        C:\Users\Admin\AppData\Local\Temp\829.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\829.tmp"
        23⤵
        
        PID:5672
        
        C:\Users\Admin\AppData\Local\Temp\877.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\877.tmp"
        24⤵
        
        PID:3788
        
        C:\Users\Admin\AppData\Local\Temp\8C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C5.tmp"
        25⤵
        
        PID:5192
        
        C:\Users\Admin\AppData\Local\Temp\913.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\913.tmp"
        26⤵
        
        PID:2840
        
        C:\Users\Admin\AppData\Local\Temp\961.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\961.tmp"
        27⤵
        
        PID:796
        
        C:\Users\Admin\AppData\Local\Temp\9AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9AF.tmp"
        28⤵
        
        PID:6076
        
        C:\Users\Admin\AppData\Local\Temp\9FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FE.tmp"
        29⤵
        
        PID:5780
        
        C:\Users\Admin\AppData\Local\Temp\A4C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A4C.tmp"
        30⤵
        
        PID:4916
        
        C:\Users\Admin\AppData\Local\Temp\A9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A9A.tmp"
        31⤵
        Executes dropped EXE
        
        PID:1048
        
        C:\Users\Admin\AppData\Local\Temp\B07.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B07.tmp"
        32⤵
        
        PID:5632
        
        C:\Users\Admin\AppData\Local\Temp\B55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B55.tmp"
        33⤵
        Executes dropped EXE
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\BA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA3.tmp"
        34⤵
        
        PID:4644
        
        C:\Users\Admin\AppData\Local\Temp\BF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF2.tmp"
        35⤵
        
        PID:2432
        
        C:\Users\Admin\AppData\Local\Temp\C40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C40.tmp"
        36⤵
        
        PID:980
        
        C:\Users\Admin\AppData\Local\Temp\C8E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8E.tmp"
        37⤵
        
        PID:1080
        
        C:\Users\Admin\AppData\Local\Temp\CDC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDC.tmp"
        38⤵
        
        PID:2172
        
        C:\Users\Admin\AppData\Local\Temp\D2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2A.tmp"
        39⤵
        
        PID:1644
        
        C:\Users\Admin\AppData\Local\Temp\D78.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D78.tmp"
        40⤵
        
        PID:5440
        
        C:\Users\Admin\AppData\Local\Temp\DC6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC6.tmp"
        41⤵
        
        PID:3236
        
        C:\Users\Admin\AppData\Local\Temp\E14.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E14.tmp"
        42⤵
        
        PID:1720
        
        C:\Users\Admin\AppData\Local\Temp\E63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E63.tmp"
        43⤵
        
        PID:5092
        
        C:\Users\Admin\AppData\Local\Temp\EB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB1.tmp"
        44⤵
        
        PID:2408
        
        C:\Users\Admin\AppData\Local\Temp\EFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFF.tmp"
        45⤵
        
        PID:4228

C:\Users\Admin\AppData\Local\Temp\AE22.tmp
"C:\Users\Admin\AppData\Local\Temp\AE22.tmp"
1⤵
PID:5384
- C:\Users\Admin\AppData\Local\Temp\AE70.tmp
  "C:\Users\Admin\AppData\Local\Temp\AE70.tmp"
  2⤵
  PID:5896
- - C:\Users\Admin\AppData\Local\Temp\AEBE.tmp
    "C:\Users\Admin\AppData\Local\Temp\AEBE.tmp"
    3⤵
    PID:484

C:\Users\Admin\AppData\Local\Temp\AF0C.tmp
"C:\Users\Admin\AppData\Local\Temp\AF0C.tmp"
1⤵
PID:5364
- C:\Users\Admin\AppData\Local\Temp\AF5A.tmp
  "C:\Users\Admin\AppData\Local\Temp\AF5A.tmp"
  2⤵
  PID:2424
- - C:\Users\Admin\AppData\Local\Temp\CB20.tmp
    "C:\Users\Admin\AppData\Local\Temp\CB20.tmp"
    3⤵
    PID:5648
  - - C:\Users\Admin\AppData\Local\Temp\CB6E.tmp
      "C:\Users\Admin\AppData\Local\Temp\CB6E.tmp"
      4⤵
      PID:860
    - - C:\Users\Admin\AppData\Local\Temp\CBBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBBC.tmp"
        5⤵
        
        PID:60
      - C:\Users\Admin\AppData\Local\Temp\CC0A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC0A.tmp"
        6⤵
        
        PID:5212
        
        C:\Users\Admin\AppData\Local\Temp\CC58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC58.tmp"
        7⤵
        
        PID:3884
        
        C:\Users\Admin\AppData\Local\Temp\4AA5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4AA5.tmp"
        7⤵
        Executes dropped EXE
        
        PID:4020
- C:\Users\Admin\AppData\Local\Temp\48FF.tmp
  "C:\Users\Admin\AppData\Local\Temp\48FF.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:3828

C:\Users\Admin\AppData\Local\Temp\AFF7.tmp
"C:\Users\Admin\AppData\Local\Temp\AFF7.tmp"
1⤵
PID:732
- C:\Users\Admin\AppData\Local\Temp\B045.tmp
  "C:\Users\Admin\AppData\Local\Temp\B045.tmp"
  2⤵
  PID:1084
- - C:\Users\Admin\AppData\Local\Temp\B093.tmp
    "C:\Users\Admin\AppData\Local\Temp\B093.tmp"
    3⤵
    PID:2704
  - - C:\Users\Admin\AppData\Local\Temp\B0E1.tmp
      "C:\Users\Admin\AppData\Local\Temp\B0E1.tmp"
      4⤵
      PID:896
  - - C:\Users\Admin\AppData\Local\Temp\6339.tmp
      "C:\Users\Admin\AppData\Local\Temp\6339.tmp"
      4⤵
      PID:4004
    - - C:\Users\Admin\AppData\Local\Temp\6387.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6387.tmp"
        5⤵
        
        PID:896
      - C:\Users\Admin\AppData\Local\Temp\63D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\63D6.tmp"
        6⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\6424.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6424.tmp"
        7⤵
        
        PID:5352
        
        C:\Users\Admin\AppData\Local\Temp\6472.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6472.tmp"
        8⤵
        
        PID:4224
        
        C:\Users\Admin\AppData\Local\Temp\64C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\64C0.tmp"
        9⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\651E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\651E.tmp"
        10⤵
        
        PID:220
        
        C:\Users\Admin\AppData\Local\Temp\656C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\656C.tmp"
        11⤵
        
        PID:2740

C:\Users\Admin\AppData\Local\Temp\B12F.tmp
"C:\Users\Admin\AppData\Local\Temp\B12F.tmp"
1⤵
PID:5052
- C:\Users\Admin\AppData\Local\Temp\B17D.tmp
  "C:\Users\Admin\AppData\Local\Temp\B17D.tmp"
  2⤵
  PID:4308
- - C:\Users\Admin\AppData\Local\Temp\B1CB.tmp
    "C:\Users\Admin\AppData\Local\Temp\B1CB.tmp"
    3⤵
    PID:2752
  - - C:\Users\Admin\AppData\Local\Temp\B21A.tmp
      "C:\Users\Admin\AppData\Local\Temp\B21A.tmp"
      4⤵
      PID:652
- - C:\Users\Admin\AppData\Local\Temp\4BDE.tmp
    "C:\Users\Admin\AppData\Local\Temp\4BDE.tmp"
    3⤵
    PID:688
- C:\Users\Admin\AppData\Local\Temp\4B90.tmp
  "C:\Users\Admin\AppData\Local\Temp\4B90.tmp"
  2⤵
  - Executes dropped EXE
  PID:4308

C:\Users\Admin\AppData\Local\Temp\B268.tmp
"C:\Users\Admin\AppData\Local\Temp\B268.tmp"
1⤵
PID:796
- C:\Users\Admin\AppData\Local\Temp\B2B6.tmp
  "C:\Users\Admin\AppData\Local\Temp\B2B6.tmp"
  2⤵
  PID:6104
- - C:\Users\Admin\AppData\Local\Temp\B304.tmp
    "C:\Users\Admin\AppData\Local\Temp\B304.tmp"
    3⤵
    PID:5780

C:\Users\Admin\AppData\Local\Temp\B352.tmp
"C:\Users\Admin\AppData\Local\Temp\B352.tmp"
1⤵
PID:4916
- C:\Users\Admin\AppData\Local\Temp\B3A0.tmp
  "C:\Users\Admin\AppData\Local\Temp\B3A0.tmp"
  2⤵
  PID:1048
- - C:\Users\Admin\AppData\Local\Temp\B3EE.tmp
    "C:\Users\Admin\AppData\Local\Temp\B3EE.tmp"
    3⤵
    PID:5632
- - C:\Users\Admin\AppData\Local\Temp\665B.tmp
    "C:\Users\Admin\AppData\Local\Temp\665B.tmp"
    3⤵
    PID:2724
  - - C:\Users\Admin\AppData\Local\Temp\4D84.tmp
      "C:\Users\Admin\AppData\Local\Temp\4D84.tmp"
      4⤵
      Executes dropped EXE
      PID:5676
- - C:\Users\Admin\AppData\Local\Temp\4D35.tmp
    "C:\Users\Admin\AppData\Local\Temp\4D35.tmp"
    3⤵
    PID:2724

C:\Users\Admin\AppData\Local\Temp\B43C.tmp
"C:\Users\Admin\AppData\Local\Temp\B43C.tmp"
1⤵
PID:4520
- C:\Users\Admin\AppData\Local\Temp\B48B.tmp
  "C:\Users\Admin\AppData\Local\Temp\B48B.tmp"
  2⤵
  PID:2748
- - C:\Users\Admin\AppData\Local\Temp\B4D9.tmp
    "C:\Users\Admin\AppData\Local\Temp\B4D9.tmp"
    3⤵
    PID:764

C:\Users\Admin\AppData\Local\Temp\B527.tmp
"C:\Users\Admin\AppData\Local\Temp\B527.tmp"
1⤵
PID:3984
- C:\Users\Admin\AppData\Local\Temp\B575.tmp
  "C:\Users\Admin\AppData\Local\Temp\B575.tmp"
  2⤵
  PID:984
- - C:\Users\Admin\AppData\Local\Temp\B5C3.tmp
    "C:\Users\Admin\AppData\Local\Temp\B5C3.tmp"
    3⤵
    - Executes dropped EXE
    PID:4136
  - - C:\Users\Admin\AppData\Local\Temp\B611.tmp
      "C:\Users\Admin\AppData\Local\Temp\B611.tmp"
      4⤵
      PID:4668
    - - C:\Users\Admin\AppData\Local\Temp\B65F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B65F.tmp"
        5⤵
        
        PID:3216
      - C:\Users\Admin\AppData\Local\Temp\B6AD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B6AD.tmp"
        6⤵
        
        PID:3236
    - - C:\Users\Admin\AppData\Local\Temp\68BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68BC.tmp"
        5⤵
        
        PID:3740
      - C:\Users\Admin\AppData\Local\Temp\6A3E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A3E.tmp"
        6⤵
        
        PID:2172
        
        C:\Users\Admin\AppData\Local\Temp\6A8C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A8C.tmp"
        7⤵
        
        PID:5920
        
        C:\Users\Admin\AppData\Local\Temp\6ADA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6ADA.tmp"
        8⤵
        
        PID:3528

C:\Users\Admin\AppData\Local\Temp\B6FC.tmp
"C:\Users\Admin\AppData\Local\Temp\B6FC.tmp"
1⤵
PID:5920
- C:\Users\Admin\AppData\Local\Temp\B74A.tmp
  "C:\Users\Admin\AppData\Local\Temp\B74A.tmp"
  2⤵
  PID:4640

C:\Users\Admin\AppData\Local\Temp\B798.tmp
"C:\Users\Admin\AppData\Local\Temp\B798.tmp"
1⤵
PID:5268
- C:\Users\Admin\AppData\Local\Temp\B7D6.tmp
  "C:\Users\Admin\AppData\Local\Temp\B7D6.tmp"
  2⤵
  PID:5160
- - C:\Users\Admin\AppData\Local\Temp\B824.tmp
    "C:\Users\Admin\AppData\Local\Temp\B824.tmp"
    3⤵
    - Executes dropped EXE
    PID:464
  - - C:\Users\Admin\AppData\Local\Temp\B873.tmp
      "C:\Users\Admin\AppData\Local\Temp\B873.tmp"
      4⤵
      PID:4956
    - - C:\Users\Admin\AppData\Local\Temp\B8C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8C1.tmp"
        5⤵
        
        PID:5080
      - C:\Users\Admin\AppData\Local\Temp\B90F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B90F.tmp"
        6⤵
        
        PID:1380
        
        C:\Users\Admin\AppData\Local\Temp\B95D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B95D.tmp"
        7⤵
        
        PID:5244
  - - C:\Users\Admin\AppData\Local\Temp\6AFE.tmp
      "C:\Users\Admin\AppData\Local\Temp\6AFE.tmp"
      4⤵
      PID:2728

C:\Users\Admin\AppData\Local\Temp\B9AB.tmp
"C:\Users\Admin\AppData\Local\Temp\B9AB.tmp"
1⤵
PID:3140
- C:\Users\Admin\AppData\Local\Temp\B9F9.tmp
  "C:\Users\Admin\AppData\Local\Temp\B9F9.tmp"
  2⤵
  PID:888
- - C:\Users\Admin\AppData\Local\Temp\BA47.tmp
    "C:\Users\Admin\AppData\Local\Temp\BA47.tmp"
    3⤵
    PID:5168
  - - C:\Users\Admin\AppData\Local\Temp\F433.tmp
      "C:\Users\Admin\AppData\Local\Temp\F433.tmp"
      4⤵
      PID:3720
    - - C:\Users\Admin\AppData\Local\Temp\F482.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F482.tmp"
        5⤵
        
        PID:1596
- - C:\Users\Admin\AppData\Local\Temp\D66A.tmp
    "C:\Users\Admin\AppData\Local\Temp\D66A.tmp"
    3⤵
    PID:2188
  - - C:\Users\Admin\AppData\Local\Temp\D6B9.tmp
      "C:\Users\Admin\AppData\Local\Temp\D6B9.tmp"
      4⤵
      PID:1860
    - - C:\Users\Admin\AppData\Local\Temp\D707.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D707.tmp"
        5⤵
        
        PID:5880
      - C:\Users\Admin\AppData\Local\Temp\D755.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D755.tmp"
        6⤵
        
        PID:4116
        
        C:\Users\Admin\AppData\Local\Temp\D7A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7A3.tmp"
        7⤵
        
        PID:4456
      - C:\Users\Admin\AppData\Local\Temp\7097.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7097.tmp"
        6⤵
        
        PID:5532
        
        C:\Users\Admin\AppData\Local\Temp\70E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\70E5.tmp"
        7⤵
        
        PID:2800
        
        C:\Users\Admin\AppData\Local\Temp\7133.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7133.tmp"
        8⤵
        
        PID:316

C:\Users\Admin\AppData\Local\Temp\BA95.tmp
"C:\Users\Admin\AppData\Local\Temp\BA95.tmp"
1⤵
PID:5560
- C:\Users\Admin\AppData\Local\Temp\BAE4.tmp
  "C:\Users\Admin\AppData\Local\Temp\BAE4.tmp"
  2⤵
  PID:5056
- - C:\Users\Admin\AppData\Local\Temp\BB32.tmp
    "C:\Users\Admin\AppData\Local\Temp\BB32.tmp"
    3⤵
    PID:3016
  - - C:\Users\Admin\AppData\Local\Temp\BB80.tmp
      "C:\Users\Admin\AppData\Local\Temp\BB80.tmp"
      4⤵
      PID:3124

C:\Users\Admin\AppData\Local\Temp\BBCE.tmp
"C:\Users\Admin\AppData\Local\Temp\BBCE.tmp"
1⤵
PID:3996
- C:\Users\Admin\AppData\Local\Temp\BC1C.tmp
  "C:\Users\Admin\AppData\Local\Temp\BC1C.tmp"
  2⤵
  PID:5768
- - C:\Users\Admin\AppData\Local\Temp\BC6A.tmp
    "C:\Users\Admin\AppData\Local\Temp\BC6A.tmp"
    3⤵
    PID:2828
  - - C:\Users\Admin\AppData\Local\Temp\BCB8.tmp
      "C:\Users\Admin\AppData\Local\Temp\BCB8.tmp"
      4⤵
      PID:5924
    - - C:\Users\Admin\AppData\Local\Temp\BD06.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD06.tmp"
        5⤵
        
        PID:1976
    - - C:\Users\Admin\AppData\Local\Temp\561F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\561F.tmp"
        5⤵
        Executes dropped EXE
        
        PID:4756
- C:\Users\Admin\AppData\Local\Temp\F5BA.tmp
  "C:\Users\Admin\AppData\Local\Temp\F5BA.tmp"
  2⤵
  - Executes dropped EXE
  PID:5768
- - C:\Users\Admin\AppData\Local\Temp\F608.tmp
    "C:\Users\Admin\AppData\Local\Temp\F608.tmp"
    3⤵
    PID:3648
  - - C:\Users\Admin\AppData\Local\Temp\F656.tmp
      "C:\Users\Admin\AppData\Local\Temp\F656.tmp"
      4⤵
      PID:4672
    - - C:\Users\Admin\AppData\Local\Temp\F6A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F6A4.tmp"
        5⤵
        
        PID:4832
- - C:\Users\Admin\AppData\Local\Temp\54E6.tmp
    "C:\Users\Admin\AppData\Local\Temp\54E6.tmp"
    3⤵
    - Executes dropped EXE
    PID:2884

C:\Users\Admin\AppData\Local\Temp\BD55.tmp
"C:\Users\Admin\AppData\Local\Temp\BD55.tmp"
1⤵
PID:3852
- C:\Users\Admin\AppData\Local\Temp\BDA3.tmp
  "C:\Users\Admin\AppData\Local\Temp\BDA3.tmp"
  2⤵
  PID:4568
- - C:\Users\Admin\AppData\Local\Temp\BDF1.tmp
    "C:\Users\Admin\AppData\Local\Temp\BDF1.tmp"
    3⤵
    PID:3196
  - - C:\Users\Admin\AppData\Local\Temp\BE2F.tmp
      "C:\Users\Admin\AppData\Local\Temp\BE2F.tmp"
      4⤵
      PID:5172
    - - C:\Users\Admin\AppData\Local\Temp\BE7D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE7D.tmp"
        5⤵
        
        PID:4204
- - C:\Users\Admin\AppData\Local\Temp\DA62.tmp
    "C:\Users\Admin\AppData\Local\Temp\DA62.tmp"
    3⤵
    PID:3196
  - - C:\Users\Admin\AppData\Local\Temp\DAB0.tmp
      "C:\Users\Admin\AppData\Local\Temp\DAB0.tmp"
      4⤵
      PID:5172
    - - C:\Users\Admin\AppData\Local\Temp\DAFE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DAFE.tmp"
        5⤵
        
        PID:4204
      - C:\Users\Admin\AppData\Local\Temp\DB4C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB4C.tmp"
        6⤵
        
        PID:3936
        
        C:\Users\Admin\AppData\Local\Temp\DB9B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB9B.tmp"
        7⤵
        
        PID:3260
        
        C:\Users\Admin\AppData\Local\Temp\DBE9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DBE9.tmp"
        8⤵
        
        PID:5344

C:\Users\Admin\AppData\Local\Temp\BECC.tmp
"C:\Users\Admin\AppData\Local\Temp\BECC.tmp"
1⤵
PID:4532
- C:\Users\Admin\AppData\Local\Temp\BF1A.tmp
  "C:\Users\Admin\AppData\Local\Temp\BF1A.tmp"
  2⤵
  PID:1376
- - C:\Users\Admin\AppData\Local\Temp\BF68.tmp
    "C:\Users\Admin\AppData\Local\Temp\BF68.tmp"
    3⤵
    PID:2300
  - - C:\Users\Admin\AppData\Local\Temp\BFB6.tmp
      "C:\Users\Admin\AppData\Local\Temp\BFB6.tmp"
      4⤵
      PID:5748
    - - C:\Users\Admin\AppData\Local\Temp\C004.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C004.tmp"
        5⤵
        
        PID:5068
      - C:\Users\Admin\AppData\Local\Temp\C052.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C052.tmp"
        6⤵
        
        PID:1300
      - C:\Users\Admin\AppData\Local\Temp\8983.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8983.tmp"
        6⤵
        
        PID:4528
        
        C:\Users\Admin\AppData\Local\Temp\7271.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7271.tmp"
        7⤵
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\591C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\591C.tmp"
        7⤵
        Suspicious use of WriteProcessMemory
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\4371.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4371.tmp"
        8⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3532
- - C:\Users\Admin\AppData\Local\Temp\A3C2.tmp
    "C:\Users\Admin\AppData\Local\Temp\A3C2.tmp"
    3⤵
    PID:2300
- C:\Users\Admin\AppData\Local\Temp\3573.tmp
  "C:\Users\Admin\AppData\Local\Temp\3573.tmp"
  2⤵
  PID:4972
- - C:\Users\Admin\AppData\Local\Temp\35C1.tmp
    "C:\Users\Admin\AppData\Local\Temp\35C1.tmp"
    3⤵
    PID:5344
  - - C:\Users\Admin\AppData\Local\Temp\360F.tmp
      "C:\Users\Admin\AppData\Local\Temp\360F.tmp"
      4⤵
      PID:4032
    - - C:\Users\Admin\AppData\Local\Temp\365D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\365D.tmp"
        5⤵
        
        PID:4016
      - C:\Users\Admin\AppData\Local\Temp\36AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36AB.tmp"
        6⤵
        
        PID:1784
        
        C:\Users\Admin\AppData\Local\Temp\36F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36F9.tmp"
        7⤵
        
        PID:4368
        
        C:\Users\Admin\AppData\Local\Temp\3747.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3747.tmp"
        8⤵
        
        PID:2844
        
        C:\Users\Admin\AppData\Local\Temp\3795.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3795.tmp"
        9⤵
        
        PID:2696
        
        C:\Users\Admin\AppData\Local\Temp\37E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37E4.tmp"
        10⤵
        
        PID:1928
        
        C:\Users\Admin\AppData\Local\Temp\3832.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3832.tmp"
        11⤵
        
        PID:2652
        
        C:\Users\Admin\AppData\Local\Temp\388F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\388F.tmp"
        12⤵
        
        PID:2156
        
        C:\Users\Admin\AppData\Local\Temp\38DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\38DE.tmp"
        13⤵
        
        PID:1060
        
        C:\Users\Admin\AppData\Local\Temp\392C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\392C.tmp"
        14⤵
        
        PID:2024
        
        C:\Users\Admin\AppData\Local\Temp\397A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\397A.tmp"
        15⤵
        
        PID:5824
        
        C:\Users\Admin\AppData\Local\Temp\39C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\39C8.tmp"
        16⤵
        
        PID:5608
        
        C:\Users\Admin\AppData\Local\Temp\7971.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7971.tmp"
        15⤵
        
        PID:2832
        
        C:\Users\Admin\AppData\Local\Temp\79BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79BF.tmp"
        16⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\7A0D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A0D.tmp"
        17⤵
        
        PID:1836
        
        C:\Users\Admin\AppData\Local\Temp\7A5B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A5B.tmp"
        18⤵
        
        PID:2836
        
        C:\Users\Admin\AppData\Local\Temp\7AA9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AA9.tmp"
        19⤵
        
        PID:5856

C:\Users\Admin\AppData\Local\Temp\C5B1.tmp
"C:\Users\Admin\AppData\Local\Temp\C5B1.tmp"
1⤵
PID:5540
- C:\Users\Admin\AppData\Local\Temp\C5FF.tmp
  "C:\Users\Admin\AppData\Local\Temp\C5FF.tmp"
  2⤵
  PID:2668

C:\Users\Admin\AppData\Local\Temp\C63E.tmp
"C:\Users\Admin\AppData\Local\Temp\C63E.tmp"
1⤵
PID:1452
- C:\Users\Admin\AppData\Local\Temp\C68C.tmp
  "C:\Users\Admin\AppData\Local\Temp\C68C.tmp"
  2⤵
  PID:5460
- C:\Users\Admin\AppData\Local\Temp\77C0.tmp
  "C:\Users\Admin\AppData\Local\Temp\77C0.tmp"
  2⤵
  PID:5460

C:\Users\Admin\AppData\Local\Temp\C813.tmp
"C:\Users\Admin\AppData\Local\Temp\C813.tmp"
1⤵
PID:4040
- C:\Users\Admin\AppData\Local\Temp\C861.tmp
  "C:\Users\Admin\AppData\Local\Temp\C861.tmp"
  2⤵
  PID:1016
- - C:\Users\Admin\AppData\Local\Temp\C8AF.tmp
    "C:\Users\Admin\AppData\Local\Temp\C8AF.tmp"
    3⤵
    PID:4592
  - - C:\Users\Admin\AppData\Local\Temp\C8FD.tmp
      "C:\Users\Admin\AppData\Local\Temp\C8FD.tmp"
      4⤵
      PID:4256
    - - C:\Users\Admin\AppData\Local\Temp\C94B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C94B.tmp"
        5⤵
        
        PID:1112
      - C:\Users\Admin\AppData\Local\Temp\C999.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C999.tmp"
        6⤵
        
        PID:2356
        
        C:\Users\Admin\AppData\Local\Temp\C9E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9E7.tmp"
        7⤵
        
        PID:3044
        
        C:\Users\Admin\AppData\Local\Temp\CA35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA35.tmp"
        8⤵
        
        PID:4500
    - - C:\Users\Admin\AppData\Local\Temp\ADD4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ADD4.tmp"
        5⤵
        
        PID:1052

C:\Users\Admin\AppData\Local\Temp\CA84.tmp
"C:\Users\Admin\AppData\Local\Temp\CA84.tmp"
1⤵
PID:1912
- C:\Users\Admin\AppData\Local\Temp\CAD2.tmp
  "C:\Users\Admin\AppData\Local\Temp\CAD2.tmp"
  2⤵
  PID:2424
- - C:\Users\Admin\AppData\Local\Temp\AFA9.tmp
    "C:\Users\Admin\AppData\Local\Temp\AFA9.tmp"
    3⤵
    PID:4900
  - - C:\Users\Admin\AppData\Local\Temp\4A57.tmp
      "C:\Users\Admin\AppData\Local\Temp\4A57.tmp"
      4⤵
      PID:5212

C:\Users\Admin\AppData\Local\Temp\CCA6.tmp
"C:\Users\Admin\AppData\Local\Temp\CCA6.tmp"
1⤵
PID:2448
- C:\Users\Admin\AppData\Local\Temp\CCF5.tmp
  "C:\Users\Admin\AppData\Local\Temp\CCF5.tmp"
  2⤵
  PID:2044
- C:\Users\Admin\AppData\Local\Temp\25D3.tmp
  "C:\Users\Admin\AppData\Local\Temp\25D3.tmp"
  2⤵
  PID:2264
- - C:\Users\Admin\AppData\Local\Temp\2621.tmp
    "C:\Users\Admin\AppData\Local\Temp\2621.tmp"
    3⤵
    PID:2248
  - - C:\Users\Admin\AppData\Local\Temp\266F.tmp
      "C:\Users\Admin\AppData\Local\Temp\266F.tmp"
      4⤵
      PID:1856
    - - C:\Users\Admin\AppData\Local\Temp\26BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\26BD.tmp"
        5⤵
        
        PID:2780
      - C:\Users\Admin\AppData\Local\Temp\270B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\270B.tmp"
        6⤵
        
        PID:5492
        
        C:\Users\Admin\AppData\Local\Temp\2759.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2759.tmp"
        7⤵
        
        PID:4388
        
        C:\Users\Admin\AppData\Local\Temp\27A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27A7.tmp"
        8⤵
        
        PID:2236
        
        C:\Users\Admin\AppData\Local\Temp\27F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27F5.tmp"
        9⤵
        
        PID:3972
        
        C:\Users\Admin\AppData\Local\Temp\678F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\678F.tmp"
        9⤵
        
        PID:5184
        
        C:\Users\Admin\AppData\Local\Temp\67DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\67DD.tmp"
        10⤵
        
        PID:5476

C:\Users\Admin\AppData\Local\Temp\D30F.tmp
"C:\Users\Admin\AppData\Local\Temp\D30F.tmp"
1⤵
PID:4640
- C:\Users\Admin\AppData\Local\Temp\D35D.tmp
  "C:\Users\Admin\AppData\Local\Temp\D35D.tmp"
  2⤵
  PID:5268
- - C:\Users\Admin\AppData\Local\Temp\D3AB.tmp
    "C:\Users\Admin\AppData\Local\Temp\D3AB.tmp"
    3⤵
    PID:5160
  - - C:\Users\Admin\AppData\Local\Temp\D3F9.tmp
      "C:\Users\Admin\AppData\Local\Temp\D3F9.tmp"
      4⤵
      PID:804
    - - C:\Users\Admin\AppData\Local\Temp\D448.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D448.tmp"
        5⤵
        
        PID:552
      - C:\Users\Admin\AppData\Local\Temp\D496.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D496.tmp"
        6⤵
        
        PID:3088
        
        C:\Users\Admin\AppData\Local\Temp\D4E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D4E4.tmp"
        7⤵
        
        PID:2788
        
        C:\Users\Admin\AppData\Local\Temp\D532.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D532.tmp"
        8⤵
        
        PID:4392
        
        C:\Users\Admin\AppData\Local\Temp\D580.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D580.tmp"
        9⤵
        
        PID:5244
        
        C:\Users\Admin\AppData\Local\Temp\D5CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D5CE.tmp"
        10⤵
        
        PID:3140
        
        C:\Users\Admin\AppData\Local\Temp\D61C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D61C.tmp"
        11⤵
        
        PID:888
        
        C:\Users\Admin\AppData\Local\Temp\6F5F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F5F.tmp"
        12⤵
        
        PID:5488
        
        C:\Users\Admin\AppData\Local\Temp\6FAD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6FAD.tmp"
        13⤵
        
        PID:5168
        
        C:\Users\Admin\AppData\Local\Temp\6FFB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6FFB.tmp"
        14⤵
        
        PID:700
        
        C:\Users\Admin\AppData\Local\Temp\7049.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7049.tmp"
        15⤵
        
        PID:5880

C:\Users\Admin\AppData\Local\Temp\D7F1.tmp
"C:\Users\Admin\AppData\Local\Temp\D7F1.tmp"
1⤵
PID:3188
- C:\Users\Admin\AppData\Local\Temp\D83F.tmp
  "C:\Users\Admin\AppData\Local\Temp\D83F.tmp"
  2⤵
  PID:4240
- - C:\Users\Admin\AppData\Local\Temp\D88D.tmp
    "C:\Users\Admin\AppData\Local\Temp\D88D.tmp"
    3⤵
    PID:1704
  - - C:\Users\Admin\AppData\Local\Temp\D8DB.tmp
      "C:\Users\Admin\AppData\Local\Temp\D8DB.tmp"
      4⤵
      PID:5296

C:\Users\Admin\AppData\Local\Temp\D92A.tmp
"C:\Users\Admin\AppData\Local\Temp\D92A.tmp"
1⤵
PID:2552
- C:\Users\Admin\AppData\Local\Temp\D978.tmp
  "C:\Users\Admin\AppData\Local\Temp\D978.tmp"
  2⤵
  PID:1056
- - C:\Users\Admin\AppData\Local\Temp\D9C6.tmp
    "C:\Users\Admin\AppData\Local\Temp\D9C6.tmp"
    3⤵
    PID:3928
  - - C:\Users\Admin\AppData\Local\Temp\DA14.tmp
      "C:\Users\Admin\AppData\Local\Temp\DA14.tmp"
      4⤵
      PID:4568
- - C:\Users\Admin\AppData\Local\Temp\709C.tmp
    "C:\Users\Admin\AppData\Local\Temp\709C.tmp"
    3⤵
    PID:3208

C:\Users\Admin\AppData\Local\Temp\DC37.tmp
"C:\Users\Admin\AppData\Local\Temp\DC37.tmp"
1⤵
PID:4408
- C:\Users\Admin\AppData\Local\Temp\DC85.tmp
  "C:\Users\Admin\AppData\Local\Temp\DC85.tmp"
  2⤵
  PID:4896
- - C:\Users\Admin\AppData\Local\Temp\DCD3.tmp
    "C:\Users\Admin\AppData\Local\Temp\DCD3.tmp"
    3⤵
    PID:4768

C:\Users\Admin\AppData\Local\Temp\DD21.tmp
"C:\Users\Admin\AppData\Local\Temp\DD21.tmp"
1⤵
PID:112
- C:\Users\Admin\AppData\Local\Temp\DD6F.tmp
  "C:\Users\Admin\AppData\Local\Temp\DD6F.tmp"
  2⤵
  PID:2216
- - C:\Users\Admin\AppData\Local\Temp\DDBD.tmp
    "C:\Users\Admin\AppData\Local\Temp\DDBD.tmp"
    3⤵
    PID:1336

C:\Users\Admin\AppData\Local\Temp\DE0C.tmp
"C:\Users\Admin\AppData\Local\Temp\DE0C.tmp"
1⤵
PID:3096
- C:\Users\Admin\AppData\Local\Temp\DE5A.tmp
  "C:\Users\Admin\AppData\Local\Temp\DE5A.tmp"
  2⤵
  PID:4284

C:\Users\Admin\AppData\Local\Temp\DEA8.tmp
"C:\Users\Admin\AppData\Local\Temp\DEA8.tmp"
1⤵
PID:4428
- C:\Users\Admin\AppData\Local\Temp\DEF6.tmp
  "C:\Users\Admin\AppData\Local\Temp\DEF6.tmp"
  2⤵
  PID:920

C:\Users\Admin\AppData\Local\Temp\E0AB.tmp
"C:\Users\Admin\AppData\Local\Temp\E0AB.tmp"
1⤵
PID:3900
- C:\Users\Admin\AppData\Local\Temp\E0FA.tmp
  "C:\Users\Admin\AppData\Local\Temp\E0FA.tmp"
  2⤵
  PID:5012
- C:\Users\Admin\AppData\Local\Temp\4621.tmp
  "C:\Users\Admin\AppData\Local\Temp\4621.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:1064

C:\Users\Admin\AppData\Local\Temp\E148.tmp
"C:\Users\Admin\AppData\Local\Temp\E148.tmp"
1⤵
PID:5496
- C:\Users\Admin\AppData\Local\Temp\E196.tmp
  "C:\Users\Admin\AppData\Local\Temp\E196.tmp"
  2⤵
  PID:3440
- - C:\Users\Admin\AppData\Local\Temp\E1E4.tmp
    "C:\Users\Admin\AppData\Local\Temp\E1E4.tmp"
    3⤵
    PID:1500
  - - C:\Users\Admin\AppData\Local\Temp\E232.tmp
      "C:\Users\Admin\AppData\Local\Temp\E232.tmp"
      4⤵
      PID:1640
    - - C:\Users\Admin\AppData\Local\Temp\E280.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E280.tmp"
        5⤵
        
        PID:4012
  - - C:\Users\Admin\AppData\Local\Temp\8E55.tmp
      "C:\Users\Admin\AppData\Local\Temp\8E55.tmp"
      4⤵
      PID:2760
  - - C:\Users\Admin\AppData\Local\Temp\5DA1.tmp
      "C:\Users\Admin\AppData\Local\Temp\5DA1.tmp"
      4⤵
      PID:1640

C:\Users\Admin\AppData\Local\Temp\E2CE.tmp
"C:\Users\Admin\AppData\Local\Temp\E2CE.tmp"
1⤵
PID:1216
- C:\Users\Admin\AppData\Local\Temp\E31C.tmp
  "C:\Users\Admin\AppData\Local\Temp\E31C.tmp"
  2⤵
  PID:6096
- - C:\Users\Admin\AppData\Local\Temp\E36B.tmp
    "C:\Users\Admin\AppData\Local\Temp\E36B.tmp"
    3⤵
    PID:2908
  - - C:\Users\Admin\AppData\Local\Temp\E3B9.tmp
      "C:\Users\Admin\AppData\Local\Temp\E3B9.tmp"
      4⤵
      PID:5740
    - - C:\Users\Admin\AppData\Local\Temp\E407.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E407.tmp"
        5⤵
        
        PID:2656
      - C:\Users\Admin\AppData\Local\Temp\E455.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E455.tmp"
        6⤵
        
        PID:2956
        
        C:\Users\Admin\AppData\Local\Temp\E4A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E4A3.tmp"
        7⤵
        
        PID:5644
    - - C:\Users\Admin\AppData\Local\Temp\6CA4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CA4.tmp"
        5⤵
        
        PID:5616

C:\Users\Admin\AppData\Local\Temp\E85C.tmp
"C:\Users\Admin\AppData\Local\Temp\E85C.tmp"
1⤵
PID:2424
- C:\Users\Admin\AppData\Local\Temp\E8AA.tmp
  "C:\Users\Admin\AppData\Local\Temp\E8AA.tmp"
  2⤵
  PID:5320
- - C:\Users\Admin\AppData\Local\Temp\E8F8.tmp
    "C:\Users\Admin\AppData\Local\Temp\E8F8.tmp"
    3⤵
    PID:1652
  - - C:\Users\Admin\AppData\Local\Temp\E947.tmp
      "C:\Users\Admin\AppData\Local\Temp\E947.tmp"
      4⤵
      PID:1448
    - - C:\Users\Admin\AppData\Local\Temp\E995.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E995.tmp"
        5⤵
        
        PID:1496

C:\Users\Admin\AppData\Local\Temp\E9E3.tmp
"C:\Users\Admin\AppData\Local\Temp\E9E3.tmp"
1⤵
PID:3884
- C:\Users\Admin\AppData\Local\Temp\EA31.tmp
  "C:\Users\Admin\AppData\Local\Temp\EA31.tmp"
  2⤵
  PID:688
- - C:\Users\Admin\AppData\Local\Temp\EA7F.tmp
    "C:\Users\Admin\AppData\Local\Temp\EA7F.tmp"
    3⤵
    PID:5428
  - - C:\Users\Admin\AppData\Local\Temp\EACD.tmp
      "C:\Users\Admin\AppData\Local\Temp\EACD.tmp"
      4⤵
      PID:6052
    - - C:\Users\Admin\AppData\Local\Temp\EB1B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB1B.tmp"
        5⤵
        
        PID:6104
      - C:\Users\Admin\AppData\Local\Temp\EB69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB69.tmp"
        6⤵
        
        PID:5184
        
        C:\Users\Admin\AppData\Local\Temp\EBB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EBB8.tmp"
        7⤵
        
        PID:3828
        
        C:\Users\Admin\AppData\Local\Temp\EC06.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC06.tmp"
        8⤵
        
        PID:1508
        
        C:\Users\Admin\AppData\Local\Temp\EC54.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC54.tmp"
        9⤵
        
        PID:5716
        
        C:\Users\Admin\AppData\Local\Temp\ECA2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ECA2.tmp"
        10⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\ECF0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ECF0.tmp"
        11⤵
        
        PID:5216
        
        C:\Users\Admin\AppData\Local\Temp\ED3E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED3E.tmp"
        12⤵
        
        PID:5528
        
        C:\Users\Admin\AppData\Local\Temp\ED8C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED8C.tmp"
        13⤵
        
        PID:5096
        
        C:\Users\Admin\AppData\Local\Temp\28E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28E0.tmp"
        9⤵
        
        PID:5716
        
        C:\Users\Admin\AppData\Local\Temp\292E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\292E.tmp"
        10⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\297C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\297C.tmp"
        11⤵
        
        PID:1308
        
        C:\Users\Admin\AppData\Local\Temp\29CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\29CA.tmp"
        12⤵
        
        PID:3984
        
        C:\Users\Admin\AppData\Local\Temp\2A18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A18.tmp"
        13⤵
        
        PID:5096
        
        C:\Users\Admin\AppData\Local\Temp\2A66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A66.tmp"
        14⤵
        
        PID:4844
        
        C:\Users\Admin\AppData\Local\Temp\494D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\494D.tmp"
        8⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:5208
    - - C:\Users\Admin\AppData\Local\Temp\4C8A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C8A.tmp"
        5⤵
        Executes dropped EXE
        
        PID:5476
  - - C:\Users\Admin\AppData\Local\Temp\66A4.tmp
      "C:\Users\Admin\AppData\Local\Temp\66A4.tmp"
      4⤵
      PID:4492
    - - C:\Users\Admin\AppData\Local\Temp\66F2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\66F2.tmp"
        5⤵
        
        PID:2484
      - C:\Users\Admin\AppData\Local\Temp\6741.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6741.tmp"
        6⤵
        
        PID:2236
- - C:\Users\Admin\AppData\Local\Temp\4C3B.tmp
    "C:\Users\Admin\AppData\Local\Temp\4C3B.tmp"
    3⤵
    - Executes dropped EXE
    PID:6052

C:\Users\Admin\AppData\Local\Temp\EDCB.tmp
"C:\Users\Admin\AppData\Local\Temp\EDCB.tmp"
1⤵
PID:3128
- C:\Users\Admin\AppData\Local\Temp\EE19.tmp
  "C:\Users\Admin\AppData\Local\Temp\EE19.tmp"
  2⤵
  PID:5148
- - C:\Users\Admin\AppData\Local\Temp\EE67.tmp
    "C:\Users\Admin\AppData\Local\Temp\EE67.tmp"
    3⤵
    - Executes dropped EXE
    PID:5732
  - - C:\Users\Admin\AppData\Local\Temp\EEB5.tmp
      "C:\Users\Admin\AppData\Local\Temp\EEB5.tmp"
      4⤵
      PID:4548
    - - C:\Users\Admin\AppData\Local\Temp\EF03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF03.tmp"
        5⤵
        
        PID:2972
      - C:\Users\Admin\AppData\Local\Temp\EF51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF51.tmp"
        6⤵
        
        PID:4280
- C:\Users\Admin\AppData\Local\Temp\807A.tmp
  "C:\Users\Admin\AppData\Local\Temp\807A.tmp"
  2⤵
  PID:5148
- C:\Users\Admin\AppData\Local\Temp\6736.tmp
  "C:\Users\Admin\AppData\Local\Temp\6736.tmp"
  2⤵
  PID:5148

C:\Users\Admin\AppData\Local\Temp\EFA0.tmp
"C:\Users\Admin\AppData\Local\Temp\EFA0.tmp"
1⤵
PID:2996
- C:\Users\Admin\AppData\Local\Temp\EFEE.tmp
  "C:\Users\Admin\AppData\Local\Temp\EFEE.tmp"
  2⤵
  PID:876
- - C:\Users\Admin\AppData\Local\Temp\F03C.tmp
    "C:\Users\Admin\AppData\Local\Temp\F03C.tmp"
    3⤵
    PID:5596
  - - C:\Users\Admin\AppData\Local\Temp\F08A.tmp
      "C:\Users\Admin\AppData\Local\Temp\F08A.tmp"
      4⤵
      Executes dropped EXE
      PID:3176
    - - C:\Users\Admin\AppData\Local\Temp\F0D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0D8.tmp"
        5⤵
        
        PID:2880
      - C:\Users\Admin\AppData\Local\Temp\F126.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F126.tmp"
        6⤵
        
        PID:560
      - C:\Users\Admin\AppData\Local\Temp\4D9E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D9E.tmp"
        6⤵
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\4DEC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4DEC.tmp"
        7⤵
        
        PID:3052
        
        C:\Users\Admin\AppData\Local\Temp\4E3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E3A.tmp"
        8⤵
        
        PID:5544
        
        C:\Users\Admin\AppData\Local\Temp\4E88.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E88.tmp"
        9⤵
        
        PID:3772
        
        C:\Users\Admin\AppData\Local\Temp\4ED7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4ED7.tmp"
        10⤵
        
        PID:1628
        
        C:\Users\Admin\AppData\Local\Temp\4F15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F15.tmp"
        11⤵
        
        PID:5416
        
        C:\Users\Admin\AppData\Local\Temp\4F63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F63.tmp"
        12⤵
        
        PID:2968
        
        C:\Users\Admin\AppData\Local\Temp\4FB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FB1.tmp"
        13⤵
        
        PID:4728
        
        C:\Users\Admin\AppData\Local\Temp\4FFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FFF.tmp"
        14⤵
        
        PID:5124
        
        C:\Users\Admin\AppData\Local\Temp\504E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\504E.tmp"
        15⤵
        
        PID:5028
        
        C:\Users\Admin\AppData\Local\Temp\509C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\509C.tmp"
        16⤵
        
        PID:4920

C:\Users\Admin\AppData\Local\Temp\F174.tmp
"C:\Users\Admin\AppData\Local\Temp\F174.tmp"
1⤵
PID:5688
- C:\Users\Admin\AppData\Local\Temp\F1C2.tmp
  "C:\Users\Admin\AppData\Local\Temp\F1C2.tmp"
  2⤵
  PID:4956
- - C:\Users\Admin\AppData\Local\Temp\F211.tmp
    "C:\Users\Admin\AppData\Local\Temp\F211.tmp"
    3⤵
    PID:696
  - - C:\Users\Admin\AppData\Local\Temp\F25F.tmp
      "C:\Users\Admin\AppData\Local\Temp\F25F.tmp"
      4⤵
      PID:3416
    - - C:\Users\Admin\AppData\Local\Temp\F2AD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2AD.tmp"
        5⤵
        
        PID:5948
      - C:\Users\Admin\AppData\Local\Temp\F2FB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2FB.tmp"
        6⤵
        
        PID:5640
        
        C:\Users\Admin\AppData\Local\Temp\F349.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F349.tmp"
        7⤵
        
        PID:1468
        
        C:\Users\Admin\AppData\Local\Temp\F397.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F397.tmp"
        8⤵
        
        PID:1740
        
        C:\Users\Admin\AppData\Local\Temp\F3E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3E5.tmp"
        9⤵
        
        PID:5168

C:\Users\Admin\AppData\Local\Temp\F4D0.tmp
"C:\Users\Admin\AppData\Local\Temp\F4D0.tmp"
1⤵
- Executes dropped EXE
PID:1972
- C:\Users\Admin\AppData\Local\Temp\F51E.tmp
  "C:\Users\Admin\AppData\Local\Temp\F51E.tmp"
  2⤵
  PID:3124
- - C:\Users\Admin\AppData\Local\Temp\F56C.tmp
    "C:\Users\Admin\AppData\Local\Temp\F56C.tmp"
    3⤵
    PID:3996

C:\Users\Admin\AppData\Local\Temp\F6F3.tmp
"C:\Users\Admin\AppData\Local\Temp\F6F3.tmp"
1⤵
PID:4044
- C:\Users\Admin\AppData\Local\Temp\F741.tmp
  "C:\Users\Admin\AppData\Local\Temp\F741.tmp"
  2⤵
  PID:2592
- - C:\Users\Admin\AppData\Local\Temp\F78F.tmp
    "C:\Users\Admin\AppData\Local\Temp\F78F.tmp"
    3⤵
    PID:2860
  - - C:\Users\Admin\AppData\Local\Temp\F7CD.tmp
      "C:\Users\Admin\AppData\Local\Temp\F7CD.tmp"
      4⤵
      PID:5196

C:\Users\Admin\AppData\Local\Temp\F983.tmp
"C:\Users\Admin\AppData\Local\Temp\F983.tmp"
1⤵
PID:4484
- C:\Users\Admin\AppData\Local\Temp\F9D1.tmp
  "C:\Users\Admin\AppData\Local\Temp\F9D1.tmp"
  2⤵
  PID:1996
- - C:\Users\Admin\AppData\Local\Temp\FA1F.tmp
    "C:\Users\Admin\AppData\Local\Temp\FA1F.tmp"
    3⤵
    PID:3508
  - - C:\Users\Admin\AppData\Local\Temp\FA6D.tmp
      "C:\Users\Admin\AppData\Local\Temp\FA6D.tmp"
      4⤵
      PID:2352
- C:\Users\Admin\AppData\Local\Temp\5668.tmp
  "C:\Users\Admin\AppData\Local\Temp\5668.tmp"
  2⤵
  PID:2856
- - C:\Users\Admin\AppData\Local\Temp\56B6.tmp
    "C:\Users\Admin\AppData\Local\Temp\56B6.tmp"
    3⤵
    PID:4712
  - - C:\Users\Admin\AppData\Local\Temp\5704.tmp
      "C:\Users\Admin\AppData\Local\Temp\5704.tmp"
      4⤵
      PID:2352
    - - C:\Users\Admin\AppData\Local\Temp\5752.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5752.tmp"
        5⤵
        
        PID:1336
      - C:\Users\Admin\AppData\Local\Temp\57A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57A1.tmp"
        6⤵
        
        PID:3532

C:\Users\Admin\AppData\Local\Temp\FABB.tmp
"C:\Users\Admin\AppData\Local\Temp\FABB.tmp"
1⤵
PID:2624
- C:\Users\Admin\AppData\Local\Temp\FB09.tmp
  "C:\Users\Admin\AppData\Local\Temp\FB09.tmp"
  2⤵
  PID:224
- - C:\Users\Admin\AppData\Local\Temp\FB58.tmp
    "C:\Users\Admin\AppData\Local\Temp\FB58.tmp"
    3⤵
    PID:1608

C:\Users\Admin\AppData\Local\Temp\FC90.tmp
"C:\Users\Admin\AppData\Local\Temp\FC90.tmp"
1⤵
PID:1060
- C:\Users\Admin\AppData\Local\Temp\FCDE.tmp
  "C:\Users\Admin\AppData\Local\Temp\FCDE.tmp"
  2⤵
  PID:2024
- - C:\Users\Admin\AppData\Local\Temp\FD2C.tmp
    "C:\Users\Admin\AppData\Local\Temp\FD2C.tmp"
    3⤵
    PID:2584
  - - C:\Users\Admin\AppData\Local\Temp\FD7A.tmp
      "C:\Users\Admin\AppData\Local\Temp\FD7A.tmp"
      4⤵
      PID:5288
- - C:\Users\Admin\AppData\Local\Temp\5C68.tmp
    "C:\Users\Admin\AppData\Local\Temp\5C68.tmp"
    3⤵
    PID:2584

C:\Users\Admin\AppData\Local\Temp\4DC2.tmp
"C:\Users\Admin\AppData\Local\Temp\4DC2.tmp"
1⤵
- Executes dropped EXE
PID:4680

C:\Users\Admin\AppData\Local\Temp\4CE7.tmp
"C:\Users\Admin\AppData\Local\Temp\4CE7.tmp"
1⤵
PID:1048

C:\Users\Admin\AppData\Local\Temp\4B41.tmp
"C:\Users\Admin\AppData\Local\Temp\4B41.tmp"
1⤵
- Executes dropped EXE
PID:5052

C:\Users\Admin\AppData\Local\Temp\4AF3.tmp
"C:\Users\Admin\AppData\Local\Temp\4AF3.tmp"
1⤵
- Executes dropped EXE
PID:5016

C:\Users\Admin\AppData\Local\Temp\499C.tmp
"C:\Users\Admin\AppData\Local\Temp\499C.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4148

C:\Users\Admin\AppData\Local\Temp\4815.tmp
"C:\Users\Admin\AppData\Local\Temp\4815.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2896

C:\Users\Admin\AppData\Local\Temp\4575.tmp
"C:\Users\Admin\AppData\Local\Temp\4575.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2720

C:\Users\Admin\AppData\Local\Temp\F3D.tmp
"C:\Users\Admin\AppData\Local\Temp\F3D.tmp"
1⤵
PID:5556
- C:\Users\Admin\AppData\Local\Temp\F8B.tmp
  "C:\Users\Admin\AppData\Local\Temp\F8B.tmp"
  2⤵
  PID:1744
- - C:\Users\Admin\AppData\Local\Temp\FDA.tmp
    "C:\Users\Admin\AppData\Local\Temp\FDA.tmp"
    3⤵
    PID:2616
  - - C:\Users\Admin\AppData\Local\Temp\1028.tmp
      "C:\Users\Admin\AppData\Local\Temp\1028.tmp"
      4⤵
      PID:840
    - - C:\Users\Admin\AppData\Local\Temp\1076.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1076.tmp"
        5⤵
        Executes dropped EXE
        
        PID:1764
      - C:\Users\Admin\AppData\Local\Temp\10B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\10B4.tmp"
        6⤵
        Executes dropped EXE
        
        PID:3516
        
        C:\Users\Admin\AppData\Local\Temp\1122.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1122.tmp"
        7⤵
        
        PID:2008
        
        C:\Users\Admin\AppData\Local\Temp\1170.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1170.tmp"
        8⤵
        
        PID:2252
        
        C:\Users\Admin\AppData\Local\Temp\11BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\11BE.tmp"
        9⤵
        
        PID:5088
        
        C:\Users\Admin\AppData\Local\Temp\120C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\120C.tmp"
        10⤵
        
        PID:5452
        
        C:\Users\Admin\AppData\Local\Temp\125A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\125A.tmp"
        11⤵
        
        PID:5804
        
        C:\Users\Admin\AppData\Local\Temp\12A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12A8.tmp"
        12⤵
        
        PID:5484
        
        C:\Users\Admin\AppData\Local\Temp\12F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12F6.tmp"
        13⤵
        
        PID:1860
        
        C:\Users\Admin\AppData\Local\Temp\1345.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1345.tmp"
        14⤵
        
        PID:4992
        
        C:\Users\Admin\AppData\Local\Temp\1393.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1393.tmp"
        15⤵
        
        PID:316
        
        C:\Users\Admin\AppData\Local\Temp\13E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\13E1.tmp"
        16⤵
        
        PID:4456
        
        C:\Users\Admin\AppData\Local\Temp\142F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\142F.tmp"
        17⤵
        
        PID:3188
        
        C:\Users\Admin\AppData\Local\Temp\147D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\147D.tmp"
        18⤵
        
        PID:2828
        
        C:\Users\Admin\AppData\Local\Temp\14CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\14CB.tmp"
        19⤵
        Executes dropped EXE
        
        PID:5924
        
        C:\Users\Admin\AppData\Local\Temp\1519.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1519.tmp"
        20⤵
        
        PID:5704
        
        C:\Users\Admin\AppData\Local\Temp\1567.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1567.tmp"
        21⤵
        Executes dropped EXE
        
        PID:2552
        
        C:\Users\Admin\AppData\Local\Temp\15B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15B6.tmp"
        22⤵
        
        PID:4208
        
        C:\Users\Admin\AppData\Local\Temp\1604.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1604.tmp"
        23⤵
        
        PID:5616
        
        C:\Users\Admin\AppData\Local\Temp\1652.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1652.tmp"
        24⤵
        
        PID:4996
        
        C:\Users\Admin\AppData\Local\Temp\1690.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1690.tmp"
        25⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\16DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16DE.tmp"
        26⤵
        
        PID:4624
        
        C:\Users\Admin\AppData\Local\Temp\5530.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5530.tmp"
        27⤵
        
        PID:5524
        
        C:\Users\Admin\AppData\Local\Temp\557E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\557E.tmp"
        28⤵
        
        PID:3936
        
        C:\Users\Admin\AppData\Local\Temp\55CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55CC.tmp"
        29⤵
        
        PID:1456
        
        C:\Users\Admin\AppData\Local\Temp\561A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\561A.tmp"
        30⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\7182.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7182.tmp"
        16⤵
        
        PID:5812
        
        C:\Users\Admin\AppData\Local\Temp\71D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71D0.tmp"
        17⤵
        
        PID:1504

C:\Users\Admin\AppData\Local\Temp\171D.tmp
"C:\Users\Admin\AppData\Local\Temp\171D.tmp"
1⤵
PID:4204
- C:\Users\Admin\AppData\Local\Temp\176B.tmp
  "C:\Users\Admin\AppData\Local\Temp\176B.tmp"
  2⤵
  PID:3936
- - C:\Users\Admin\AppData\Local\Temp\17AA.tmp
    "C:\Users\Admin\AppData\Local\Temp\17AA.tmp"
    3⤵
    PID:3492
  - - C:\Users\Admin\AppData\Local\Temp\17E8.tmp
      "C:\Users\Admin\AppData\Local\Temp\17E8.tmp"
      4⤵
      PID:4408
    - - C:\Users\Admin\AppData\Local\Temp\1836.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1836.tmp"
        5⤵
        
        PID:1300
      - C:\Users\Admin\AppData\Local\Temp\1884.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1884.tmp"
        6⤵
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\18C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\18C3.tmp"
        7⤵
        
        PID:112
        
        C:\Users\Admin\AppData\Local\Temp\1911.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1911.tmp"
        8⤵
        
        PID:528
        
        C:\Users\Admin\AppData\Local\Temp\195F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\195F.tmp"
        9⤵
        
        PID:2700
        
        C:\Users\Admin\AppData\Local\Temp\19BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\19BD.tmp"
        10⤵
        
        PID:3532
        
        C:\Users\Admin\AppData\Local\Temp\1A0B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A0B.tmp"
        11⤵
        
        PID:1932
        
        C:\Users\Admin\AppData\Local\Temp\1A59.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A59.tmp"
        12⤵
        
        PID:5444
        
        C:\Users\Admin\AppData\Local\Temp\1AA7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AA7.tmp"
        13⤵
        
        PID:3304
        
        C:\Users\Admin\AppData\Local\Temp\1AF5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AF5.tmp"
        14⤵
        
        PID:1104
        
        C:\Users\Admin\AppData\Local\Temp\1B43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B43.tmp"
        15⤵
        
        PID:4632
        
        C:\Users\Admin\AppData\Local\Temp\1B92.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B92.tmp"
        16⤵
        
        PID:3160
        
        C:\Users\Admin\AppData\Local\Temp\1BE0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1BE0.tmp"
        17⤵
        
        PID:4604
        
        C:\Users\Admin\AppData\Local\Temp\1C2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C2E.tmp"
        18⤵
        
        PID:5408
        
        C:\Users\Admin\AppData\Local\Temp\1C7C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C7C.tmp"
        19⤵
        
        PID:5836
        
        C:\Users\Admin\AppData\Local\Temp\1CCA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1CCA.tmp"
        20⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\1D18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D18.tmp"
        21⤵
        
        PID:5856
        
        C:\Users\Admin\AppData\Local\Temp\77EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77EA.tmp"
        14⤵
        
        PID:3868
        
        C:\Users\Admin\AppData\Local\Temp\7838.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7838.tmp"
        15⤵
        
        PID:4428
        
        C:\Users\Admin\AppData\Local\Temp\7886.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7886.tmp"
        16⤵
        
        PID:2156
        
        C:\Users\Admin\AppData\Local\Temp\78D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78D5.tmp"
        17⤵
        
        PID:1060
        
        C:\Users\Admin\AppData\Local\Temp\7923.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7923.tmp"
        18⤵
        
        PID:2024
        
        C:\Users\Admin\AppData\Local\Temp\57EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57EF.tmp"
        11⤵
        
        PID:4536
        
        C:\Users\Admin\AppData\Local\Temp\583D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\583D.tmp"
        12⤵
        
        PID:496

C:\Users\Admin\AppData\Local\Temp\1FF7.tmp
"C:\Users\Admin\AppData\Local\Temp\1FF7.tmp"
1⤵
PID:5504
- C:\Users\Admin\AppData\Local\Temp\2045.tmp
  "C:\Users\Admin\AppData\Local\Temp\2045.tmp"
  2⤵
  PID:1800
- - C:\Users\Admin\AppData\Local\Temp\2083.tmp
    "C:\Users\Admin\AppData\Local\Temp\2083.tmp"
    3⤵
    PID:4576
  - - C:\Users\Admin\AppData\Local\Temp\20C2.tmp
      "C:\Users\Admin\AppData\Local\Temp\20C2.tmp"
      4⤵
      PID:2980

C:\Users\Admin\AppData\Local\Temp\2100.tmp
"C:\Users\Admin\AppData\Local\Temp\2100.tmp"
1⤵
PID:2420
- C:\Users\Admin\AppData\Local\Temp\214E.tmp
  "C:\Users\Admin\AppData\Local\Temp\214E.tmp"
  2⤵
  PID:4068
- - C:\Users\Admin\AppData\Local\Temp\219C.tmp
    "C:\Users\Admin\AppData\Local\Temp\219C.tmp"
    3⤵
    PID:4120
  - - C:\Users\Admin\AppData\Local\Temp\21DB.tmp
      "C:\Users\Admin\AppData\Local\Temp\21DB.tmp"
      4⤵
      PID:4256
    - - C:\Users\Admin\AppData\Local\Temp\2229.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2229.tmp"
        5⤵
        
        PID:2356
      - C:\Users\Admin\AppData\Local\Temp\2268.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2268.tmp"
        6⤵
        
        PID:3044

C:\Users\Admin\AppData\Local\Temp\2D26.tmp
"C:\Users\Admin\AppData\Local\Temp\2D26.tmp"
1⤵
PID:2728
- C:\Users\Admin\AppData\Local\Temp\2D74.tmp
  "C:\Users\Admin\AppData\Local\Temp\2D74.tmp"
  2⤵
  PID:3052
- - C:\Users\Admin\AppData\Local\Temp\2DC2.tmp
    "C:\Users\Admin\AppData\Local\Temp\2DC2.tmp"
    3⤵
    PID:5544
  - - C:\Users\Admin\AppData\Local\Temp\2E10.tmp
      "C:\Users\Admin\AppData\Local\Temp\2E10.tmp"
      4⤵
      PID:3772
    - - C:\Users\Admin\AppData\Local\Temp\2E5E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E5E.tmp"
        5⤵
        
        PID:1628
      - C:\Users\Admin\AppData\Local\Temp\2EAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2EAC.tmp"
        6⤵
        
        PID:5416
        
        C:\Users\Admin\AppData\Local\Temp\2EFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2EFA.tmp"
        7⤵
        
        PID:2968

C:\Users\Admin\AppData\Local\Temp\4428.tmp
"C:\Users\Admin\AppData\Local\Temp\4428.tmp"
1⤵
PID:5064
- C:\Users\Admin\AppData\Local\Temp\4476.tmp
  "C:\Users\Admin\AppData\Local\Temp\4476.tmp"
  2⤵
  PID:3172
- - C:\Users\Admin\AppData\Local\Temp\44D4.tmp
    "C:\Users\Admin\AppData\Local\Temp\44D4.tmp"
    3⤵
    PID:2044
  - - C:\Users\Admin\AppData\Local\Temp\4522.tmp
      "C:\Users\Admin\AppData\Local\Temp\4522.tmp"
      4⤵
      PID:5668
    - - C:\Users\Admin\AppData\Local\Temp\4570.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4570.tmp"
        5⤵
        
        PID:3048
      - C:\Users\Admin\AppData\Local\Temp\45CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\45CE.tmp"
        6⤵
        
        PID:3468
        
        C:\Users\Admin\AppData\Local\Temp\463B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\463B.tmp"
        7⤵
        
        PID:3460
        
        C:\Users\Admin\AppData\Local\Temp\46B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46B8.tmp"
        8⤵
        
        PID:728
        
        C:\Users\Admin\AppData\Local\Temp\4726.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4726.tmp"
        9⤵
        
        PID:6104
        
        C:\Users\Admin\AppData\Local\Temp\4774.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4774.tmp"
        10⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\47D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47D2.tmp"
        11⤵
        
        PID:1048
        
        C:\Users\Admin\AppData\Local\Temp\483F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\483F.tmp"
        12⤵
        
        PID:5676
        
        C:\Users\Admin\AppData\Local\Temp\48BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\48BC.tmp"
        13⤵
        
        PID:5076
        
        C:\Users\Admin\AppData\Local\Temp\490A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\490A.tmp"
        14⤵
        
        PID:5632
        
        C:\Users\Admin\AppData\Local\Temp\4958.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4958.tmp"
        15⤵
        
        PID:2724
        
        C:\Users\Admin\AppData\Local\Temp\49A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49A6.tmp"
        16⤵
        
        PID:4644
        
        C:\Users\Admin\AppData\Local\Temp\49F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49F5.tmp"
        17⤵
        
        PID:3444
        
        C:\Users\Admin\AppData\Local\Temp\4A43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A43.tmp"
        18⤵
        
        PID:5800
        
        C:\Users\Admin\AppData\Local\Temp\4A91.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A91.tmp"
        19⤵
        
        PID:4136
        
        C:\Users\Admin\AppData\Local\Temp\4ADF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4ADF.tmp"
        20⤵
        
        PID:3552
        
        C:\Users\Admin\AppData\Local\Temp\4B2D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B2D.tmp"
        21⤵
        
        PID:1244
        
        C:\Users\Admin\AppData\Local\Temp\4B7B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B7B.tmp"
        22⤵
        
        PID:3276
        
        C:\Users\Admin\AppData\Local\Temp\4BC9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BC9.tmp"
        23⤵
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\4C17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C17.tmp"
        24⤵
        
        PID:1632
        
        C:\Users\Admin\AppData\Local\Temp\4C66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C66.tmp"
        25⤵
        
        PID:3676
        
        C:\Users\Admin\AppData\Local\Temp\4CB4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4CB4.tmp"
        26⤵
        
        PID:4056
        
        C:\Users\Admin\AppData\Local\Temp\4D02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D02.tmp"
        27⤵
        
        PID:5264
        
        C:\Users\Admin\AppData\Local\Temp\4D50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D50.tmp"
        28⤵
        
        PID:2880

C:\Users\Admin\AppData\Local\Temp\5975.tmp
"C:\Users\Admin\AppData\Local\Temp\5975.tmp"
1⤵
PID:2580
- C:\Users\Admin\AppData\Local\Temp\59C3.tmp
  "C:\Users\Admin\AppData\Local\Temp\59C3.tmp"
  2⤵
  PID:5848
- - C:\Users\Admin\AppData\Local\Temp\5A12.tmp
    "C:\Users\Admin\AppData\Local\Temp\5A12.tmp"
    3⤵
    PID:5288
  - - C:\Users\Admin\AppData\Local\Temp\5A60.tmp
      "C:\Users\Admin\AppData\Local\Temp\5A60.tmp"
      4⤵
      PID:4220

C:\Users\Admin\AppData\Local\Temp\65BA.tmp
"C:\Users\Admin\AppData\Local\Temp\65BA.tmp"
1⤵
PID:2248
- C:\Users\Admin\AppData\Local\Temp\6608.tmp
  "C:\Users\Admin\AppData\Local\Temp\6608.tmp"
  2⤵
  PID:5008
- - C:\Users\Admin\AppData\Local\Temp\6656.tmp
    "C:\Users\Admin\AppData\Local\Temp\6656.tmp"
    3⤵
    PID:5428

C:\Users\Admin\AppData\Local\Temp\6879.tmp
"C:\Users\Admin\AppData\Local\Temp\6879.tmp"
1⤵
PID:2748
- C:\Users\Admin\AppData\Local\Temp\68C7.tmp
  "C:\Users\Admin\AppData\Local\Temp\68C7.tmp"
  2⤵
  PID:1136

C:\Users\Admin\AppData\Local\Temp\6954.tmp
"C:\Users\Admin\AppData\Local\Temp\6954.tmp"
1⤵
PID:984
- C:\Users\Admin\AppData\Local\Temp\69A2.tmp
  "C:\Users\Admin\AppData\Local\Temp\69A2.tmp"
  2⤵
  PID:1088

C:\Users\Admin\AppData\Local\Temp\6C61.tmp
"C:\Users\Admin\AppData\Local\Temp\6C61.tmp"
1⤵
PID:3176
- C:\Users\Admin\AppData\Local\Temp\6CAF.tmp
  "C:\Users\Admin\AppData\Local\Temp\6CAF.tmp"
  2⤵
  PID:5160
- - C:\Users\Admin\AppData\Local\Temp\6CFD.tmp
    "C:\Users\Admin\AppData\Local\Temp\6CFD.tmp"
    3⤵
    PID:804
  - - C:\Users\Admin\AppData\Local\Temp\6D4B.tmp
      "C:\Users\Admin\AppData\Local\Temp\6D4B.tmp"
      4⤵
      PID:4912
    - - C:\Users\Admin\AppData\Local\Temp\6D9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D9A.tmp"
        5⤵
        
        PID:5708
      - C:\Users\Admin\AppData\Local\Temp\6DE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DE8.tmp"
        6⤵
        
        PID:3132
        
        C:\Users\Admin\AppData\Local\Temp\6E36.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E36.tmp"
        7⤵
        
        PID:4192

C:\Users\Admin\AppData\Local\Temp\721E.tmp
"C:\Users\Admin\AppData\Local\Temp\721E.tmp"
1⤵
PID:5860
- C:\Users\Admin\AppData\Local\Temp\726C.tmp
  "C:\Users\Admin\AppData\Local\Temp\726C.tmp"
  2⤵
  PID:2552
- - C:\Users\Admin\AppData\Local\Temp\72BA.tmp
    "C:\Users\Admin\AppData\Local\Temp\72BA.tmp"
    3⤵
    PID:1056
  - - C:\Users\Admin\AppData\Local\Temp\7308.tmp
      "C:\Users\Admin\AppData\Local\Temp\7308.tmp"
      4⤵
      PID:5548
    - - C:\Users\Admin\AppData\Local\Temp\7356.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7356.tmp"
        5⤵
        
        PID:5144

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\4371.tmp

Filesize
488KB

MD5
5502a35cb6a26596f772478e9e2a9380

SHA1
9a0a8de8fb037610d53891deef270c74293183f6

SHA256
9098d3b6a9b325148619500c7f852e3b33e274fc6042308f3f7fc908fbdc3587

SHA512
c2c15e1c06cfd34d6fc398af8d4bad26c5e78feae6900ec341791e9a6a50c6c2ae1a0548b7f8490ec0ed41cef132767ca228f7665aeb3c7a937fcd6da041aae1

Download Submit
C:\Users\Admin\AppData\Local\Temp\4371.tmp

Filesize
11KB

MD5
5a3387b60800345169fda9def15185eb

SHA1
25b4af6c08143528485d3915dedab99534bb08bc

SHA256
00bdbcd42426fca7df3f0c63b1e9b48ed9542de54d708693368189cf03a8f717

SHA512
0525cb1f3de891eee382df26649678f7923484ced80cdbe4bb87ddb90c0ad6e00872bb36309251e0862a5d8814d6156d4507d38cfb909969299b34070fcebb56

Download Submit
C:\Users\Admin\AppData\Local\Temp\43CF.tmp

Filesize
80KB

MD5
74ff088d94ffdebcc9763bccc7818c26

SHA1
b569d2aa49692e1591ab35cb66d9b4877875727b

SHA256
75eb818132219508d60a6513ab8cb971c3991168d8358e6b6417ca4b1dfdf57a

SHA512
bed5429e6c37a2bdaee91121a519a6f308aa0e141575f598161686fef47cf7ccf1d3f5f32d007b961c94596f9d867f8a8abfcffa1940cf2c40291832e1c885f8

Download Submit
C:\Users\Admin\AppData\Local\Temp\43CF.tmp

Filesize
1KB

MD5
f31e39881a1444b996083b94e2397289

SHA1
00353e2d68e5895c48897be2ea99e3ec9024c3a6

SHA256
a49cd3f71b3d9df0108cd69460495fcc12e346904dd50a9dcfb0a36c0695a7d4

SHA512
6f80161d3fdac96cbf5f8ca731cecc30ca1e9fc8aae8729fe2b681978549d055340d4585a6bf3e60633eb1571c72f7db91aabafc9771b96ed045fea4a967a58b

Download Submit
C:\Users\Admin\AppData\Local\Temp\441D.tmp

Filesize
142KB

MD5
5cb9e001f761e0258e669143561e2e42

SHA1
cb4cc832301579fbf074c13bb482e3a5011835a2

SHA256
e78f54fc7fb85b32e1ec3962342fc3ff6867d5e288633f6218927b2ce6d24d51

SHA512
66f52937aff471ee2d7f02e6828c2e997e088b22eb42bc2d9e77e7399eb86d65b942aa8ac67092743fe695e4c1b03717025a287de6066c6fb34e9c7fff1ba67c

Download Submit
C:\Users\Admin\AppData\Local\Temp\441D.tmp

Filesize
80KB

MD5
bb69286efa279ee4e6cb7ff6d676f11b

SHA1
bd3cd6367b4f6a5d5d911bf90db9514d2f73cae9

SHA256
e538e3ad0b1aa4f60a95c5b310676dab55aee66b5d5931ad0a71274484de646b

SHA512
0a5d26a1245103f9f32337262040a3eba48484175f6eb1c04549e736a7ff26d32a82934ce4ea42750528afe53c7d7323fee948af3f0bb5d3eaf38777ea892fdc

Download Submit
C:\Users\Admin\AppData\Local\Temp\441D.tmp

Filesize
488KB

MD5
5dc01ef71505adec38ff298fc3987aa1

SHA1
597d1774ea71d089d7f236e625423e1a85421878

SHA256
3e055f117a227c8dae2b2281f7c736e509e6edfd180c2ea2c3c52bdb0c08034f

SHA512
6b5ecfa65e96e67e6e10fe6cdc5417d6364eb574c3675e0f9052ad1396a01979a28eeb25227c0df9b4f785626b07373b5cd50315e976f096981064524664147a

Download Submit
C:\Users\Admin\AppData\Local\Temp\446B.tmp

Filesize
488KB

MD5
f6e0bf58a6531fa02701964b2335c2b4

SHA1
6d4b57e8f786812e3f869ce789f34f81c57a8a7d

SHA256
e286904ee2a9eb35ab956f84c5da6cdbfbee01d4ddc7b86ded2f18f6534ab6bb

SHA512
d569fe7ab39a873488156eed0de0019e92bd2f411ea2567153f0b2f66303c68416b160b04880b4593ce3cdacb124bc1ce1bc56c9c83a417be2cd369c1ddb586c

Download Submit
C:\Users\Admin\AppData\Local\Temp\44C9.tmp

Filesize
116KB

MD5
8b5bd47bcc3f9770b0bb71d527089d76

SHA1
08efccb70d940448588098c3d0fcef8a0103c8ae

SHA256
d5d27869fbac640af8c057a0f483b2984d1bb933638c486721240c3033011053

SHA512
dd3f70c90f5049086bc32badbd8c85770fd70712e5afecc576e4ea2cafddd22fb78680898c874aff13180f6ee95af8c0ad3ab5b7ff260a9c57c45df989942b2f

Download Submit
C:\Users\Admin\AppData\Local\Temp\44C9.tmp

Filesize
15KB

MD5
43c5a411f31c98f4784585dbe7fb569f

SHA1
bc09bb1e543aa79c1af5af3bab2d25d0703befd0

SHA256
50f2b9113fa9bfc10428cf9e53bbfba116079551d659bd2eea947d54aaf7943a

SHA512
dacd192a69884e80700083185714069a9932b7b5830cc8a1a453776e5e810aeead03a4b4fde87ec064337d0e46c1f04015235449d276e939c5050a72565b062c

Download Submit
C:\Users\Admin\AppData\Local\Temp\4527.tmp

Filesize
86KB

MD5
5d0ca6400a468f5bfe71cbb902509916

SHA1
99b7bb1adebb9079025f03fdd0f7bff3652797b9

SHA256
a75b0b65f432ce948a7daa3701cce30c5abe18e224a792a3f4842055191a8c6d

SHA512
c3c19d58f605ba1194663dd7b8e12e87a644be856e879ced98107d0f2a3dd094a8d7d145b5ee37276da199fa286fbc26760bfa745b467735de3d33e095ed15b8

Download Submit
C:\Users\Admin\AppData\Local\Temp\4527.tmp

Filesize
64KB

MD5
762a1229805de6cb788671e700e4d27e

SHA1
89c57c16a3cee89e6e97170e871493674c8c5459

SHA256
8daccec4a07a828e1e9db10641ff37c2aead56e914ab14ca138b89fe8031b63c

SHA512
23f08f1900cd2731dedc775b5c0f4248449895d736e263597c2b2ccd55a9c0827db47c3f88ad9c84d655f1705eb359e5a20b528f16a38caf24bfba150f738577

Download Submit
C:\Users\Admin\AppData\Local\Temp\4575.tmp

Filesize
488KB

MD5
3f13be12b2cbbc57dfa379d7ff33bae2

SHA1
3e3e333f4acd4c3e1b750f4622619925de32fc9b

SHA256
560b9392d4df4a89024bdf01b52d3ba61a358eec9322a53e18ec9d8e4c85027e

SHA512
ae89b105b1e887cb75ca8db0e2979f144163d0ba78b1e64e8c1bb700b50b7acc155bc0ec2b23eaad4463b484c2f41d43fae869dcf9ec791a5d1320a2aae351b0

Download Submit
C:\Users\Admin\AppData\Local\Temp\4575.tmp

Filesize
57KB

MD5
4db61745a9564fae8d9784986bd5e168

SHA1
dda66f20bdae60d925f9efaec02d94fe7ac68c4f

SHA256
54c389a8a659a1ed938a1f7c284be9628bca388268f00be367accb5e4573e0d6

SHA512
18634fc571d3c32e02932a09f0b9ff8ff7d7ba122bdc3217a7abd278c5284c007e9ada67dc81f0a80bc54b0601a0c4b0f48395be420fb9a6a8844a18c3166983

Download Submit
C:\Users\Admin\AppData\Local\Temp\45D3.tmp

Filesize
93KB

MD5
d2f48cf7e9dd067712e5992217a67906

SHA1
7aa7bb31e05af0fc7a4fca57d5c94ae58b6cca43

SHA256
f75113e255c5b9b1c83aacb8c13f9eb03334f1777ba47827951dec7980ac5264

SHA512
3d215007afa5abb2d96e29fe912468d7caf4854aad775e13ab482d9676664a4b7d4097e53f70c0f683d3d2fead0cdf690e0b9dfd707fe640853f67457dfab6f6

Download Submit
C:\Users\Admin\AppData\Local\Temp\45D3.tmp

Filesize
188KB

MD5
c1d7a923246b18558405b4a6a47a0a3f

SHA1
e4a0a07d815d596f3a8d1e75dc9cbaffc7f699f1

SHA256
327653328e73314d5434a58e89371c3434691a20e53ac79797ac952858787f65

SHA512
6459fc237dcb02c6e2126e38360d69c22ccd069408feb7dbeb7c83c2806658a9beb667ee4ccc4795135641856d018260da821c621f9f417615291d6e944bfd79

Download Submit
C:\Users\Admin\AppData\Local\Temp\4621.tmp

Filesize
488KB

MD5
62aedf9c5febb7ef79a21fc5798f7e5e

SHA1
f693dc056e9e097114d75a0068c71202d447ac55

SHA256
e4de2eb071654820ccb699b4bacf51be182d0786d13ad7e9ae9c258d0062eb2c

SHA512
c941d9cf9e3d724438536626d3e1b0b02f0edbcf3e87736314efc44201e171876b56511d5f28b10495edadeb217be92e23be6d038bf47e713efc3d29ef79f202

Download Submit
C:\Users\Admin\AppData\Local\Temp\4621.tmp

Filesize
81KB

MD5
e6642c7196b77eea4c22594612df3cff

SHA1
44fdaeb2af56816ef7469c048372078c918b7802

SHA256
52d43fe5577684d311699b88d03bba6298b1b2fa9d7615e2da8f74cc5ec115ec

SHA512
a5eb7ba6d3781ea276cf2539ca5db670c4052c54267975a4f103f77d41225e963c55337518e8bf34f28199b6bff34e1767b3799b32a1b82a6c7e656132e476c2

Download Submit
C:\Users\Admin\AppData\Local\Temp\467F.tmp

Filesize
18KB

MD5
30c9fe7d35a8c95eb768d02521895b6a

SHA1
9f6a51fa5a7238c4973508b7120e4cefac9bbd3e

SHA256
42a9f1769652794a9d31c3ffc9ef39fe1c5adafa22ec095fe2ae592a2e722755

SHA512
b3990dd481a0cabb5a8b3bce58c8711551294b1049b559c5547947b2ffb61157a1e1bd16627b40c2cea5146aa91f5f6e3130193041a2169466fce3f10fc6159c

Download Submit
C:\Users\Admin\AppData\Local\Temp\467F.tmp

Filesize
145KB

MD5
18bf82ae3e92c7a60c486aa8683fb9fb

SHA1
044c0beefb7a88c0f1d61cb48771aeb4ef28cc04

SHA256
15c89583df5bd879dd92fc799a880e83f98c333b4d6bc451ef38038c95c75e39

SHA512
d00a5bd788f7be29e2ae1a1c408e6802ef43041ae1163abe62fed60f948bd55bfaef455e025e4aa7037eb9cba67ecad3b3cb49913ff8152df0c459a59a13821e

Download Submit
C:\Users\Admin\AppData\Local\Temp\46CD.tmp

Filesize
488KB

MD5
be82992d1afe00b3394ece9fb6047163

SHA1
92b3aa9dcd9483d563ef5822c094a13373123458

SHA256
7020ff7ae2e8fd086e9b30385c6f29071c2060efcdb721ccef48502180538c17

SHA512
85b7e876263be8af7806236dfc7de2b320ad1969de1e21aedc3a33344097f9648e1d1bcdb233da2f873d301d31f865a08c5c01556c45d700e095edcf2838a8d4

Download Submit
C:\Users\Admin\AppData\Local\Temp\46CD.tmp

Filesize
120KB

MD5
879f37fb8de53e707d4806f2bdc3ed62

SHA1
13fe5a417fbb499a2ecf9522be01c27837f8d530

SHA256
2a3b4c838c422b7c00273c5d249fd641e3b173d7a7f6edf9bb03b28c2cbc3d63

SHA512
d68c0d37a89a4968da9107a51af9541b269837c8bcc92b23390519cfab4f40d657ad4ca49e5baabf495a242a23ac3920df1a3c12c4cd4c6194608a50140d0dcd

Download Submit
C:\Users\Admin\AppData\Local\Temp\471B.tmp

Filesize
488KB

MD5
caaf2b973ae41c52f8c47dbf92f7fd71

SHA1
afdb1ae3e252d4a754b649ee3c6ed231e4755a52

SHA256
d0a3ec6526759e67737824892a5d0b5a2b9d65f0dc9d0a839e95432c977070ae

SHA512
b32902a3416ff96b5f5a22215d98be63d5fb7100ce6a2f38484d0019a4f42a14cb1a06eddad8924801f3a35c7e6e98cdeee4f380aceb7b3116231d360c429580

Download Submit
C:\Users\Admin\AppData\Local\Temp\471B.tmp

Filesize
123KB

MD5
ffa300521e094ad0161ff2e4971f050d

SHA1
23b1b63c120180ac5252130777ee530293a20fc8

SHA256
eec66b90c8044fb4a57c11d8905ab18419de267783e498986c8f4e2ab5d4634f

SHA512
c688d3a763833d580b4d1fb4e6d2f3e9f6b3b5d482175f6d50a868c2bb70c0114a19683b22cb1cf6d4274acf54c9b9d9e751822ec2a1dd5ec887576dd3a6fbfa

Download Submit
C:\Users\Admin\AppData\Local\Temp\4769.tmp

Filesize
488KB

MD5
bac6375053e06d5ac457a38f61dc7b49

SHA1
04fab105539a16e0075c2b6a11bc324764d41c46

SHA256
ada9608e01b0453f3e0660223f98bec9cc58866486f6e8272a16e08be88ae74a

SHA512
4ac339dd5683073fafe5701d93bc39ea2d1a82f9dd52a3951b6525e7d793037b13526276a14fe3ccae5d534375dea28aba9ccbf7435863a3cf3f2751aa6d87b0

Download Submit
C:\Users\Admin\AppData\Local\Temp\4769.tmp

Filesize
125KB

MD5
29d470cf392e3ca6a1d6e8b5a4ddb27a

SHA1
d7b1d0e192b7c1d295c8364de05ab7f05ae16843

SHA256
4129c3890e741bc74d9af1c4e9bc74377cf735c9179f502c6e56157cce91f681

SHA512
83eabefcfdc8a5540399c607ad239f401517dea49d0b6c69e7d0473578b29d5e64b11af518c0bf476ffd5a6480566d73ee4dbfaa5b53d103f2a9c1a421fbdfd3

Download Submit
C:\Users\Admin\AppData\Local\Temp\47B7.tmp

Filesize
488KB

MD5
20b6f5187feca5e9e8db0b7b5b91c562

SHA1
c1a4a34afa6bd9d7ada03cccc1e6e5681710363a

SHA256
f7fc97fb68ddff39a008b3f71cda54b4bab76c9aa6b4414fb03dda1f0d89c059

SHA512
0b4b1b9723d653d2b8b78fdf12a3f7257c5949d666c1e42e90dcd71185350a66312f71f684e2b0e8462b579c40b28addb7afa23cab4cf896a4f0c1491f17ec61

Download Submit
C:\Users\Admin\AppData\Local\Temp\47B7.tmp

Filesize
164KB

MD5
4fef700aeafda8656cf573e2a8089f2d

SHA1
09cd350aeb355ee3da29f06c406d32d23de8365f

SHA256
8ada1a5382573ed9b38a241b7a409866aacbe522325950eabbac400ca8eddd3a

SHA512
efdbc14236618981bc4fb9417d8108f1ad01ec98c7a42ef37685588bd9b69e74c9bc9448e9abc98b0c7ff03aa1334f83b4b9c8ac2c5ef4cfc84747818cf49b7e

Download Submit
C:\Users\Admin\AppData\Local\Temp\4815.tmp

Filesize
488KB

MD5
77482c89413a57a12b55d1f4e1af6252

SHA1
79a5037386023ab483a4c93c4d6c018b1db15910

SHA256
026b201032992af04bff4b8b8022d5ad789d65872a6410d07ddb522f038e2fe6

SHA512
95b835e2b6cf8829f40390ad316ba2cfd63159f3aea1dad7129831268737450c82c08c52fbcc8586a22f95c48e0a0cfdba2408b26f8f2a352e856186d9e700fd

Download Submit
C:\Users\Admin\AppData\Local\Temp\4815.tmp

Filesize
82KB

MD5
5e033b7fbcfaab041b49329b0509a686

SHA1
28aee630f6436a0087d1afae8e5587427f35def5

SHA256
58a4467afd333698ea66b69a7fe38552c1a2c0c677fa60b598aab845cf1ff8a9

SHA512
ddd8997c9d2aba8d0484496dcb95bafbec563ac19a88d06f48af7cb73995750c6f14eee45551fdd3ec3da60f8c78adf4d563411f05508a79408bd581ad3129c3

Download Submit
C:\Users\Admin\AppData\Local\Temp\4863.tmp

Filesize
448KB

MD5
57b31687e51b1e89af64a32cc06de4cc

SHA1
a800809d7720701f943cb901e262dd7e0696406f

SHA256
96bf11439d5bf0eba017692a42aa0c79bb8d395b768299f6d658c93528d1f7db

SHA512
0b1218375af60ad90a528c99e659f34c3d748da4d7d7b44fc3840f8491769e2e453c25e412bc219e77ace782f95e21b36d0c228c4a6f185ceaad91fbb095abe0

Download Submit
C:\Users\Admin\AppData\Local\Temp\4863.tmp

Filesize
149KB

MD5
68634944be304c0c60e003720611daf5

SHA1
1f00b5a2912eab836a179675f380b3aa9eea144b

SHA256
f8c33ef916fa058a5bcff17bc927e3255cd552cbdac2301e0318193d098981d9

SHA512
e6e55cce3d14a1051d192c73cb09f3310318d85d83d942ea44b822981e04e6775fef28f7daa76c7ae6e7b0a8e291233c8bc3e29b9e28f9fd2a9ad46f2f35cf63

Download Submit
C:\Users\Admin\AppData\Local\Temp\48B1.tmp

Filesize
488KB

MD5
c9a2c85123265fc8316087a9196d684a

SHA1
ea1af464107c99618f8ed00ccba3492ad134fb95

SHA256
3d62b49e3d32098e1e3e96062ec0ca2a6d6d7e23ba266e3f845d92503d61e5bd

SHA512
c541eb59c0ea51db6238a487411a71d63c68c2c35b7a196ad9531ebf30d0048c7201cae9416dd5526faba845fb4103fdc4e14fdc4427f97c66a961f0bdfa4957

Download Submit
C:\Users\Admin\AppData\Local\Temp\48B1.tmp

Filesize
37KB

MD5
b826042cff9f2346249f68ebd9789b06

SHA1
a384ad108d4198b0be66a986861b5cf2ede2b153

SHA256
b7d3dc38c8c9f26ba1e9ca635569629f42200537de192e40c81381a6f76a0697

SHA512
ec4cc1f007e8b40030f3fd9206873f66ccc6a7fda52dec9624f47cc6b1a614a2661bf777d93aaa684bd254c3abaf7fdec1948e79b4731255155c771bff922cff

Download Submit
C:\Users\Admin\AppData\Local\Temp\48FF.tmp

Filesize
62KB

MD5
62748640cb10b777262d1171db0b14d2

SHA1
fb061e83fb58d80563a51daf747d551f4c21c55f

SHA256
f1ac092ac5f6bc5c5cab42b98a0a39fda03160bf995032f52454093c2b9781d6

SHA512
06ce53fbe68f5d5165ee55d6c2f629b3d8bcf3fd82958b23ed82ff4f25e9b0336597b54760559524118220c76213e2afe8a33913062222e01392dce834e6a532

Download Submit
C:\Users\Admin\AppData\Local\Temp\48FF.tmp

Filesize
92KB

MD5
9508f0a03b873df2e238b9ed667ec563

SHA1
c65f85f219b0ce6a6f8779d37ddf67b57f6ca061

SHA256
ce014192893b902d3a2959cb4ab7cfc333569ca89e8c05acf662f041db39d6dc

SHA512
fda1afa5f3e667cb9bcd78d40aad10ade25831ce7165e97031c90259e2384bc1853df671e7f1013073eca871673559e95f662a638d9e5e2fbbe9f1fd482309a5

Download Submit
C:\Users\Admin\AppData\Local\Temp\494D.tmp

Filesize
488KB

MD5
c501665877a1a2ff9bd118f993c5a24b

SHA1
862d8f8f0bebec24f087cb97b3318f82db089245

SHA256
8e5fe7cff4d0ed4639f72e5647796b8b34141c28a99e35390dcb75144b7adf04

SHA512
f25122e00b365fddbff81424e35428ef618b61c48579bdb97e5ca4ffb15ee852b03d8f24cf161f0b4dcf9040546b35102a937fd10c0b54e6c6b19491fd921902

Download Submit
C:\Users\Admin\AppData\Local\Temp\494D.tmp

Filesize
33KB

MD5
37c92b109d75c6d7b1bd0ad1f31d83c5

SHA1
3d35ca50a7112fd7a4c5656fdd5c24daf6ee1b19

SHA256
dadadc113049a376bb8385731742e08058200312f8a970dc05b0f4a299561454

SHA512
da6c30c4517b365718072c59c17b9a78210f44a79df70ae812c417dc8bd0a49c256e46d7696dfaa1e2be7cc181fb49918ff0c7a03424b5b6b173dbfc419c1ad1

Download Submit
C:\Users\Admin\AppData\Local\Temp\499C.tmp

Filesize
49KB

MD5
fc81fd5e8019054705e92100661a0790

SHA1
22fff522f35c75929ddcdbb92f0d9f509fd950a7

SHA256
460b877115d3060d931f95e5c54bea59375667f81a9a6dc868a72afc3086a1b7

SHA512
8dfc0ca6113dcd2ac8cb46b516423005470487c73a8ec0c27d85b74f7f0728910a515f437a4f10deec9e718872cb4bc9dfa5737690a74e2f638bf9c32f85a7f8

Download Submit
C:\Users\Admin\AppData\Local\Temp\499C.tmp

Filesize
60KB

MD5
975556e11de0d5d29cd67339f83396db

SHA1
991923928b75d0383aa39f479ff217c009728545

SHA256
459e43618c944ae614481bab43433dc28b4e55d21b1534054d2cadd1ac382a8f

SHA512
c4d54ca96d8032065d714654475adf30d6fb3e9bd0b9b40d4c35e84e6e91c947c35dd2460d533dd3290fac83500b74542b642122240c51e7b3b5e62bc92545cc

Download Submit
C:\Users\Admin\AppData\Local\Temp\49EA.tmp

Filesize
48KB

MD5
31017da5784caf4cfb88406be3d80215

SHA1
d9eca990734ecf6ad9bae97d952334582dcae1c0

SHA256
55bd7a70dfd038810554f401f41163ebc934fcda857c3dd4cf3dd5a52fc35262

SHA512
2fe55b5139933a056e05503cccdae9da5f09228364212784da7ad0a817231bcee7eff26a0aec7e2ffb05d360daab53e8708f098e4d76313a028ae95433b72b51

Download Submit
C:\Users\Admin\AppData\Local\Temp\49EA.tmp

Filesize
101KB

MD5
782f36cbd34b6ecd5b0d33684f0d3346

SHA1
a47f0be3670ea4f3d04e2df7c63b31a965328264

SHA256
b5e8a03e867f95b83a4d7ff161f3ce478b6bb9393586ada84a3317a0ecfd8af1

SHA512
97445eafd283b2f4b1db63f4d26b6b8d05414c586ed4e5873bf687b36e2c4f23ebfd03161fb5f06d22669dd0d493a38c025c8785a26a02d38ca12212152d8db6

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A57.tmp

Filesize
488KB

MD5
bd05ea6b09bea546f0c1a6c6c4980368

SHA1
ee03ed9e0e82becf3b44522f3d6e008c4fdf7d3c

SHA256
bd7f7b73d9d9c743b1b0a0258a5ff193008ca5850a04dee17f776dd4098bb13f

SHA512
2c1932055114044881910febf01e041ca02865c61728a40af8da8d53a3777d2b3bf9118f7e2079c33add84ac034092eabe133a4f685489e4b041e668c217f326

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A57.tmp

Filesize
79KB

MD5
83f1d3b1dc14e2464988059591e21d08

SHA1
5f0d201fd42242def15f6a44664c9003d5525836

SHA256
25f300dd73924aa404ecd61359cc73976f0432e3cd6eab8128710813269b5352

SHA512
f92f75d816fcdf1e79ed4ad6886ef007da6975a6f7e31f5d2bf710efa40df2053afa58a4bd227fec5b6d96545d7b26fc6c58e4012ae3bca1e7158dd12d3c5899

Download Submit
C:\Users\Admin\AppData\Local\Temp\4AA5.tmp

Filesize
488KB

MD5
ae1ed72fefcdf0f8597f55209cbcc762

SHA1
50e9ef6037a60bc19555cea8f9374a03e947e09e

SHA256
2e57ee54847e0dbcc0935d60957052265b83630c17de44aeeeceb340ddfc9289

SHA512
db9d0689c26c413ed64a4b75d6d737d302e2ab1b833ad43392fdf51bdf9b202a98642581065efe1ae79b8b2df8687b9ab09e1ae16178723337a0ae27b3b13c72

Download Submit
C:\Users\Admin\AppData\Local\Temp\4AA5.tmp

Filesize
96KB

MD5
32641c49dd285db36f7603e921e641a2

SHA1
fa183e7904b05a845bdd2a4757e5c213a121b40d

SHA256
f7f5c990ee9cde7d893c02fe50b889588428ff445bd8dd9667a24bd18714be64

SHA512
7f85127393cfbf93f13feb0268592aad82378ddb844ce3f56b824ba0cb0ee938c011ace6725c427276992ea7b55e067a66384d14f73d12637fce00428ab69ded

Download Submit
C:\Users\Admin\AppData\Local\Temp\4AF3.tmp

Filesize
488KB

MD5
c01fe5d73b42a003f322fac4294869d4

SHA1
ac4c18d8d6123e36ed17ee1a3e7daa4d1f270f70

SHA256
e6b7d318cbdb5d710337db28a30876e650f1fecb943a1d9790f916a60ae466d7

SHA512
17e45ad97dd509fb2a23417d64e56ba2fa4628334634a3abf1d96679c71ac4f6194c9804a88b2554820dd4f795806a722e6d8092e1da18197d5a8163d4c3eafc

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B41.tmp

Filesize
77KB

MD5
757730e5c181352308c533deed46e72f

SHA1
ec0b7d454ad19662f650e9afc3431fa0887e6c27

SHA256
0fee390b6e5689c47dfb6d7e1046c85a8a14f145acd5292f9761e3f326f4dee4

SHA512
c309f0a8f8964be77dd6e42bc49aa6e39a0f4e177fa69e9b6711033906c5d53f420b39e9d81d2745917798a39d4abae551d882b322ef676012b3e11a79ded102

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B41.tmp

Filesize
60KB

MD5
721587116263b801c3755693d245ad8e

SHA1
86d30e61e7639a67d66e90e183c5d5efabff2ba3

SHA256
2084fbf2a75d48360aadc7db1d63b63c4d6d33403fd24b742825824d5fed8371

SHA512
c828f26673a9d3d57a482cb24c3c0d38d1485ae1aa0f9b1a995befb7ce92355b15f270259d0b72722e9f2389c9c5035d75c307216e8f4d4b7fd34590404c5ea1

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B90.tmp

Filesize
488KB

MD5
a0f45c344b4de3f0d35615561775ea41

SHA1
77d6716c6060f64636d6929c90fe57c71ed798df

SHA256
83b7fe5766cc1c37386fc75eff93f2b33f9dfb1eb6c6514a1f27a474be205235

SHA512
42280259fb341fd5d49464daf2195199a6f305e230642077d92cd1e2c491d8054967c7b4f70eb4efe4609d9290a8e8e918afb61b84aaacbc4993e6dda5ae533b

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B90.tmp

Filesize
184KB

MD5
0ba132ac79d15bd948208eb39af56f3d

SHA1
93d02da57f1a78e0540ff08c30f83ff07cf37e6a

SHA256
f4bbbe150660766a00dda78838706d522a432fbc5c39027ae96165814802204f

SHA512
6135e0f483aaaa4db4137a24fcdb5fdaa2e0b19772fc8eed29ad11fb173017ca05f50cab40b12d1f25f3769f111ec333656867dee2da09d9c95ab37d0ad8a15b

Download Submit
C:\Users\Admin\AppData\Local\Temp\4BDE.tmp

Filesize
488KB

MD5
6bfb6cbc28b606546cfb764abba5cf12

SHA1
5a5db4b2b61da89fc246fe4043dfc6da5a37daec

SHA256
e9df63c3bb250de56ec4c839facbf92a8f0e06caadfce4981902bbc7aed1635a

SHA512
ff8668638827e063d078a558ce706060f0f8bbe55274c789f42a0a712159c3317fef947a56e1aeacdad6b6da64862aeb51f1eedc1b30523cd484fa5f190641e7

Download Submit
C:\Users\Admin\AppData\Local\Temp\4BDE.tmp

Filesize
161KB

MD5
d563d363343904429a722d978016bb70

SHA1
99219c7a0260b9b2f67a9228376db2b3c876b3d5

SHA256
c05fbf2b0be389ba0a4e1593397e83027e936bf4ae6210f4368c80eaeda054b7

SHA512
6bf67ab35f545bebf062028476d440e9c16248d11e2301a24b11141a6fe290feaa14bf8e6b5920265c683fe548678aa34877b8cec57b49e892dd6d54684e5460

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C3B.tmp

Filesize
448KB

MD5
39f25287ca21ee9c8c26632f773e626d

SHA1
311d4bd0e841e13259aab69ed68fbc4f6416cc38

SHA256
b3467ab66f74fa9c17172ebd9c805754d6f92d9336b3fdebc299f85d9703d862

SHA512
8704a881efaeedc18972ca368d685205b12739e7e8e313c074732ead010f92c9a3339807ff643143caf770aef2d2965119d53c0921e6e5b8bc78dbc0a8a4af8c

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C3B.tmp

Filesize
91KB

MD5
2d754509037987377a979594c77a5d3a

SHA1
deeeaf5bc01955d4dac2b60905d0a507591cdfb3

SHA256
a40002572025ff0dff5e3ca3ad4377c18ba733de33de06f7a818d856b9a21964

SHA512
677ceb25d085e14ba21a2208a4f7e253ca0869ba561768f0bc506777f0d9e91b2b2f695b76df35fe05ca67d85cec945027b40340aa2fb9bad5e9cd317aac8171

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C8A.tmp

Filesize
188KB

MD5
fac8058db23798b245cd24f8dc81a4a5

SHA1
9c33a14cea6069742f0035c5a8d69e8e30f79b9b

SHA256
dd76f46daed2a3bb2c957a836cdf0334ab31db761b44c50970bbdf0e4f3a95e3

SHA512
59a91e2e8c16ae48be016dcac45d54db7dbba32ae29a72aee963b183e6c413320522bedd7b81c92bd1e7289bc55749e5f2d565c81034b81a30b3c16f56b7a3fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C8A.tmp

Filesize
311KB

MD5
0065fbcbf6bb921e516fcd96b0ab664c

SHA1
0f95f9dae3aacbe08e020f10757f7ca93dfb991c

SHA256
370c2d1c58a7131a4a27bb7e54c2745f7645f6744ceab1d7bbe065a3bccb420e

SHA512
5c2076b32fc9681e434aea1d1c8e776747fc4378677165a6227de70988245bbf7601459d72371b1454635f1cfcb131b1757a8f45935ea034438afddd21ceb380

Download Submit
C:\Users\Admin\AppData\Local\Temp\4CE7.tmp

Filesize
75KB

MD5
22502087825eb8383b9e1e85535caf0e

SHA1
2aa7f7d243be089f20d9e25144768babb753dec5

SHA256
f40cc12a84ac8570d1b5e05f19d72d0c31938148ad10e4155a638d86edb46805

SHA512
14acbb7317496cc161062685ed4c98f33a7d9eedd203a25ffbe18293a7993fbcc8c8ee8582b296cefa48f310a1d8c1fc3b15b5bcde1bdf2595489fb84be34b29

Download Submit
C:\Users\Admin\AppData\Local\Temp\4CE7.tmp

Filesize
32KB

MD5
c8d3dd90f282f84e32f2b2ac7f466da4

SHA1
a96f5e851bda1e717e789909038df13367177f31

SHA256
b4edf7abb5ad8a809214c7c24b203e18a1d1d43b766d2c68f61c6dae159706d3

SHA512
80e29a2c689f4a764f430435980a2d1cbbc51b5021d680d0f416b24af78367be764ee00f003a6549e3a9d02edb164f8b6b004e6038ac0fda520258767243bea9

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D35.tmp

Filesize
488KB

MD5
ff3dc5349ca62728c61884f9cad70c52

SHA1
9e2b05a4c71d0af034f1226d5e73f4fd41497d18

SHA256
9d382b87cb2a05f6358142547a5bf140b7b3a52cebf472aa06a67bb4be35f62d

SHA512
7d7c5ef7f584e7bdba14c1e86eaf9320f196c74422ff9f184a276eeef7542173068135bc97f8df9183831560bd3186289ad6b34ff59e440accd040ad01437850

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D84.tmp

Filesize
232KB

MD5
93bee058d49d9573b58018958a66461b

SHA1
52f6d6451d195e3f301bed97b39d020c4ce89c62

SHA256
b06f32313b86b202ab0f1d627887d6dc92c851545e3bfb760becbf1f2bca07ed

SHA512
6a510ffe0fa16630431b4a1772735a5ef2a1c40f1660d5b5a3e5da8e2e2f65a746293924439eea0105d1558693b9be1decf2725048a29a49b7fce15a5d83da5a

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D84.tmp

Filesize
134KB

MD5
69aff305d9b92282ee4ef3cdd4b3883a

SHA1
afbc1f4f684d7cc646d714791ff841d25e899142

SHA256
14d85f4b76a5e8faa75ad04b4ebf87a39185e7fcc3af1e5816fd6af5e2460a5e

SHA512
258ed528246db356cf5482c83f871a4b8b5a0c722209c2c7e7b112e356918ce0dad21e22ecf5734b2e53800b7338d02815a1436ef714a7a7464dd47d589faa72

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads