7ddcaff5a52390f992a0f2c1c5ce1bfaeedc19a6be75a57c6382faadb3717b42

Analysis

max time kernel
150s
max time network
105s
platform
windows10-2004_x64
resource
win10v2004-20231222-en
resource tags

arch:x64arch:x86image:win10v2004-20231222-enlocale:en-usos:windows10-2004-x64system
submitted
27/01/2024, 20:45

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

7b3d0a90ac9626589d6d84182d30f5ed.exe
Size

23KB
MD5

7b3d0a90ac9626589d6d84182d30f5ed
SHA1

88c7686c624dffc24324f0be02ebbcd98700b8e1
SHA256

7ddcaff5a52390f992a0f2c1c5ce1bfaeedc19a6be75a57c6382faadb3717b42
SHA512

0b0d7efad0fa15c840d32a6aa30dfc90a2b829545bfb8bbc176a463edefca6bdb3b11c6ec9d4e33159ba344c754bdfd621f8f3ba125ac14c757a0527508008ac
SSDEEP

384:fHOpvnKN91dQgKSGKVDG7TOEDSKH/NCa6Fj30RTVatZyCIpiHVm/K8ZTOHGKsYBE:fHONS91dVKSvc7ZS4/wa4jEZVGGsVm/r

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
1224	gpr4EDB.exe
2156	gpr4EEB.exe
1256	gpr4F0A.exe
4084	gpr4F39.exe
5004	gpr4F68.exe
4252	gpr4F97.exe
3828	gpr4FD5.exe
3920	gpr4FF5.exe
4236	gpr5033.exe
1036	gpr5072.exe
4264	gpr50A0.exe
3992	gpr50C0.exe
4312	gpr50DF.exe
748	gpr512D.exe
320	gpr514C.exe
3376	gpr516C.exe
1936	gpr51BA.exe
3396	gpr51E9.exe
4980	gpr5208.exe
2888	gpr5237.exe
1600	gpr5266.exe
3000	gpr5285.exe
4308	gpr52C3.exe
440	gpr5331.exe
3128	gpr5360.exe
1476	gpr539E.exe
1660	gpr53CD.exe
880	gpr53EC.exe
3192	Conhost.exe
212	gpr544A.exe
3672	gpr5469.exe
2484	gpr5488.exe
4500	cmd.exe
632	gpr5563.exe
4964	gpr55C1.exe
2392	Process not Found
3268	Process not Found
4020	cmd.exe
1980	gpr567C.exe
4924	gpr56BB.exe
1568	cmd.exe
556	Process not Found
3160	gpr5738.exe
4268	Process not Found
916	Process not Found
4740	gpr57A5.exe
3800	gpr57C5.exe
4336	Conhost.exe
2852	Process not Found
2744	gpr5832.exe
2740	gpr5851.exe
2068	gpr5870.exe
4944	gpr5890.exe
3260	Process not Found
4960	gpr58DE.exe
3364	Process not Found
2616	Process not Found
3804	Process not Found
2576	gpr597A.exe
4604	Process not Found
3040	Process not Found
3780	gpr59E7.exe
3368	gpr5A07.exe
3336	gpr5A16.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\gpr61D7.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr63FA.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr69C6.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr6B3D.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr5208.exe	gpr51E9.exe
File opened for modification	C:\Windows\SysWOW64\gpr6BCA.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr5A16.exe	gpr5A07.exe
File created	C:\Windows\SysWOW64\gpr6496.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr6765.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr5237.exe	gpr5208.exe
File created	C:\Windows\SysWOW64\gpr5C2A.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr5F66.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr6234.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr64F4.exe	gpr9C40.exe
File created	C:\Windows\SysWOW64\gpr590D.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr607F.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr6A14.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr5A07.exe	gpr59E7.exe
File opened for modification	C:\Windows\SysWOW64\gpr541B.exe	gpr53EC.exe
File opened for modification	C:\Windows\SysWOW64\gpr687E.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr50A0.exe	gpr5072.exe
File created	C:\Windows\SysWOW64\gpr5BEB.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr5FF2.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr6726.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr689D.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr69C6.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr4F68.exe	gpr4F39.exe
File created	C:\Windows\SysWOW64\gpr5A64.exe	gpr5A36.exe
File opened for modification	C:\Windows\SysWOW64\gpr5D91.exe	gpr5D72.exe
File created	C:\Windows\SysWOW64\gpr689D.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr6BF8.exe	cmd.exe
File created	C:\Windows\SysWOW64\gpr5851.exe	gpr5832.exe
File created	C:\Windows\SysWOW64\gpr6DAE.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr5CC6.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr5331.exe	gpr52C3.exe
File opened for modification	C:\Windows\SysWOW64\gpr5796.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr57F3.exe	Conhost.exe
File opened for modification	C:\Windows\SysWOW64\gpr593C.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr5A16.exe	gpr5A07.exe
File opened for modification	C:\Windows\SysWOW64\gpr63FA.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr686E.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr50C0.exe	gpr50A0.exe
File opened for modification	C:\Windows\SysWOW64\gpr6E79.exe	gpr99BF.exe
File opened for modification	C:\Windows\SysWOW64\gpr55C1.exe	gpr5563.exe
File opened for modification	C:\Windows\SysWOW64\gpr5BEB.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr609E.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr6532.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr6B3D.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr6BCA.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr6C27.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr5469.exe	gpr544A.exe
File opened for modification	C:\Windows\SysWOW64\gpr6513.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr56BB.exe	gpr567C.exe
File opened for modification	C:\Windows\SysWOW64\gpr5CA7.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr5F08.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr6784.exe	gpr5738.exe
File created	C:\Windows\SysWOW64\gpr5738.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr56F9.exe	gpr56BB.exe
File created	C:\Windows\SysWOW64\gpr5832.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr61B7.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gpr512D.exe	gpr50DF.exe
File created	C:\Windows\SysWOW64\gpr58DE.exe	Process not Found
File created	C:\Windows\SysWOW64\gpr6AC0.exe	gpr6AA1.exe
File opened for modification	C:\Windows\SysWOW64\gpr6DCD.exe	Process not Found

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 912 wrote to memory of 1224	912	7b3d0a90ac9626589d6d84182d30f5ed.exe	1369
PID 912 wrote to memory of 1224	912	7b3d0a90ac9626589d6d84182d30f5ed.exe	1369
PID 912 wrote to memory of 1224	912	7b3d0a90ac9626589d6d84182d30f5ed.exe	1369
PID 912 wrote to memory of 4684	912	7b3d0a90ac9626589d6d84182d30f5ed.exe	1368
PID 912 wrote to memory of 4684	912	7b3d0a90ac9626589d6d84182d30f5ed.exe	1368
PID 912 wrote to memory of 4684	912	7b3d0a90ac9626589d6d84182d30f5ed.exe	1368
PID 1224 wrote to memory of 2156	1224	gpr4EDB.exe	1366
PID 1224 wrote to memory of 2156	1224	gpr4EDB.exe	1366
PID 1224 wrote to memory of 2156	1224	gpr4EDB.exe	1366
PID 1224 wrote to memory of 2392	1224	gpr4EDB.exe	1365
PID 1224 wrote to memory of 2392	1224	gpr4EDB.exe	1365
PID 1224 wrote to memory of 2392	1224	gpr4EDB.exe	1365
PID 2156 wrote to memory of 1256	2156	gpr4EEB.exe	1363
PID 2156 wrote to memory of 1256	2156	gpr4EEB.exe	1363
PID 2156 wrote to memory of 1256	2156	gpr4EEB.exe	1363
PID 2156 wrote to memory of 4440	2156	gpr4EEB.exe	1362
PID 2156 wrote to memory of 4440	2156	gpr4EEB.exe	1362
PID 2156 wrote to memory of 4440	2156	gpr4EEB.exe	1362
PID 1256 wrote to memory of 4084	1256	gpr4F0A.exe	1358
PID 1256 wrote to memory of 4084	1256	gpr4F0A.exe	1358
PID 1256 wrote to memory of 4084	1256	gpr4F0A.exe	1358
PID 1256 wrote to memory of 4948	1256	gpr4F0A.exe	1357
PID 1256 wrote to memory of 4948	1256	gpr4F0A.exe	1357
PID 1256 wrote to memory of 4948	1256	gpr4F0A.exe	1357
PID 4084 wrote to memory of 5004	4084	gpr4F39.exe	1352
PID 4084 wrote to memory of 5004	4084	gpr4F39.exe	1352
PID 4084 wrote to memory of 5004	4084	gpr4F39.exe	1352
PID 4084 wrote to memory of 3548	4084	gpr4F39.exe	1351
PID 4084 wrote to memory of 3548	4084	gpr4F39.exe	1351
PID 4084 wrote to memory of 3548	4084	gpr4F39.exe	1351
PID 5004 wrote to memory of 4252	5004	gpr4F68.exe	1343
PID 5004 wrote to memory of 4252	5004	gpr4F68.exe	1343
PID 5004 wrote to memory of 4252	5004	gpr4F68.exe	1343
PID 5004 wrote to memory of 2032	5004	gpr4F68.exe	1342
PID 5004 wrote to memory of 2032	5004	gpr4F68.exe	1342
PID 5004 wrote to memory of 2032	5004	gpr4F68.exe	1342
PID 4252 wrote to memory of 3828	4252	gpr4F97.exe	1340
PID 4252 wrote to memory of 3828	4252	gpr4F97.exe	1340
PID 4252 wrote to memory of 3828	4252	gpr4F97.exe	1340
PID 4252 wrote to memory of 3280	4252	gpr4F97.exe	1339
PID 4252 wrote to memory of 3280	4252	gpr4F97.exe	1339
PID 4252 wrote to memory of 3280	4252	gpr4F97.exe	1339
PID 3828 wrote to memory of 3920	3828	gpr4FD5.exe	1334
PID 3828 wrote to memory of 3920	3828	gpr4FD5.exe	1334
PID 3828 wrote to memory of 3920	3828	gpr4FD5.exe	1334
PID 3828 wrote to memory of 3260	3828	gpr4FD5.exe	1333
PID 3828 wrote to memory of 3260	3828	gpr4FD5.exe	1333
PID 3828 wrote to memory of 3260	3828	gpr4FD5.exe	1333
PID 3920 wrote to memory of 4236	3920	gpr4FF5.exe	1327
PID 3920 wrote to memory of 4236	3920	gpr4FF5.exe	1327
PID 3920 wrote to memory of 4236	3920	gpr4FF5.exe	1327
PID 3920 wrote to memory of 2548	3920	gpr4FF5.exe	1326
PID 3920 wrote to memory of 2548	3920	gpr4FF5.exe	1326
PID 3920 wrote to memory of 2548	3920	gpr4FF5.exe	1326
PID 4236 wrote to memory of 1036	4236	gpr5033.exe	1325
PID 4236 wrote to memory of 1036	4236	gpr5033.exe	1325
PID 4236 wrote to memory of 1036	4236	gpr5033.exe	1325
PID 4236 wrote to memory of 924	4236	gpr5033.exe	1324
PID 4236 wrote to memory of 924	4236	gpr5033.exe	1324
PID 4236 wrote to memory of 924	4236	gpr5033.exe	1324
PID 1036 wrote to memory of 4264	1036	gpr5072.exe	1319
PID 1036 wrote to memory of 4264	1036	gpr5072.exe	1319
PID 1036 wrote to memory of 4264	1036	gpr5072.exe	1319
PID 1036 wrote to memory of 4836	1036	gpr5072.exe	19

C:\Users\Admin\AppData\Local\Temp\7b3d0a90ac9626589d6d84182d30f5ed.exe
"C:\Users\Admin\AppData\Local\Temp\7b3d0a90ac9626589d6d84182d30f5ed.exe"
1⤵
- Suspicious use of WriteProcessMemory
PID:912
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:4684
- C:\Windows\SysWOW64\gpr4EDB.exe
  "C:\Windows\system32\gpr4EDB.exe"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:1224

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4836
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:640

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1532

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2224
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:452
- C:\Windows\SysWOW64\gpr5E9B.exe
  "C:\Windows\system32\gpr5E9B.exe"
  2⤵
  PID:4636

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4808
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:528
- C:\Windows\SysWOW64\gpr6021.exe
  "C:\Windows\system32\gpr6021.exe"
  2⤵
  PID:4192

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1516

C:\Windows\SysWOW64\gpr5331.exe
"C:\Windows\system32\gpr5331.exe"
1⤵
- Executes dropped EXE
PID:440
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:4632
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:4932
  - - C:\Windows\SysWOW64\gpr7494.exe
      "C:\Windows\system32\gpr7494.exe"
      4⤵
      PID:5188
    - - C:\Windows\SysWOW64\gpr74B3.exe
        
        "C:\Windows\system32\gpr74B3.exe"
        5⤵
        
        PID:5780
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        6⤵
        
        PID:5844
      - C:\Windows\SysWOW64\gpr74D2.exe
        
        "C:\Windows\system32\gpr74D2.exe"
        6⤵
        
        PID:5080
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:5452
- C:\Windows\SysWOW64\gpr5360.exe
  "C:\Windows\system32\gpr5360.exe"
  2⤵
  - Executes dropped EXE
  PID:3128

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1940

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:1532

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3804
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:768
- C:\Windows\SysWOW64\gpr597A.exe
  "C:\Windows\system32\gpr597A.exe"
  2⤵
  - Executes dropped EXE
  PID:2576

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1192

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4336
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:1596
- C:\Windows\SysWOW64\gpr57F3.exe
  "C:\Windows\system32\gpr57F3.exe"
  2⤵
  PID:2852

C:\Windows\SysWOW64\gpr5563.exe
"C:\Windows\system32\gpr5563.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:632
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:1596
- C:\Windows\SysWOW64\gpr55C1.exe
  "C:\Windows\system32\gpr55C1.exe"
  2⤵
  - Executes dropped EXE
  PID:4964

C:\Windows\SysWOW64\gpr5515.exe
"C:\Windows\system32\gpr5515.exe"
1⤵
PID:4500

C:\Windows\SysWOW64\gpr564E.exe
"C:\Windows\system32\gpr564E.exe"
1⤵
PID:3268
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:1464
- C:\Windows\SysWOW64\gpr566D.exe
  "C:\Windows\system32\gpr566D.exe"
  2⤵
  PID:4020
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:3592
- - C:\Windows\SysWOW64\gpr567C.exe
    "C:\Windows\system32\gpr567C.exe"
    3⤵
    - Executes dropped EXE
    - Drops file in System32 directory
    PID:1980

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:640

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4508

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1300

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:684

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4652

C:\Windows\SysWOW64\gpr5B5E.exe
"C:\Windows\system32\gpr5B5E.exe"
1⤵
PID:1712
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:4256
- C:\Windows\SysWOW64\gpr5BBC.exe
  "C:\Windows\system32\gpr5BBC.exe"
  2⤵
  PID:752

C:\Windows\SysWOW64\gpr5B3F.exe
"C:\Windows\system32\gpr5B3F.exe"
1⤵
PID:2500

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:116

C:\Windows\SysWOW64\gpr5BEB.exe
"C:\Windows\system32\gpr5BEB.exe"
1⤵
PID:1668
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:4344
- C:\Windows\SysWOW64\gpr5C2A.exe
  "C:\Windows\system32\gpr5C2A.exe"
  2⤵
  PID:4440

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2168

C:\Windows\SysWOW64\gpr5CA7.exe
"C:\Windows\system32\gpr5CA7.exe"
1⤵
PID:4456
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:4196
- C:\Windows\SysWOW64\gpr5CC6.exe
  "C:\Windows\system32\gpr5CC6.exe"
  2⤵
  PID:1276

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4528

C:\Windows\SysWOW64\gpr5C78.exe
"C:\Windows\system32\gpr5C78.exe"
1⤵
PID:1564

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3732

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1576

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4628

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3496
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:2980
- C:\Windows\SysWOW64\gpr6A81.exe
  "C:\Windows\system32\gpr6A81.exe"
  2⤵
  PID:1176

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5624

C:\Windows\SysWOW64\gpr6234.exe
"C:\Windows\system32\gpr6234.exe"
1⤵
PID:5604
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5704
- C:\Windows\SysWOW64\gpr63BB.exe
  "C:\Windows\system32\gpr63BB.exe"
  2⤵
  PID:5684

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5544
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:756
- C:\Windows\SysWOW64\gpr6A14.exe
  "C:\Windows\system32\gpr6A14.exe"
  2⤵
  PID:5576

C:\Windows\SysWOW64\gpr6215.exe
"C:\Windows\system32\gpr6215.exe"
1⤵
PID:5524

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5456

C:\Windows\SysWOW64\gpr61D7.exe
"C:\Windows\system32\gpr61D7.exe"
1⤵
PID:5436

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5804

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6124

C:\Windows\SysWOW64\gpr6496.exe
"C:\Windows\system32\gpr6496.exe"
1⤵
PID:6104
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:1604
- C:\Windows\SysWOW64\gpr64F4.exe
  "C:\Windows\system32\gpr64F4.exe"
  2⤵
  PID:5208

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5276

C:\Windows\SysWOW64\gpr65DE.exe
"C:\Windows\system32\gpr65DE.exe"
1⤵
PID:5484
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5620
- C:\Windows\SysWOW64\gpr661C.exe
  "C:\Windows\system32\gpr661C.exe"
  2⤵
  PID:2780

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3244

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5688

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6056

C:\Windows\SysWOW64\gpr66D8.exe
"C:\Windows\system32\gpr66D8.exe"
1⤵
PID:4268
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5904
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:4956
- - C:\Windows\SysWOW64\gpr6A62.exe
    "C:\Windows\system32\gpr6A62.exe"
    3⤵
    PID:3496
- C:\Windows\SysWOW64\gpr6726.exe
  "C:\Windows\system32\gpr6726.exe"
  2⤵
  PID:6140
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:2152
- C:\Windows\SysWOW64\gpr5796.exe
  "C:\Windows\system32\gpr5796.exe"
  2⤵
  PID:916

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3604
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7068
- C:\Windows\SysWOW64\gpr8A8D.exe
  "C:\Windows\system32\gpr8A8D.exe"
  2⤵
  PID:4028

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2308

C:\Windows\SysWOW64\gpr67A3.exe
"C:\Windows\system32\gpr67A3.exe"
1⤵
PID:5220
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5780
- C:\Windows\SysWOW64\gpr684F.exe
  "C:\Windows\system32\gpr684F.exe"
  2⤵
  PID:1128

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4568
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5564
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6112
  - - C:\Windows\SysWOW64\gpr7407.exe
      "C:\Windows\system32\gpr7407.exe"
      4⤵
      PID:5976
- - C:\Windows\SysWOW64\gpr7484.exe
    "C:\Windows\system32\gpr7484.exe"
    3⤵
    PID:4932
- C:\Windows\SysWOW64\gpr6F15.exe
  "C:\Windows\system32\gpr6F15.exe"
  2⤵
  PID:5512

C:\Windows\SysWOW64\gpr689D.exe
"C:\Windows\system32\gpr689D.exe"
1⤵
PID:3244
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  - Drops file in System32 directory
  PID:5552
- C:\Windows\SysWOW64\gpr692A.exe
  "C:\Windows\system32\gpr692A.exe"
  2⤵
  PID:5312

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5232

C:\Windows\SysWOW64\gpr6949.exe
"C:\Windows\system32\gpr6949.exe"
1⤵
PID:5176
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5988
- C:\Windows\SysWOW64\gpr6968.exe
  "C:\Windows\system32\gpr6968.exe"
  2⤵
  PID:5432
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:5264
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:1500
  - - C:\Windows\SysWOW64\gpr659F.exe
      "C:\Windows\system32\gpr659F.exe"
      4⤵
      PID:2728
- - C:\Windows\SysWOW64\gpr69C6.exe
    "C:\Windows\system32\gpr69C6.exe"
    3⤵
    PID:6064

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4912

C:\Windows\SysWOW64\gpr6AC0.exe
"C:\Windows\system32\gpr6AC0.exe"
1⤵
PID:5672
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6060
- C:\Windows\SysWOW64\gpr6AEF.exe
  "C:\Windows\system32\gpr6AEF.exe"
  2⤵
  PID:5664

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5236

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2628

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5692

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5600
- C:\Windows\SysWOW64\gpr81A3.exe
  "C:\Windows\system32\gpr81A3.exe"
  2⤵
  PID:468
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6596
- - C:\Windows\SysWOW64\gpr81C3.exe
    "C:\Windows\system32\gpr81C3.exe"
    3⤵
    PID:6136
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:2980

C:\Windows\SysWOW64\gpr6BF8.exe
"C:\Windows\system32\gpr6BF8.exe"
1⤵
PID:5512
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:3452
- C:\Windows\SysWOW64\gpr6C27.exe
  "C:\Windows\system32\gpr6C27.exe"
  2⤵
  PID:4984
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:5344
- - C:\Windows\SysWOW64\gpr6C95.exe
    "C:\Windows\system32\gpr6C95.exe"
    3⤵
    PID:5876
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:556
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:976
- - C:\Windows\SysWOW64\gpr5738.exe
    "C:\Windows\system32\gpr5738.exe"
    3⤵
    - Executes dropped EXE
    - Drops file in System32 directory
    PID:3160
- C:\Windows\SysWOW64\gpr6F35.exe
  "C:\Windows\system32\gpr6F35.exe"
  2⤵
  PID:5884
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6020
- - C:\Windows\SysWOW64\gpr6E3B.exe
    "C:\Windows\system32\gpr6E3B.exe"
    3⤵
    PID:5296

C:\Windows\SysWOW64\gpr6D60.exe
"C:\Windows\system32\gpr6D60.exe"
1⤵
PID:5108
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5652

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5508

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2552

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5736

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5612

C:\Windows\SysWOW64\gpr6E98.exe
"C:\Windows\system32\gpr6E98.exe"
1⤵
PID:4380

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4328

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5720

C:\Windows\SysWOW64\gpr6E79.exe
"C:\Windows\system32\gpr6E79.exe"
1⤵
PID:1908

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6032

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5480

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5280

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5824

C:\Windows\SysWOW64\gpr702F.exe
"C:\Windows\system32\gpr702F.exe"
1⤵
PID:2308
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5224
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:5348
- C:\Windows\SysWOW64\gpr706D.exe
  "C:\Windows\system32\gpr706D.exe"
  2⤵
  PID:5792

C:\Windows\SysWOW64\gpr70CB.exe
"C:\Windows\system32\gpr70CB.exe"
1⤵
PID:5464
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:4484
- C:\Windows\SysWOW64\gpr73D8.exe
  "C:\Windows\system32\gpr73D8.exe"
  2⤵
  PID:6112

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4768

C:\Windows\SysWOW64\gpr7109.exe
"C:\Windows\system32\gpr7109.exe"
1⤵
PID:6020

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5276

C:\Windows\SysWOW64\gpr7177.exe
"C:\Windows\system32\gpr7177.exe"
1⤵
PID:1760
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5516
- C:\Windows\SysWOW64\gpr7196.exe
  "C:\Windows\system32\gpr7196.exe"
  2⤵
  PID:5216
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    PID:5236

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5736

C:\Windows\SysWOW64\gpr71E4.exe
"C:\Windows\system32\gpr71E4.exe"
1⤵
PID:5308
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:1516
- C:\Windows\SysWOW64\gpr7203.exe
  "C:\Windows\system32\gpr7203.exe"
  2⤵
  PID:4404
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:5652
- - C:\Windows\SysWOW64\gpr7271.exe
    "C:\Windows\system32\gpr7271.exe"
    3⤵
    PID:6020
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:1604
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        5⤵
        
        PID:7024
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        6⤵
        
        PID:6748
      - C:\Windows\SysWOW64\gpr8964.exe
        
        "C:\Windows\system32\gpr8964.exe"
        6⤵
        
        PID:6824
    - - C:\Windows\SysWOW64\gpr8220.exe
        
        "C:\Windows\system32\gpr8220.exe"
        5⤵
        
        PID:2552
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        6⤵
        
        PID:6628
      - C:\Windows\SysWOW64\gpr8240.exe
        
        "C:\Windows\system32\gpr8240.exe"
        6⤵
        
        PID:6100
  - - C:\Windows\SysWOW64\gpr72A0.exe
      "C:\Windows\system32\gpr72A0.exe"
      4⤵
      PID:5460
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        5⤵
        
        PID:4044
    - - C:\Windows\SysWOW64\gpr72FD.exe
        
        "C:\Windows\system32\gpr72FD.exe"
        5⤵
        
        PID:4284

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4956

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3592

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3188

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5424

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1516

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5616

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6432

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6704

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6772
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6460
- - C:\Windows\SysWOW64\gpr8C13.exe
    "C:\Windows\system32\gpr8C13.exe"
    3⤵
    PID:5128
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:4772
  - - C:\Windows\SysWOW64\gpr8C42.exe
      "C:\Windows\system32\gpr8C42.exe"
      4⤵
      PID:6660
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6736
- C:\Windows\SysWOW64\gpr7E29.exe
  "C:\Windows\system32\gpr7E29.exe"
  2⤵
  PID:5480
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6364
- - C:\Windows\SysWOW64\gpr7E48.exe
    "C:\Windows\system32\gpr7E48.exe"
    3⤵
    PID:6576

C:\Windows\SysWOW64\gpr76F5.exe
"C:\Windows\system32\gpr76F5.exe"
1⤵
PID:6740
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6892
- C:\Windows\SysWOW64\gpr7733.exe
  "C:\Windows\system32\gpr7733.exe"
  2⤵
  PID:6872

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6156

C:\Windows\SysWOW64\gpr77EF.exe
"C:\Windows\system32\gpr77EF.exe"
1⤵
PID:5188
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5160
- C:\Windows\SysWOW64\gpr787C.exe
  "C:\Windows\system32\gpr787C.exe"
  2⤵
  PID:4484
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:5688
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:6112
  - - C:\Windows\SysWOW64\gpr7EA6.exe
      "C:\Windows\system32\gpr7EA6.exe"
      4⤵
      PID:6708
- - C:\Windows\SysWOW64\gpr7BF6.exe
    "C:\Windows\system32\gpr7BF6.exe"
    3⤵
    PID:6184

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4044

C:\Windows\SysWOW64\gpr77D0.exe
"C:\Windows\system32\gpr77D0.exe"
1⤵
PID:1420
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7152
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6444
- - C:\Windows\SysWOW64\gpr8993.exe
    "C:\Windows\system32\gpr8993.exe"
    3⤵
    PID:6656
- C:\Windows\SysWOW64\gpr8482.exe
  "C:\Windows\system32\gpr8482.exe"
  2⤵
  PID:6200

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7144

C:\Windows\SysWOW64\gpr77B0.exe
"C:\Windows\system32\gpr77B0.exe"
1⤵
PID:7124

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7052

C:\Windows\SysWOW64\gpr7791.exe
"C:\Windows\system32\gpr7791.exe"
1⤵
PID:7032

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6972

C:\Windows\SysWOW64\gpr7772.exe
"C:\Windows\system32\gpr7772.exe"
1⤵
PID:6952

C:\Windows\SysWOW64\gpr76D6.exe
"C:\Windows\system32\gpr76D6.exe"
1⤵
PID:6676

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6604

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6480

C:\Windows\SysWOW64\gpr7C15.exe
"C:\Windows\system32\gpr7C15.exe"
1⤵
PID:3552
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6532
- C:\Windows\SysWOW64\gpr7C35.exe
  "C:\Windows\system32\gpr7C35.exe"
  2⤵
  PID:6568

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6792

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6348

C:\Windows\SysWOW64\gpr7CC1.exe
"C:\Windows\system32\gpr7CC1.exe"
1⤵
PID:6916
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6688
- C:\Windows\SysWOW64\gpr7CE1.exe
  "C:\Windows\system32\gpr7CE1.exe"
  2⤵
  PID:7084

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6784

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5988

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5816

C:\Windows\SysWOW64\gpr7DDB.exe
"C:\Windows\system32\gpr7DDB.exe"
1⤵
PID:6924
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6920
- C:\Windows\SysWOW64\gpr7E09.exe
  "C:\Windows\system32\gpr7E09.exe"
  2⤵
  PID:6772

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6728

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6412

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6680

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4380
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5540
- C:\Windows\SysWOW64\gpr6ED7.exe
  "C:\Windows\system32\gpr6ED7.exe"
  2⤵
  PID:1576

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6912

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7044
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:1576
- - C:\Windows\SysWOW64\gpr6F06.exe
    "C:\Windows\system32\gpr6F06.exe"
    3⤵
    PID:4568
- C:\Windows\SysWOW64\gpr831A.exe
  "C:\Windows\system32\gpr831A.exe"
  2⤵
  PID:6004

C:\Windows\SysWOW64\gpr805B.exe
"C:\Windows\system32\gpr805B.exe"
1⤵
PID:3632
- C:\Windows\SysWOW64\gpr808A.exe
  "C:\Windows\system32\gpr808A.exe"
  2⤵
  PID:6884
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:5760
- - C:\Windows\SysWOW64\gpr809A.exe
    "C:\Windows\system32\gpr809A.exe"
    3⤵
    PID:6120
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5932
- - C:\Windows\SysWOW64\gpr7F42.exe
    "C:\Windows\system32\gpr7F42.exe"
    3⤵
    PID:6732

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6592
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5376
- C:\Windows\SysWOW64\gpr8A00.exe
  "C:\Windows\system32\gpr8A00.exe"
  2⤵
  PID:6896

C:\Windows\SysWOW64\gpr8107.exe
"C:\Windows\system32\gpr8107.exe"
1⤵
PID:1040
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6904
- C:\Windows\SysWOW64\gpr8136.exe
  "C:\Windows\system32\gpr8136.exe"
  2⤵
  PID:6984

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6644

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6700
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6912
- C:\Windows\SysWOW64\gpr8F40.exe
  "C:\Windows\system32\gpr8F40.exe"
  2⤵
  PID:7564

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6804
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:736
- C:\Windows\SysWOW64\gpr7D2F.exe
  "C:\Windows\system32\gpr7D2F.exe"
  2⤵
  PID:6200

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5584

C:\Windows\SysWOW64\gpr825F.exe
"C:\Windows\system32\gpr825F.exe"
1⤵
PID:1656
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6972
- C:\Windows\SysWOW64\gpr82AD.exe
  "C:\Windows\system32\gpr82AD.exe"
  2⤵
  PID:5548

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6500

C:\Windows\SysWOW64\gpr82DC.exe
"C:\Windows\system32\gpr82DC.exe"
1⤵
PID:4328
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:3604
- C:\Windows\SysWOW64\gpr82FB.exe
  "C:\Windows\system32\gpr82FB.exe"
  2⤵
  PID:7044

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6112

C:\Windows\SysWOW64\gpr8349.exe
"C:\Windows\system32\gpr8349.exe"
1⤵
PID:6476
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7004
- C:\Windows\SysWOW64\gpr83B7.exe
  "C:\Windows\system32\gpr83B7.exe"
  2⤵
  PID:6172
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6128
- - C:\Windows\SysWOW64\gpr83D6.exe
    "C:\Windows\system32\gpr83D6.exe"
    3⤵
    PID:3492

C:\Windows\SysWOW64\gpr83E5.exe
"C:\Windows\system32\gpr83E5.exe"
1⤵
PID:6216
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5376
- C:\Windows\SysWOW64\gpr8414.exe
  "C:\Windows\system32\gpr8414.exe"
  2⤵
  PID:5400

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5344

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5648

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5128

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5640

C:\Windows\SysWOW64\gpr859B.exe
"C:\Windows\system32\gpr859B.exe"
1⤵
PID:6160
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7052
- C:\Windows\SysWOW64\gpr85CA.exe
  "C:\Windows\system32\gpr85CA.exe"
  2⤵
  PID:6076
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6020
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:3188
  - - C:\Windows\SysWOW64\gpr7530.exe
      "C:\Windows\system32\gpr7530.exe"
      4⤵
      PID:5256
- - C:\Windows\SysWOW64\gpr85D9.exe
    "C:\Windows\system32\gpr85D9.exe"
    3⤵
    PID:6692

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5952

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6628

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:220
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:2980
- C:\Windows\SysWOW64\gpr8944.exe
  "C:\Windows\system32\gpr8944.exe"
  2⤵
  PID:7024

C:\Windows\SysWOW64\gpr8676.exe
"C:\Windows\system32\gpr8676.exe"
1⤵
PID:6604

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7004

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3276
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6612
- C:\Windows\SysWOW64\gpr886A.exe
  "C:\Windows\system32\gpr886A.exe"
  2⤵
  PID:4948

C:\Windows\SysWOW64\gpr8741.exe
"C:\Windows\system32\gpr8741.exe"
1⤵
PID:7020
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7088
- C:\Windows\SysWOW64\gpr8770.exe
  "C:\Windows\system32\gpr8770.exe"
  2⤵
  PID:6964
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6604
- - C:\Windows\SysWOW64\gpr879F.exe
    "C:\Windows\system32\gpr879F.exe"
    3⤵
    PID:6060
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:6096
  - - C:\Windows\SysWOW64\gpr87BE.exe
      "C:\Windows\system32\gpr87BE.exe"
      4⤵
      PID:6900
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        5⤵
        
        PID:5108
    - - C:\Windows\SysWOW64\gpr87ED.exe
        
        "C:\Windows\system32\gpr87ED.exe"
        5⤵
        
        PID:6336

C:\Windows\SysWOW64\gpr880C.exe
"C:\Windows\system32\gpr880C.exe"
1⤵
PID:756
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6544
- C:\Windows\SysWOW64\gpr881C.exe
  "C:\Windows\system32\gpr881C.exe"
  2⤵
  PID:5340

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6340

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5304
- C:\Windows\SysWOW64\gpr7157.exe
  "C:\Windows\system32\gpr7157.exe"
  2⤵
  PID:5144

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6796
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7768
- C:\Windows\SysWOW64\gpr93B4.exe
  "C:\Windows\system32\gpr93B4.exe"
  2⤵
  PID:5156
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:2268
- - C:\Windows\SysWOW64\gpr7455.exe
    "C:\Windows\system32\gpr7455.exe"
    3⤵
    PID:5564

C:\Windows\SysWOW64\gpr88E7.exe
"C:\Windows\system32\gpr88E7.exe"
1⤵
PID:5724
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6240
- C:\Windows\SysWOW64\gpr8906.exe
  "C:\Windows\system32\gpr8906.exe"
  2⤵
  PID:2268
- C:\Windows\SysWOW64\gpr884A.exe
  "C:\Windows\system32\gpr884A.exe"
  2⤵
  PID:3276

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7100

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6880

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5740

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6800

C:\Windows\SysWOW64\gpr8ABB.exe
"C:\Windows\system32\gpr8ABB.exe"
1⤵
PID:1312
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6632
- C:\Windows\SysWOW64\gpr8AFA.exe
  "C:\Windows\system32\gpr8AFA.exe"
  2⤵
  PID:1436

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6728

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6880

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7144

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7068

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6856

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7304
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7264
- C:\Windows\SysWOW64\gpr953B.exe
  "C:\Windows\system32\gpr953B.exe"
  2⤵
  PID:7848
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6840
- - C:\Windows\SysWOW64\gpr955A.exe
    "C:\Windows\system32\gpr955A.exe"
    3⤵
    PID:8068
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:5108
  - - C:\Windows\SysWOW64\gpr9579.exe
      "C:\Windows\system32\gpr9579.exe"
      4⤵
      PID:6036
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        5⤵
        
        PID:8140
    - - C:\Windows\SysWOW64\gpr95A8.exe
        
        "C:\Windows\system32\gpr95A8.exe"
        5⤵
        
        PID:5388
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        6⤵
        
        PID:5416
      - C:\Windows\SysWOW64\gpr6BCA.exe
        
        "C:\Windows\system32\gpr6BCA.exe"
        6⤵
        
        PID:5552

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7416

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7516

C:\Windows\SysWOW64\gpr8CFE.exe
"C:\Windows\system32\gpr8CFE.exe"
1⤵
PID:7496
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7628
- C:\Windows\SysWOW64\gpr8D2C.exe
  "C:\Windows\system32\gpr8D2C.exe"
  2⤵
  PID:7608

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7732

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7800

C:\Windows\SysWOW64\gpr8D9A.exe
"C:\Windows\system32\gpr8D9A.exe"
1⤵
PID:7780
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7884
- C:\Windows\SysWOW64\gpr8DB9.exe
  "C:\Windows\system32\gpr8DB9.exe"
  2⤵
  PID:7864

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7952

C:\Windows\SysWOW64\gpr8DD8.exe
"C:\Windows\system32\gpr8DD8.exe"
1⤵
PID:7928
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:8040
- C:\Windows\SysWOW64\gpr8E07.exe
  "C:\Windows\system32\gpr8E07.exe"
  2⤵
  PID:8016
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:8136
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:6564
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        5⤵
        
        PID:6292
    - - C:\Windows\SysWOW64\gpr803C.exe
        
        "C:\Windows\system32\gpr803C.exe"
        5⤵
        
        PID:6468
  - - C:\Windows\SysWOW64\gpr9402.exe
      "C:\Windows\system32\gpr9402.exe"
      4⤵
      PID:7548
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        5⤵
        
        PID:8056
    - - C:\Windows\SysWOW64\gpr9431.exe
        
        "C:\Windows\system32\gpr9431.exe"
        5⤵
        
        PID:7956
- - C:\Windows\SysWOW64\gpr8E46.exe
    "C:\Windows\system32\gpr8E46.exe"
    3⤵
    PID:8116

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6212

C:\Windows\SysWOW64\gpr8E75.exe
"C:\Windows\system32\gpr8E75.exe"
1⤵
PID:6880
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5680
- C:\Windows\SysWOW64\gpr8EA3.exe
  "C:\Windows\system32\gpr8EA3.exe"
  2⤵
  PID:6364

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7276

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5816

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2932

C:\Windows\SysWOW64\gpr8F8E.exe
"C:\Windows\system32\gpr8F8E.exe"
1⤵
PID:6540
- C:\Windows\SysWOW64\gpr8FAD.exe
  "C:\Windows\system32\gpr8FAD.exe"
  2⤵
  PID:7720
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:7920
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:5376
  - - C:\Windows\SysWOW64\gpr93A5.exe
      "C:\Windows\system32\gpr93A5.exe"
      4⤵
      PID:6796
- - C:\Windows\SysWOW64\gpr8FEC.exe
    "C:\Windows\system32\gpr8FEC.exe"
    3⤵
    PID:5344
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:7688
  - - C:\Windows\SysWOW64\gpr903A.exe
      "C:\Windows\system32\gpr903A.exe"
      4⤵
      PID:7232
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7792

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5340
- C:\Windows\SysWOW64\gpr883B.exe
  "C:\Windows\system32\gpr883B.exe"
  2⤵
  PID:5724

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7520

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7460

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7628

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5992

C:\Windows\SysWOW64\gpr90B7.exe
"C:\Windows\system32\gpr90B7.exe"
1⤵
PID:6044
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5996
- C:\Windows\SysWOW64\gpr90F5.exe
  "C:\Windows\system32\gpr90F5.exe"
  2⤵
  PID:5204

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5584

C:\Windows\SysWOW64\gpr9124.exe
"C:\Windows\system32\gpr9124.exe"
1⤵
PID:7248
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7268
- C:\Windows\SysWOW64\gpr9143.exe
  "C:\Windows\system32\gpr9143.exe"
  2⤵
  PID:8104

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6276

C:\Windows\SysWOW64\gpr9163.exe
"C:\Windows\system32\gpr9163.exe"
1⤵
PID:7484
- C:\Windows\SysWOW64\gpr9182.exe
  "C:\Windows\system32\gpr9182.exe"
  2⤵
  PID:7296
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:7408
- - C:\Windows\SysWOW64\gpr91A1.exe
    "C:\Windows\system32\gpr91A1.exe"
    3⤵
    PID:5640
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:8052
  - - C:\Windows\SysWOW64\gpr91B1.exe
      "C:\Windows\system32\gpr91B1.exe"
      4⤵
      PID:8144
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6892

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7980

C:\Windows\SysWOW64\gpr91EF.exe
"C:\Windows\system32\gpr91EF.exe"
1⤵
PID:3840
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6548
- C:\Windows\SysWOW64\gpr922E.exe
  "C:\Windows\system32\gpr922E.exe"
  2⤵
  PID:4772
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6456
- - C:\Windows\SysWOW64\gpr925D.exe
    "C:\Windows\system32\gpr925D.exe"
    3⤵
    PID:8032

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6856

C:\Windows\SysWOW64\gpr91D0.exe
"C:\Windows\system32\gpr91D0.exe"
1⤵
PID:7776

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7832

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1188

C:\Windows\SysWOW64\gpr92BA.exe
"C:\Windows\system32\gpr92BA.exe"
1⤵
PID:6932
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:3908
- C:\Windows\SysWOW64\gpr9318.exe
  "C:\Windows\system32\gpr9318.exe"
  2⤵
  PID:7792
- - C:\Windows\SysWOW64\gpr9366.exe
    "C:\Windows\system32\gpr9366.exe"
    3⤵
    PID:8044
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:7916
  - - C:\Windows\SysWOW64\gpr9385.exe
      "C:\Windows\system32\gpr9385.exe"
      4⤵
      PID:7216
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6696
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:8156

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7992

C:\Windows\SysWOW64\gpr929B.exe
"C:\Windows\system32\gpr929B.exe"
1⤵
PID:5888

C:\Windows\SysWOW64\gpr927C.exe
"C:\Windows\system32\gpr927C.exe"
1⤵
PID:6192

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6260

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7332

C:\Windows\SysWOW64\gpr9460.exe
"C:\Windows\system32\gpr9460.exe"
1⤵
PID:6724
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7844
- C:\Windows\SysWOW64\gpr949F.exe
  "C:\Windows\system32\gpr949F.exe"
  2⤵
  PID:7224
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:5796
- - C:\Windows\SysWOW64\gpr94CE.exe
    "C:\Windows\system32\gpr94CE.exe"
    3⤵
    PID:7948

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7420

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6752

C:\Windows\SysWOW64\gpr950C.exe
"C:\Windows\system32\gpr950C.exe"
1⤵
PID:7304

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4016

C:\Windows\SysWOW64\gpr95F6.exe
"C:\Windows\system32\gpr95F6.exe"
1⤵
PID:7740
- C:\Windows\SysWOW64\gpr9625.exe
  "C:\Windows\system32\gpr9625.exe"
  2⤵
  PID:7872
- - C:\Windows\SysWOW64\gpr9654.exe
    "C:\Windows\system32\gpr9654.exe"
    3⤵
    PID:7556
  - - C:\Windows\SysWOW64\gpr9664.exe
      "C:\Windows\system32\gpr9664.exe"
      4⤵
      PID:5376
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        5⤵
        
        PID:7644
    - - C:\Windows\SysWOW64\gpr9673.exe
        
        "C:\Windows\system32\gpr9673.exe"
        5⤵
        
        PID:3864
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        6⤵
        
        PID:7512
      - C:\Windows\SysWOW64\gpr9693.exe
        
        "C:\Windows\system32\gpr9693.exe"
        6⤵
        
        PID:6344
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:6984
    - - C:\Windows\SysWOW64\gpr8155.exe
        
        "C:\Windows\system32\gpr8155.exe"
        5⤵
        
        PID:5376
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:7504
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7916

C:\Windows\SysWOW64\gpr96B2.exe
"C:\Windows\system32\gpr96B2.exe"
1⤵
PID:5792
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7268
- C:\Windows\SysWOW64\gpr96C2.exe
  "C:\Windows\system32\gpr96C2.exe"
  2⤵
  PID:7840
- - C:\Windows\SysWOW64\gpr96F0.exe
    "C:\Windows\system32\gpr96F0.exe"
    3⤵
    PID:5232
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:6244
  - - C:\Windows\SysWOW64\gpr971F.exe
      "C:\Windows\system32\gpr971F.exe"
      4⤵
      PID:696
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        5⤵
        
        PID:7828
    - - C:\Windows\SysWOW64\gpr972F.exe
        
        "C:\Windows\system32\gpr972F.exe"
        5⤵
        
        PID:7508
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        6⤵
        
        PID:4120
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6136
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:116
  - - C:\Windows\SysWOW64\gpr81E2.exe
      "C:\Windows\system32\gpr81E2.exe"
      4⤵
      PID:5312
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:3564
- C:\Windows\SysWOW64\gpr70AC.exe
  "C:\Windows\system32\gpr70AC.exe"
  2⤵
  PID:5992

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4200

C:\Windows\SysWOW64\gpr95D7.exe
"C:\Windows\system32\gpr95D7.exe"
1⤵
PID:6976

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1188

C:\Windows\SysWOW64\gpr95C8.exe
"C:\Windows\system32\gpr95C8.exe"
1⤵
PID:6132

C:\Windows\SysWOW64\gpr94ED.exe
"C:\Windows\system32\gpr94ED.exe"
1⤵
PID:7648

C:\Windows\SysWOW64\gpr9441.exe
"C:\Windows\system32\gpr9441.exe"
1⤵
PID:7244

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6412

C:\Windows\SysWOW64\gpr93E3.exe
"C:\Windows\system32\gpr93E3.exe"
1⤵
PID:8136

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7712

C:\Windows\SysWOW64\gpr9395.exe
"C:\Windows\system32\gpr9395.exe"
1⤵
PID:7920

C:\Windows\SysWOW64\gpr9114.exe
"C:\Windows\system32\gpr9114.exe"
1⤵
PID:6696

C:\Windows\SysWOW64\gpr9088.exe
"C:\Windows\system32\gpr9088.exe"
1⤵
PID:8132

C:\Windows\SysWOW64\gpr9078.exe
"C:\Windows\system32\gpr9078.exe"
1⤵
PID:8124

C:\Windows\SysWOW64\gpr9059.exe
"C:\Windows\system32\gpr9059.exe"
1⤵
PID:7356

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4364

C:\Windows\SysWOW64\gpr8F6F.exe
"C:\Windows\system32\gpr8F6F.exe"
1⤵
PID:7272

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6360

C:\Windows\SysWOW64\gpr8F20.exe
"C:\Windows\system32\gpr8F20.exe"
1⤵
PID:6700

C:\Windows\SysWOW64\gpr8F01.exe
"C:\Windows\system32\gpr8F01.exe"
1⤵
PID:5260

C:\Windows\SysWOW64\gpr8EF2.exe
"C:\Windows\system32\gpr8EF2.exe"
1⤵
PID:6616

C:\Windows\SysWOW64\gpr8EB3.exe
"C:\Windows\system32\gpr8EB3.exe"
1⤵
PID:7260

C:\Windows\SysWOW64\gpr8D6B.exe
"C:\Windows\system32\gpr8D6B.exe"
1⤵
PID:7704

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7460

C:\Windows\SysWOW64\gpr8CDE.exe
"C:\Windows\system32\gpr8CDE.exe"
1⤵
PID:7440

C:\Windows\SysWOW64\gpr8CBF.exe
"C:\Windows\system32\gpr8CBF.exe"
1⤵
PID:7396

C:\Windows\SysWOW64\gpr8CA0.exe
"C:\Windows\system32\gpr8CA0.exe"
1⤵
PID:7284

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7228

C:\Windows\SysWOW64\gpr8C81.exe
"C:\Windows\system32\gpr8C81.exe"
1⤵
PID:7204

C:\Windows\SysWOW64\gpr8C71.exe
"C:\Windows\system32\gpr8C71.exe"
1⤵
PID:5880

C:\Windows\SysWOW64\gpr8BF4.exe
"C:\Windows\system32\gpr8BF4.exe"
1⤵
PID:6460

C:\Windows\SysWOW64\gpr8BD5.exe
"C:\Windows\system32\gpr8BD5.exe"
1⤵
PID:6528
- C:\Windows\SysWOW64\gpr7697.exe
  "C:\Windows\system32\gpr7697.exe"
  2⤵
  PID:6584

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6244

C:\Windows\SysWOW64\gpr8BA6.exe
"C:\Windows\system32\gpr8BA6.exe"
1⤵
PID:3880

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6332

C:\Windows\SysWOW64\gpr8B96.exe
"C:\Windows\system32\gpr8B96.exe"
1⤵
PID:6764

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6128

C:\Windows\SysWOW64\gpr8B77.exe
"C:\Windows\system32\gpr8B77.exe"
1⤵
PID:6980

C:\Windows\SysWOW64\gpr8B58.exe
"C:\Windows\system32\gpr8B58.exe"
1⤵
PID:6720

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5376
- C:\Windows\SysWOW64\gpr8174.exe
  "C:\Windows\system32\gpr8174.exe"
  2⤵
  PID:5600

C:\Windows\SysWOW64\gpr8B48.exe
"C:\Windows\system32\gpr8B48.exe"
1⤵
PID:6852

C:\Windows\SysWOW64\gpr8B19.exe
"C:\Windows\system32\gpr8B19.exe"
1⤵
PID:6176

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6856

C:\Windows\SysWOW64\gpr8AAC.exe
"C:\Windows\system32\gpr8AAC.exe"
1⤵
PID:6652

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5812
- C:\Windows\SysWOW64\gpr7FCF.exe
  "C:\Windows\system32\gpr7FCF.exe"
  2⤵
  PID:1176
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6020
- - C:\Windows\SysWOW64\gpr6AA1.exe
    "C:\Windows\system32\gpr6AA1.exe"
    3⤵
    - Drops file in System32 directory
    PID:5592

C:\Windows\SysWOW64\gpr8A6D.exe
"C:\Windows\system32\gpr8A6D.exe"
1⤵
PID:3604

C:\Windows\SysWOW64\gpr8A3E.exe
"C:\Windows\system32\gpr8A3E.exe"
1⤵
PID:3216
- C:\Windows\SysWOW64\gpr89D1.exe
  "C:\Windows\system32\gpr89D1.exe"
  2⤵
  PID:6592

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5712

C:\Windows\SysWOW64\gpr89B2.exe
"C:\Windows\system32\gpr89B2.exe"
1⤵
PID:3216
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6992
- C:\Windows\SysWOW64\gpr80F7.exe
  "C:\Windows\system32\gpr80F7.exe"
  2⤵
  PID:6308

C:\Windows\SysWOW64\gpr8973.exe
"C:\Windows\system32\gpr8973.exe"
1⤵
PID:7152

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5224
- C:\Windows\SysWOW64\gpr800D.exe
  "C:\Windows\system32\gpr800D.exe"
  2⤵
  PID:6564

C:\Windows\SysWOW64\gpr8935.exe
"C:\Windows\system32\gpr8935.exe"
1⤵
PID:220

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6192

C:\Windows\SysWOW64\gpr8916.exe
"C:\Windows\system32\gpr8916.exe"
1⤵
PID:6812
- C:\Windows\SysWOW64\gpr7F90.exe
  "C:\Windows\system32\gpr7F90.exe"
  2⤵
  PID:5812

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6164

C:\Windows\SysWOW64\gpr88B8.exe
"C:\Windows\system32\gpr88B8.exe"
1⤵
PID:6440

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6120
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6492
- C:\Windows\SysWOW64\gpr80D8.exe
  "C:\Windows\system32\gpr80D8.exe"
  2⤵
  PID:3216

C:\Windows\SysWOW64\gpr8879.exe
"C:\Windows\system32\gpr8879.exe"
1⤵
PID:4444

C:\Windows\SysWOW64\gpr8702.exe
"C:\Windows\system32\gpr8702.exe"
1⤵
PID:6368

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5180

C:\Windows\SysWOW64\gpr86C4.exe
"C:\Windows\system32\gpr86C4.exe"
1⤵
PID:6224
- C:\Windows\SysWOW64\gpr84D0.exe
  "C:\Windows\system32\gpr84D0.exe"
  2⤵
  PID:2232

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7024

C:\Windows\SysWOW64\gpr86A5.exe
"C:\Windows\system32\gpr86A5.exe"
1⤵
PID:5804

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6212

C:\Windows\SysWOW64\gpr8695.exe
"C:\Windows\system32\gpr8695.exe"
1⤵
PID:6516

C:\Windows\SysWOW64\gpr8647.exe
"C:\Windows\system32\gpr8647.exe"
1⤵
PID:5676

C:\Windows\SysWOW64\gpr8608.exe
"C:\Windows\system32\gpr8608.exe"
1⤵
PID:3932

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5584

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5180

C:\Windows\SysWOW64\gpr856C.exe
"C:\Windows\system32\gpr856C.exe"
1⤵
PID:6380

C:\Windows\SysWOW64\gpr851E.exe
"C:\Windows\system32\gpr851E.exe"
1⤵
PID:6960

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6632

C:\Windows\SysWOW64\gpr84EF.exe
"C:\Windows\system32\gpr84EF.exe"
1⤵
PID:6204

C:\Windows\SysWOW64\gpr84B1.exe
"C:\Windows\system32\gpr84B1.exe"
1⤵
PID:6224

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6856

C:\Windows\SysWOW64\gpr8491.exe
"C:\Windows\system32\gpr8491.exe"
1⤵
PID:5348

C:\Windows\SysWOW64\gpr974E.exe
"C:\Windows\system32\gpr974E.exe"
1⤵
PID:5260
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7500
- C:\Windows\SysWOW64\gpr975E.exe
  "C:\Windows\system32\gpr975E.exe"
  2⤵
  PID:8020
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:2852
- - C:\Windows\SysWOW64\gpr977D.exe
    "C:\Windows\system32\gpr977D.exe"
    3⤵
    PID:7212
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:6376
  - - C:\Windows\SysWOW64\gpr979C.exe
      "C:\Windows\system32\gpr979C.exe"
      4⤵
      PID:7740
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        5⤵
        
        PID:7276
    - - C:\Windows\SysWOW64\gpr97BC.exe
        
        "C:\Windows\system32\gpr97BC.exe"
        5⤵
        
        PID:7872
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        6⤵
        
        PID:6804
      - C:\Windows\SysWOW64\gpr97DB.exe
        
        "C:\Windows\system32\gpr97DB.exe"
        6⤵
        
        PID:7556
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        7⤵
        
        PID:7944
        
        C:\Windows\SysWOW64\gpr97EA.exe
        
        "C:\Windows\system32\gpr97EA.exe"
        7⤵
        
        PID:7992
        
        C:\Windows\SysWOW64\gpr980A.exe
        
        "C:\Windows\system32\gpr980A.exe"
        8⤵
        
        PID:6332
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        9⤵
        
        PID:6276
        
        C:\Windows\SysWOW64\gpr9829.exe
        
        "C:\Windows\system32\gpr9829.exe"
        9⤵
        
        PID:2980
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        10⤵
        
        PID:7180
        
        C:\Windows\SysWOW64\gpr9867.exe
        
        "C:\Windows\system32\gpr9867.exe"
        10⤵
        
        PID:7584
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        11⤵
        
        PID:7812
        
        C:\Windows\SysWOW64\gpr9896.exe
        
        "C:\Windows\system32\gpr9896.exe"
        11⤵
        
        PID:7240
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        12⤵
        
        PID:6168
        
        C:\Windows\SysWOW64\gpr98A6.exe
        
        "C:\Windows\system32\gpr98A6.exe"
        12⤵
        
        PID:7444
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        13⤵
        
        PID:8072
        
        C:\Windows\SysWOW64\gpr98C5.exe
        
        "C:\Windows\system32\gpr98C5.exe"
        13⤵
        
        PID:7588
        
        C:\Windows\SysWOW64\gpr98F4.exe
        
        "C:\Windows\system32\gpr98F4.exe"
        14⤵
        
        PID:7516
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        15⤵
        
        PID:7384
        
        C:\Windows\SysWOW64\gpr9942.exe
        
        "C:\Windows\system32\gpr9942.exe"
        15⤵
        
        PID:5192
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        16⤵
        
        PID:5248
        
        C:\Windows\SysWOW64\gpr9961.exe
        
        "C:\Windows\system32\gpr9961.exe"
        16⤵
        
        PID:7688
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        17⤵
        
        PID:6820
        
        C:\Windows\SysWOW64\gpr9981.exe
        
        "C:\Windows\system32\gpr9981.exe"
        17⤵
        
        PID:5964
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        18⤵
        
        PID:7892
        
        C:\Windows\SysWOW64\gpr9990.exe
        
        "C:\Windows\system32\gpr9990.exe"
        18⤵
        
        PID:4056
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        19⤵
        
        PID:7080
        
        C:\Windows\SysWOW64\gpr99BF.exe
        
        "C:\Windows\system32\gpr99BF.exe"
        19⤵
        Drops file in System32 directory
        
        PID:6128
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        20⤵
        
        PID:6232
        
        C:\Windows\SysWOW64\gpr99DE.exe
        
        "C:\Windows\system32\gpr99DE.exe"
        20⤵
        
        PID:7500
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        21⤵
        
        PID:5952
        
        C:\Windows\SysWOW64\gpr9A0D.exe
        
        "C:\Windows\system32\gpr9A0D.exe"
        21⤵
        
        PID:7252
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        22⤵
        
        PID:7764
        
        C:\Windows\SysWOW64\gpr9A2D.exe
        
        "C:\Windows\system32\gpr9A2D.exe"
        22⤵
        
        PID:7364
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        23⤵
        
        PID:5156
        
        C:\Windows\SysWOW64\gpr9A4C.exe
        
        "C:\Windows\system32\gpr9A4C.exe"
        23⤵
        
        PID:7504
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        24⤵
        
        PID:8052
        
        C:\Windows\SysWOW64\gpr9A6B.exe
        
        "C:\Windows\system32\gpr9A6B.exe"
        24⤵
        
        PID:7624
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        14⤵
        
        PID:4108
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        15⤵
        
        PID:1516
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        8⤵
        
        PID:7684
- C:\Windows\SysWOW64\gpr9F3D.exe
  "C:\Windows\system32\gpr9F3D.exe"
  2⤵
  PID:7952
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6700
- - C:\Windows\SysWOW64\gpr9F6C.exe
    "C:\Windows\system32\gpr9F6C.exe"
    3⤵
    PID:5156
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:7148
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        5⤵
        
        PID:6036
    - - C:\Windows\SysWOW64\gprA27A.exe
        
        "C:\Windows\system32\gprA27A.exe"
        5⤵
        
        PID:6732
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        6⤵
        
        PID:7440
      - C:\Windows\SysWOW64\gprA289.exe
        
        "C:\Windows\system32\gprA289.exe"
        6⤵
        
        PID:7464
        
        C:\Windows\SysWOW64\gprA2A8.exe
        
        "C:\Windows\system32\gprA2A8.exe"
        7⤵
        
        PID:7460
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        8⤵
        
        PID:8060
        
        C:\Windows\SysWOW64\gprA2B8.exe
        
        "C:\Windows\system32\gprA2B8.exe"
        8⤵
        
        PID:5104
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        9⤵
        
        PID:7404
        
        C:\Windows\SysWOW64\gprA2E7.exe
        
        "C:\Windows\system32\gprA2E7.exe"
        9⤵
        
        PID:6976
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        10⤵
        
        PID:7764
        
        C:\Windows\SysWOW64\gprA316.exe
        
        "C:\Windows\system32\gprA316.exe"
        10⤵
        
        PID:5596
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        11⤵
        
        PID:7436
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        7⤵
        
        PID:6444
  - - C:\Windows\SysWOW64\gpr9F7C.exe
      "C:\Windows\system32\gpr9F7C.exe"
      4⤵
      PID:7796

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:220

C:\Windows\SysWOW64\gpr8462.exe
"C:\Windows\system32\gpr8462.exe"
1⤵
PID:1420

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5724

C:\Windows\SysWOW64\gpr8434.exe
"C:\Windows\system32\gpr8434.exe"
1⤵
PID:3392

C:\Windows\SysWOW64\gpr8201.exe
"C:\Windows\system32\gpr8201.exe"
1⤵
PID:1604

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5180

C:\Windows\SysWOW64\gpr7FEE.exe
"C:\Windows\system32\gpr7FEE.exe"
1⤵
PID:5224

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6384

C:\Windows\SysWOW64\gpr7F71.exe
"C:\Windows\system32\gpr7F71.exe"
1⤵
PID:6812

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7076
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7320

C:\Windows\SysWOW64\gpr7F13.exe
"C:\Windows\system32\gpr7F13.exe"
1⤵
PID:5932

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6972

C:\Windows\SysWOW64\gpr7EF4.exe
"C:\Windows\system32\gpr7EF4.exe"
1⤵
PID:5340

C:\Windows\SysWOW64\gpr7EE4.exe
"C:\Windows\system32\gpr7EE4.exe"
1⤵
PID:6792

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5424

C:\Windows\SysWOW64\gpr7EC5.exe
"C:\Windows\system32\gpr7EC5.exe"
1⤵
PID:6360

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6212

C:\Windows\SysWOW64\gpr7E96.exe
"C:\Windows\system32\gpr7E96.exe"
1⤵
PID:5688

C:\Windows\SysWOW64\gpr7E77.exe
"C:\Windows\system32\gpr7E77.exe"
1⤵
PID:6940

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6884

C:\Windows\SysWOW64\gpr7E58.exe
"C:\Windows\system32\gpr7E58.exe"
1⤵
PID:6568
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6352
- C:\Windows\SysWOW64\gpr7C54.exe
  "C:\Windows\system32\gpr7C54.exe"
  2⤵
  PID:6600

C:\Windows\SysWOW64\gpr7DAC.exe
"C:\Windows\system32\gpr7DAC.exe"
1⤵
PID:5980

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7100

C:\Windows\SysWOW64\gpr7D8C.exe
"C:\Windows\system32\gpr7D8C.exe"
1⤵
PID:6400

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6332

C:\Windows\SysWOW64\gpr7D6D.exe
"C:\Windows\system32\gpr7D6D.exe"
1⤵
PID:6328

C:\Windows\SysWOW64\gpr7D0F.exe
"C:\Windows\system32\gpr7D0F.exe"
1⤵
PID:6804

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6672

C:\Windows\SysWOW64\gpr7CF0.exe
"C:\Windows\system32\gpr7CF0.exe"
1⤵
PID:7132

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6836

C:\Windows\SysWOW64\gpr7C92.exe
"C:\Windows\system32\gpr7C92.exe"
1⤵
PID:6912

C:\Windows\SysWOW64\gpr7C83.exe
"C:\Windows\system32\gpr7C83.exe"
1⤵
PID:6768

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6548

C:\Windows\SysWOW64\gpr7678.exe
"C:\Windows\system32\gpr7678.exe"
1⤵
PID:6528

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6492

C:\Windows\SysWOW64\gpr7659.exe
"C:\Windows\system32\gpr7659.exe"
1⤵
PID:6472

C:\Windows\SysWOW64\gpr7639.exe
"C:\Windows\system32\gpr7639.exe"
1⤵
PID:6404

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6332

C:\Windows\SysWOW64\gpr761A.exe
"C:\Windows\system32\gpr761A.exe"
1⤵
PID:6312

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6272

C:\Windows\SysWOW64\gpr75DC.exe
"C:\Windows\system32\gpr75DC.exe"
1⤵
PID:6252

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6172

C:\Windows\SysWOW64\gpr75AD.exe
"C:\Windows\system32\gpr75AD.exe"
1⤵
PID:6152

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6128

C:\Windows\SysWOW64\gpr758E.exe
"C:\Windows\system32\gpr758E.exe"
1⤵
PID:5800

C:\Windows\SysWOW64\gpr755F.exe
"C:\Windows\system32\gpr755F.exe"
1⤵
PID:5152

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5624

C:\Windows\SysWOW64\gpr7511.exe
"C:\Windows\system32\gpr7511.exe"
1⤵
PID:6020
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:1312
- C:\Windows\SysWOW64\gpr7129.exe
  "C:\Windows\system32\gpr7129.exe"
  2⤵
  PID:5304

C:\Windows\SysWOW64\gpr74F1.exe
"C:\Windows\system32\gpr74F1.exe"
1⤵
PID:5536

C:\Windows\SysWOW64\gpr7436.exe
"C:\Windows\system32\gpr7436.exe"
1⤵
PID:5156

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5516

C:\Windows\SysWOW64\gpr73A9.exe
"C:\Windows\system32\gpr73A9.exe"
1⤵
PID:5464
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6112
- C:\Windows\SysWOW64\gpr70EA.exe
  "C:\Windows\system32\gpr70EA.exe"
  2⤵
  PID:5640

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1908

C:\Windows\SysWOW64\gpr738A.exe
"C:\Windows\system32\gpr738A.exe"
1⤵
PID:5716

C:\Windows\SysWOW64\gpr736B.exe
"C:\Windows\system32\gpr736B.exe"
1⤵
PID:5928

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2552

C:\Windows\SysWOW64\gpr733C.exe
"C:\Windows\system32\gpr733C.exe"
1⤵
PID:5296
- C:\Windows\SysWOW64\gpr6E5A.exe
  "C:\Windows\system32\gpr6E5A.exe"
  2⤵
  PID:6128

C:\Windows\SysWOW64\gpr731D.exe
"C:\Windows\system32\gpr731D.exe"
1⤵
PID:5808

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5240

C:\Windows\SysWOW64\gpr71B5.exe
"C:\Windows\system32\gpr71B5.exe"
1⤵
PID:5932

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5780
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:5736

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4632
- C:\Windows\SysWOW64\gpr6E0C.exe
  "C:\Windows\system32\gpr6E0C.exe"
  2⤵
  PID:5884

C:\Windows\SysWOW64\gpr700F.exe
"C:\Windows\system32\gpr700F.exe"
1⤵
PID:5656

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6100

C:\Windows\SysWOW64\gpr6FE0.exe
"C:\Windows\system32\gpr6FE0.exe"
1⤵
PID:4600

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5152

C:\Windows\SysWOW64\gpr6FB2.exe
"C:\Windows\system32\gpr6FB2.exe"
1⤵
PID:5392

C:\Windows\SysWOW64\gpr6F83.exe
"C:\Windows\system32\gpr6F83.exe"
1⤵
PID:5704
- C:\Windows\SysWOW64\gpr6DCD.exe
  "C:\Windows\system32\gpr6DCD.exe"
  2⤵
  PID:5140

C:\Windows\SysWOW64\gpr6F63.exe
"C:\Windows\system32\gpr6F63.exe"
1⤵
PID:5264

C:\Windows\SysWOW64\gpr6DFC.exe
"C:\Windows\system32\gpr6DFC.exe"
1⤵
PID:4632

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5080

C:\Windows\SysWOW64\gpr6DAE.exe
"C:\Windows\system32\gpr6DAE.exe"
1⤵
PID:5704

C:\Windows\SysWOW64\gpr6D7F.exe
"C:\Windows\system32\gpr6D7F.exe"
1⤵
PID:5520

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5144

C:\Windows\SysWOW64\gpr6D31.exe
"C:\Windows\system32\gpr6D31.exe"
1⤵
PID:5448

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5536

C:\Windows\SysWOW64\gpr6CF2.exe
"C:\Windows\system32\gpr6CF2.exe"
1⤵
PID:3868

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5844

C:\Windows\SysWOW64\gpr6CD3.exe
"C:\Windows\system32\gpr6CD3.exe"
1⤵
PID:5320

C:\Windows\SysWOW64\gpr6BBA.exe
"C:\Windows\system32\gpr6BBA.exe"
1⤵
PID:5388

C:\Windows\SysWOW64\gpr6B9B.exe
"C:\Windows\system32\gpr6B9B.exe"
1⤵
PID:5404

C:\Windows\SysWOW64\gpr6B7B.exe
"C:\Windows\system32\gpr6B7B.exe"
1⤵
PID:5444

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1420

C:\Windows\SysWOW64\gpr6B3D.exe
"C:\Windows\system32\gpr6B3D.exe"
1⤵
PID:5920

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5980

C:\Windows\SysWOW64\gpr6A33.exe
"C:\Windows\system32\gpr6A33.exe"
1⤵
PID:5904

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6080

C:\Windows\SysWOW64\gpr69F5.exe
"C:\Windows\system32\gpr69F5.exe"
1⤵
PID:5544

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4228

C:\Windows\SysWOW64\gpr687E.exe
"C:\Windows\system32\gpr687E.exe"
1⤵
PID:6116

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5560

C:\Windows\SysWOW64\gpr686E.exe
"C:\Windows\system32\gpr686E.exe"
1⤵
PID:5956

C:\Windows\SysWOW64\gpr6784.exe
"C:\Windows\system32\gpr6784.exe"
1⤵
PID:4880

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3632

C:\Windows\SysWOW64\gpr6765.exe
"C:\Windows\system32\gpr6765.exe"
1⤵
PID:3160
- C:\Windows\SysWOW64\gpr5767.exe
  "C:\Windows\system32\gpr5767.exe"
  2⤵
  PID:4268

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1040

C:\Windows\SysWOW64\gpr66B9.exe
"C:\Windows\system32\gpr66B9.exe"
1⤵
PID:5744

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6072

C:\Windows\SysWOW64\gpr6699.exe
"C:\Windows\system32\gpr6699.exe"
1⤵
PID:6092

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5976

C:\Windows\SysWOW64\gpr666B.exe
"C:\Windows\system32\gpr666B.exe"
1⤵
PID:5580

C:\Windows\SysWOW64\gpr665B.exe
"C:\Windows\system32\gpr665B.exe"
1⤵
PID:5696

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2704

C:\Windows\SysWOW64\gpr65BF.exe
"C:\Windows\system32\gpr65BF.exe"
1⤵
PID:5284

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2628

C:\Windows\SysWOW64\gpr6561.exe
"C:\Windows\system32\gpr6561.exe"
1⤵
PID:5264

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5220

C:\Windows\SysWOW64\gpr6532.exe
"C:\Windows\system32\gpr6532.exe"
1⤵
PID:5368

C:\Windows\SysWOW64\gpr6513.exe
"C:\Windows\system32\gpr6513.exe"
1⤵
PID:812

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6044

C:\Windows\SysWOW64\gpr6467.exe
"C:\Windows\system32\gpr6467.exe"
1⤵
PID:6024

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5960

C:\Windows\SysWOW64\gpr6438.exe
"C:\Windows\system32\gpr6438.exe"
1⤵
PID:5940

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5868

C:\Windows\SysWOW64\gpr6419.exe
"C:\Windows\system32\gpr6419.exe"
1⤵
PID:5848

C:\Windows\SysWOW64\gpr63FA.exe
"C:\Windows\system32\gpr63FA.exe"
1⤵
PID:5784

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5372

C:\Windows\SysWOW64\gpr61B7.exe
"C:\Windows\system32\gpr61B7.exe"
1⤵
PID:5352

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5308

C:\Windows\SysWOW64\gpr61A8.exe
"C:\Windows\system32\gpr61A8.exe"
1⤵
PID:5288

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5216

C:\Windows\SysWOW64\gpr614A.exe
"C:\Windows\system32\gpr614A.exe"
1⤵
PID:5196

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5124

C:\Windows\SysWOW64\gpr610C.exe
"C:\Windows\system32\gpr610C.exe"
1⤵
PID:4732

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3868

C:\Windows\SysWOW64\gpr60DD.exe
"C:\Windows\system32\gpr60DD.exe"
1⤵
PID:4960

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:2980

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5104

C:\Windows\SysWOW64\gpr60BD.exe
"C:\Windows\system32\gpr60BD.exe"
1⤵
PID:4332

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2188

C:\Windows\SysWOW64\gpr609E.exe
"C:\Windows\system32\gpr609E.exe"
1⤵
PID:4740

C:\Windows\SysWOW64\gpr607F.exe
"C:\Windows\system32\gpr607F.exe"
1⤵
PID:1912

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2444

C:\Windows\SysWOW64\gpr6060.exe
"C:\Windows\system32\gpr6060.exe"
1⤵
PID:976

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4108

C:\Windows\SysWOW64\gpr6040.exe
"C:\Windows\system32\gpr6040.exe"
1⤵
PID:5032

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1416

C:\Windows\SysWOW64\gpr5FF2.exe
"C:\Windows\system32\gpr5FF2.exe"
1⤵
PID:4808

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4652

C:\Windows\SysWOW64\gpr5FD3.exe
"C:\Windows\system32\gpr5FD3.exe"
1⤵
PID:564

C:\Windows\SysWOW64\gpr5FB4.exe
"C:\Windows\system32\gpr5FB4.exe"
1⤵
PID:5096

C:\Windows\SysWOW64\gpr5F95.exe
"C:\Windows\system32\gpr5F95.exe"
1⤵
PID:1412

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4948

C:\Windows\SysWOW64\gpr5F75.exe
"C:\Windows\system32\gpr5F75.exe"
1⤵
PID:5028

C:\Windows\SysWOW64\gpr5F66.exe
"C:\Windows\system32\gpr5F66.exe"
1⤵
PID:5060

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4912

C:\Windows\SysWOW64\gpr5F37.exe
"C:\Windows\system32\gpr5F37.exe"
1⤵
PID:4448

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:3632

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5108

C:\Windows\SysWOW64\gpr5F08.exe
"C:\Windows\system32\gpr5F08.exe"
1⤵
PID:4756

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2632

C:\Windows\SysWOW64\gpr5E6C.exe
"C:\Windows\system32\gpr5E6C.exe"
1⤵
PID:2224
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:1500

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4672

C:\Windows\SysWOW64\gpr5E3D.exe
"C:\Windows\system32\gpr5E3D.exe"
1⤵
PID:4136

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3380

C:\Windows\SysWOW64\gpr5DC0.exe
"C:\Windows\system32\gpr5DC0.exe"
1⤵
PID:1172

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5040

C:\Windows\SysWOW64\gpr5D91.exe
"C:\Windows\system32\gpr5D91.exe"
1⤵
PID:2044

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4740
- C:\Windows\SysWOW64\gpr57C5.exe
  "C:\Windows\system32\gpr57C5.exe"
  2⤵
  - Executes dropped EXE
  PID:3800

C:\Windows\SysWOW64\gpr5D72.exe
"C:\Windows\system32\gpr5D72.exe"
1⤵
- Drops file in System32 directory
PID:2336

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1604

C:\Windows\SysWOW64\gpr5D24.exe
"C:\Windows\system32\gpr5D24.exe"
1⤵
PID:4924

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2424

C:\Windows\SysWOW64\gpr5AE1.exe
"C:\Windows\system32\gpr5AE1.exe"
1⤵
PID:1220

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1908

C:\Windows\SysWOW64\gpr5A93.exe
"C:\Windows\system32\gpr5A93.exe"
1⤵
PID:4480

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2712

C:\Windows\SysWOW64\gpr5A64.exe
"C:\Windows\system32\gpr5A64.exe"
1⤵
PID:4848

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1596

C:\Windows\SysWOW64\gpr5A36.exe
"C:\Windows\system32\gpr5A36.exe"
1⤵
- Drops file in System32 directory
PID:3940

C:\Windows\SysWOW64\gpr5A16.exe
"C:\Windows\system32\gpr5A16.exe"
1⤵
- Executes dropped EXE
PID:3336

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4412

C:\Windows\SysWOW64\gpr5A07.exe
"C:\Windows\system32\gpr5A07.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:3368

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7844

C:\Windows\SysWOW64\gpr9A7B.exe
"C:\Windows\system32\gpr9A7B.exe"
1⤵
PID:7280
- C:\Windows\SysWOW64\gpr9A9A.exe
  "C:\Windows\system32\gpr9A9A.exe"
  2⤵
  PID:7260
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:1408
- - C:\Windows\SysWOW64\gpr9AB9.exe
    "C:\Windows\system32\gpr9AB9.exe"
    3⤵
    PID:4228
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:1576

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4568

C:\Windows\SysWOW64\gpr59E7.exe
"C:\Windows\system32\gpr59E7.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:3780

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:2552

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4432

C:\Windows\SysWOW64\gpr59C8.exe
"C:\Windows\system32\gpr59C8.exe"
1⤵
PID:3040

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3732

C:\Windows\SysWOW64\gpr59B9.exe
"C:\Windows\system32\gpr59B9.exe"
1⤵
PID:4604

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4888

C:\Windows\SysWOW64\gpr593C.exe
"C:\Windows\system32\gpr593C.exe"
1⤵
PID:3804

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4924
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:4196
- C:\Windows\SysWOW64\gpr56F9.exe
  "C:\Windows\system32\gpr56F9.exe"
  2⤵
  PID:1568

C:\Windows\SysWOW64\gpr590D.exe
"C:\Windows\system32\gpr590D.exe"
1⤵
PID:2616

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4956

C:\Windows\SysWOW64\gpr58ED.exe
"C:\Windows\system32\gpr58ED.exe"
1⤵
PID:3364

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4672

C:\Windows\SysWOW64\gpr58DE.exe
"C:\Windows\system32\gpr58DE.exe"
1⤵
- Executes dropped EXE
PID:4960

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4044

C:\Windows\SysWOW64\gpr58BF.exe
"C:\Windows\system32\gpr58BF.exe"
1⤵
PID:3260
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  - Executes dropped EXE
  PID:3192

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4256

C:\Windows\SysWOW64\gpr5890.exe
"C:\Windows\system32\gpr5890.exe"
1⤵
- Executes dropped EXE
PID:4944

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3496

C:\Windows\SysWOW64\gpr5870.exe
"C:\Windows\system32\gpr5870.exe"
1⤵
- Executes dropped EXE
PID:2068

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4636

C:\Windows\SysWOW64\gpr5851.exe
"C:\Windows\system32\gpr5851.exe"
1⤵
- Executes dropped EXE
PID:2740

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4480

C:\Windows\SysWOW64\gpr5832.exe
"C:\Windows\system32\gpr5832.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:2744

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3988

C:\Windows\SysWOW64\gpr57D4.exe
"C:\Windows\system32\gpr57D4.exe"
1⤵
PID:4336

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1564

C:\Windows\SysWOW64\gpr57A5.exe
"C:\Windows\system32\gpr57A5.exe"
1⤵
- Executes dropped EXE
PID:4740

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4448

C:\Windows\SysWOW64\gpr5719.exe
"C:\Windows\system32\gpr5719.exe"
1⤵
PID:556

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4344

C:\Windows\SysWOW64\gpr56BB.exe
"C:\Windows\system32\gpr56BB.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:4924

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2180

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2268

C:\Windows\SysWOW64\gpr55FF.exe
"C:\Windows\system32\gpr55FF.exe"
1⤵
PID:2392

C:\Windows\SysWOW64\gpr5488.exe
"C:\Windows\system32\gpr5488.exe"
1⤵
- Executes dropped EXE
PID:2484

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4568

C:\Windows\SysWOW64\gpr5469.exe
"C:\Windows\system32\gpr5469.exe"
1⤵
- Executes dropped EXE
PID:3672

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1312

C:\Windows\SysWOW64\gpr544A.exe
"C:\Windows\system32\gpr544A.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:212

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4748

C:\Windows\SysWOW64\gpr541B.exe
"C:\Windows\system32\gpr541B.exe"
1⤵
PID:3192

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:788

C:\Windows\SysWOW64\gpr53EC.exe
"C:\Windows\system32\gpr53EC.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:880

C:\Windows\SysWOW64\gpr53CD.exe
"C:\Windows\system32\gpr53CD.exe"
1⤵
- Executes dropped EXE
PID:1660

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1712

C:\Windows\SysWOW64\gpr539E.exe
"C:\Windows\system32\gpr539E.exe"
1⤵
- Executes dropped EXE
PID:1476

C:\Windows\SysWOW64\gpr52C3.exe
"C:\Windows\system32\gpr52C3.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:4308

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
- Executes dropped EXE
PID:1568

C:\Windows\SysWOW64\gpr5285.exe
"C:\Windows\system32\gpr5285.exe"
1⤵
- Executes dropped EXE
PID:3000

C:\Windows\SysWOW64\gpr5266.exe
"C:\Windows\system32\gpr5266.exe"
1⤵
- Executes dropped EXE
PID:1600

C:\Windows\SysWOW64\gpr9B17.exe
"C:\Windows\system32\gpr9B17.exe"
1⤵
PID:7456
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7620
- C:\Windows\SysWOW64\gpr9B46.exe
  "C:\Windows\system32\gpr9B46.exe"
  2⤵
  PID:5380
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:6632
- - C:\Windows\SysWOW64\gpr9B65.exe
    "C:\Windows\system32\gpr9B65.exe"
    3⤵
    PID:7572

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1172

C:\Windows\SysWOW64\gpr5237.exe
"C:\Windows\system32\gpr5237.exe"
1⤵
- Executes dropped EXE
PID:2888

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
- Executes dropped EXE
PID:4020

C:\Windows\SysWOW64\gpr5208.exe
"C:\Windows\system32\gpr5208.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:4980

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7388

C:\Windows\SysWOW64\gpr9B84.exe
"C:\Windows\system32\gpr9B84.exe"
1⤵
PID:8148
- C:\Windows\SysWOW64\gpr9BB3.exe
  "C:\Windows\system32\gpr9BB3.exe"
  2⤵
  PID:7184
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:7892
- - C:\Windows\SysWOW64\gpr9BC3.exe
    "C:\Windows\system32\gpr9BC3.exe"
    3⤵
    PID:6376
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:6212
  - - C:\Windows\SysWOW64\gpr9BE2.exe
      "C:\Windows\system32\gpr9BE2.exe"
      4⤵
      PID:6528
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        5⤵
        
        PID:7936
    - - C:\Windows\SysWOW64\gpr9C01.exe
        
        "C:\Windows\system32\gpr9C01.exe"
        5⤵
        
        PID:7536
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        6⤵
        
        PID:6108
      - C:\Windows\SysWOW64\gpr9C21.exe
        
        "C:\Windows\system32\gpr9C21.exe"
        6⤵
        
        PID:4228
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7920

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2180

C:\Windows\SysWOW64\gpr51E9.exe
"C:\Windows\system32\gpr51E9.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:3396

C:\Windows\SysWOW64\gpr51BA.exe
"C:\Windows\system32\gpr51BA.exe"
1⤵
- Executes dropped EXE
PID:1936

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1840

C:\Windows\SysWOW64\gpr516C.exe
"C:\Windows\system32\gpr516C.exe"
1⤵
- Executes dropped EXE
PID:3376

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
- Executes dropped EXE
PID:4500

C:\Windows\SysWOW64\gpr514C.exe
"C:\Windows\system32\gpr514C.exe"
1⤵
- Executes dropped EXE
PID:320

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:4336

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:1932

C:\Windows\SysWOW64\gpr512D.exe
"C:\Windows\system32\gpr512D.exe"
1⤵
- Executes dropped EXE
PID:748

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:732

C:\Windows\SysWOW64\gpr50DF.exe
"C:\Windows\system32\gpr50DF.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:4312

C:\Windows\SysWOW64\gpr50C0.exe
"C:\Windows\system32\gpr50C0.exe"
1⤵
- Executes dropped EXE
PID:3992

C:\Windows\SysWOW64\gpr50A0.exe
"C:\Windows\system32\gpr50A0.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:4264

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:924

C:\Windows\SysWOW64\gpr5072.exe
"C:\Windows\system32\gpr5072.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1036

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2548

C:\Windows\SysWOW64\gpr5033.exe
"C:\Windows\system32\gpr5033.exe"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4236

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3260

C:\Windows\SysWOW64\gpr4FF5.exe
"C:\Windows\system32\gpr4FF5.exe"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3920

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3280

C:\Windows\SysWOW64\gpr4FD5.exe
"C:\Windows\system32\gpr4FD5.exe"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3828

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2032

C:\Windows\SysWOW64\gpr4F97.exe
"C:\Windows\system32\gpr4F97.exe"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4252

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7764

C:\Windows\SysWOW64\gpr9C40.exe
"C:\Windows\system32\gpr9C40.exe"
1⤵
- Drops file in System32 directory
PID:6104
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:7488
- C:\Windows\SysWOW64\gpr9C5F.exe
  "C:\Windows\system32\gpr9C5F.exe"
  2⤵
  PID:7988
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:7984
- - C:\Windows\SysWOW64\gpr9C7E.exe
    "C:\Windows\system32\gpr9C7E.exe"
    3⤵
    PID:4108
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:2932
  - - C:\Windows\SysWOW64\gpr9C9E.exe
      "C:\Windows\system32\gpr9C9E.exe"
      4⤵
      PID:7232
    - - C:\Windows\SysWOW64\gpr9CBD.exe
        
        "C:\Windows\system32\gpr9CBD.exe"
        5⤵
        
        PID:6628
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        6⤵
        
        PID:6376
      - C:\Windows\SysWOW64\gpr9CCC.exe
        
        "C:\Windows\system32\gpr9CCC.exe"
        6⤵
        
        PID:7452
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        7⤵
        
        PID:8064
        
        C:\Windows\SysWOW64\gpr9CFB.exe
        
        "C:\Windows\system32\gpr9CFB.exe"
        7⤵
        
        PID:4600
        
        C:\Windows\SysWOW64\gpr9D1B.exe
        
        "C:\Windows\system32\gpr9D1B.exe"
        8⤵
        
        PID:5868
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        9⤵
        
        PID:7876
        
        C:\Windows\SysWOW64\gpr9D3A.exe
        
        "C:\Windows\system32\gpr9D3A.exe"
        9⤵
        
        PID:7188
        
        C:\Windows\SysWOW64\gpr9D59.exe
        
        "C:\Windows\system32\gpr9D59.exe"
        10⤵
        
        PID:7472
        
        C:\Windows\SysWOW64\gpr9D69.exe
        
        "C:\Windows\system32\gpr9D69.exe"
        11⤵
        
        PID:5756
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        12⤵
        
        PID:7340
        
        C:\Windows\SysWOW64\gpr9D88.exe
        
        "C:\Windows\system32\gpr9D88.exe"
        12⤵
        
        PID:7560
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        13⤵
        
        PID:7936
        
        C:\Windows\SysWOW64\gpr9DC6.exe
        
        "C:\Windows\system32\gpr9DC6.exe"
        13⤵
        
        PID:6212
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        14⤵
        
        PID:6796
        
        C:\Windows\SysWOW64\gpr9DE6.exe
        
        "C:\Windows\system32\gpr9DE6.exe"
        14⤵
        
        PID:7404
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        15⤵
        
        PID:1408
        
        C:\Windows\SysWOW64\gpr9E15.exe
        
        "C:\Windows\system32\gpr9E15.exe"
        15⤵
        
        PID:7568
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        16⤵
        
        PID:7800
        
        C:\Windows\SysWOW64\gpr9E24.exe
        
        "C:\Windows\system32\gpr9E24.exe"
        16⤵
        
        PID:7852
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        17⤵
        
        PID:7844
        
        C:\Windows\SysWOW64\gpr9E63.exe
        
        "C:\Windows\system32\gpr9E63.exe"
        17⤵
        
        PID:7268
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        18⤵
        
        PID:7440
        
        C:\Windows\SysWOW64\gpr9EC0.exe
        
        "C:\Windows\system32\gpr9EC0.exe"
        18⤵
        
        PID:7808
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        19⤵
        
        PID:5104
        
        C:\Windows\SysWOW64\gpr9EE0.exe
        
        "C:\Windows\system32\gpr9EE0.exe"
        19⤵
        
        PID:7716
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        11⤵
        
        PID:7604
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        10⤵
        
        PID:7736
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        8⤵
        
        PID:7504
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        5⤵
        
        PID:7384

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:3548

C:\Windows\SysWOW64\gpr4F68.exe
"C:\Windows\system32\gpr4F68.exe"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:5004

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4948

C:\Windows\SysWOW64\gpr4F39.exe
"C:\Windows\system32\gpr4F39.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:4084

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:4440

C:\Windows\SysWOW64\gpr4F0A.exe
"C:\Windows\system32\gpr4F0A.exe"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1256

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:2392

C:\Windows\SysWOW64\gpr4EEB.exe
"C:\Windows\system32\gpr4EEB.exe"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2156

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:3732

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:5992

C:\Windows\SysWOW64\gpr9EEF.exe
"C:\Windows\system32\gpr9EEF.exe"
1⤵
PID:696
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6036
- C:\Windows\SysWOW64\gpr9F1E.exe
  "C:\Windows\system32\gpr9F1E.exe"
  2⤵
  PID:4228
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:5388
- - C:\Windows\SysWOW64\gpr9F2E.exe
    "C:\Windows\system32\gpr9F2E.exe"
    3⤵
    PID:5260
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:7384

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:7620

C:\Windows\SysWOW64\gpr9FAB.exe
"C:\Windows\system32\gpr9FAB.exe"
1⤵
PID:5048
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:5232
- C:\Windows\SysWOW64\gpr9FCA.exe
  "C:\Windows\system32\gpr9FCA.exe"
  2⤵
  PID:7464
- - C:\Windows\SysWOW64\gpr9FE9.exe
    "C:\Windows\system32\gpr9FE9.exe"
    3⤵
    PID:7292
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:5536
  - - C:\Windows\SysWOW64\gprA009.exe
      "C:\Windows\system32\gprA009.exe"
      4⤵
      PID:7368
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        5⤵
        
        PID:7540
    - - C:\Windows\SysWOW64\gprA018.exe
        
        "C:\Windows\system32\gprA018.exe"
        5⤵
        
        PID:7624
      - C:\Windows\SysWOW64\gprA037.exe
        
        "C:\Windows\system32\gprA037.exe"
        6⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        7⤵
        
        PID:7528
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        8⤵
        
        PID:5372
        
        C:\Windows\SysWOW64\gprA047.exe
        
        "C:\Windows\system32\gprA047.exe"
        7⤵
        
        PID:5728
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        8⤵
        
        PID:6132
        
        C:\Windows\SysWOW64\gprA057.exe
        
        "C:\Windows\system32\gprA057.exe"
        8⤵
        
        PID:6832
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        9⤵
        
        PID:8024
        
        C:\Windows\SysWOW64\gprA086.exe
        
        "C:\Windows\system32\gprA086.exe"
        9⤵
        
        PID:7260
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        10⤵
        
        PID:5360
        
        C:\Windows\SysWOW64\gprA0B4.exe
        
        "C:\Windows\system32\gprA0B4.exe"
        10⤵
        
        PID:7976
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        11⤵
        
        PID:7332
        
        C:\Windows\SysWOW64\gprA0D4.exe
        
        "C:\Windows\system32\gprA0D4.exe"
        11⤵
        
        PID:7908
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        6⤵
        
        PID:1408
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:7512

C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
1⤵
PID:6696

C:\Windows\SysWOW64\gprA0F3.exe
"C:\Windows\system32\gprA0F3.exe"
1⤵
PID:7508
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
  2⤵
  PID:6516
- C:\Windows\SysWOW64\gprA122.exe
  "C:\Windows\system32\gprA122.exe"
  2⤵
  PID:6796
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
    3⤵
    PID:7812
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:6020
- - C:\Windows\SysWOW64\gprA151.exe
    "C:\Windows\system32\gprA151.exe"
    3⤵
    PID:6376
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
      4⤵
      PID:7968
  - - C:\Windows\SysWOW64\gprA170.exe
      "C:\Windows\system32\gprA170.exe"
      4⤵
      PID:8068
    - - C:\Windows\SysWOW64\gprA19F.exe
        
        "C:\Windows\system32\gprA19F.exe"
        5⤵
        
        PID:6912
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        6⤵
        
        PID:8052
      - C:\Windows\SysWOW64\gprA1AE.exe
        
        "C:\Windows\system32\gprA1AE.exe"
        6⤵
        
        PID:7764
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        7⤵
        
        PID:7684
        
        C:\Windows\SysWOW64\gprA1DD.exe
        
        "C:\Windows\system32\gprA1DD.exe"
        7⤵
        
        PID:7260
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        8⤵
        
        PID:5704
        
        C:\Windows\SysWOW64\gprA1ED.exe
        
        "C:\Windows\system32\gprA1ED.exe"
        8⤵
        
        PID:5464
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        9⤵
        
        PID:7944
        
        C:\Windows\SysWOW64\gprA20C.exe
        
        "C:\Windows\system32\gprA20C.exe"
        9⤵
        
        PID:8112
        
        C:\Windows\SysWOW64\gprA21C.exe
        
        "C:\Windows\system32\gprA21C.exe"
        10⤵
        
        PID:7804
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        11⤵
        
        PID:6132
        
        C:\Windows\SysWOW64\gprA23B.exe
        
        "C:\Windows\system32\gprA23B.exe"
        11⤵
        
        PID:6232
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        12⤵
        
        PID:7972
        
        C:\Windows\SysWOW64\gprA24B.exe
        
        "C:\Windows\system32\gprA24B.exe"
        12⤵
        
        PID:6212
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        13⤵
        
        PID:7180
        
        C:\Windows\SysWOW64\gprA25A.exe
        
        "C:\Windows\system32\gprA25A.exe"
        13⤵
        
        PID:7148
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\delself.bat
        5⤵
        
        PID:7276

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
7f0fde8cfb9d6b574b4cda76434c3cc6

SHA1
6315d6427faefe2b65c803774fe4f1023dd04e62

SHA256
1b9db2abca0894395003292c2a46cd887640efdb7ad71a2f00e2c1c6a0d92b1c

SHA512
7ce28c5f2777f3a97827e3475acabfb77cee661481568cbf1c9e4b51e7917c32cbd332f141b098111ddfc53dd2bb498634afdf6d3f0078e4b1d3295517faace7

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
f5884412b283d1c1e128222067327175

SHA1
22aefadfd35309a707537cd369059c07e4209627

SHA256
78294a53c10abb4a756551588f5ccab96122e6da82f6f02f33b0697defd56b20

SHA512
a44f6fbd375c1472ee2b932b57e725e2ccfa51a986294165bbc4b4837863646c0c0fbc4ccf4ea6da08f88fed66a394d9a624d2e9800ad19a1556f41dd419cb4c

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
27d968658321885bb42bee955501e3ce

SHA1
0fab8b99ab71f1ac443a7da7bb7ba69476b7d430

SHA256
8d8cd4fb2c20bcccc3f8f8dd392567096978cd1dc26758006c6ae3e859708049

SHA512
5ba30fd4f6170ace4b72338de68d304fa781b4b1d47690026ab1929bc443417ec32055461d1cdd9d560f683ffa055ab6cb266406d131d5f81d4861745f2ac361

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
3eb3ae00713e55c807e2a7a1106fc52b

SHA1
0403c849c624c191e36520627c42a875d9e500b4

SHA256
8bbd8d52013ae1ee11d6ae3a09ea0b9b4fb4f6d89ef1f9338bff5516ba45f416

SHA512
93ad968a3365f185b8335d797ffe46019941cf8e71667149d5bd8a210dabcaf2e64fb5b9e31ddf3b74f48553513c02892cf3fff9f147f3e847326dc9a911295f

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
56640e10d5be159e25f91369423a1e8c

SHA1
354fc451ff4fc8b0752325343d212102174934c3

SHA256
a15b0fa332918e727e69b4128f9590ad04754a52fa30b719d5a9e592c14dc468

SHA512
9b9aa12c2cf064e73932968e510c792fcf41e91de7167b7a974a1982f4841fa929088766f1d83d7159d3b913062c637a1bda3b473e1804da67a86510c24adab5

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
ad47739c960bd16e18a8a0e578dd39dd

SHA1
8063e20155c5de4558ec95200dc0c0a9588f942e

SHA256
f017bb13aa3ef44b538724e5de7334436e38fa04ba67af07d6038238121d9111

SHA512
60d773427f596b755e04122c8e0305ea3ddd2874b2b3a07158fe777123ec4642a19bf91671eefc23e772046e15e1af0f4eca405a1bf3871ff142fef132a9bba8

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
e557f75839fe73115fe82b867e18dbf9

SHA1
95f58d9e32ff0f99ce2aacd775630343963dd7ba

SHA256
47d541f488c9d0d527d0ea6b3ab28697370ec4b6d87b679997c3d716ae2bcdb9

SHA512
07c4a070151f0c65e2865eb24082b115c27c19435abb63826bf2ad0869401980ed48e76acff1d9af8f4dc951fefc4f9b51ec1c88a0d28eed208d8eee56df0da4

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
a7352eea8dd52028c16718b242574de6

SHA1
06ea56e28ecf30e728640f10b98324e2d2634cee

SHA256
7ad0e011c65ad8941816c47e0ebe8a93b794107bd50311f02a5c3ae3c22a071b

SHA512
81b522f810d24dfd9ef7c742980cd581f7b724b58a4190ffcf02329027f8546b4f2ff3ce33f592a350b91dfca9524b402cb7cd66329ea7e506f7648f6bf62604

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
885e3582affe15dac615fd96a7021c28

SHA1
c0f43723198ee70c1d498f43535d0e0910de771a

SHA256
064d99d6809a55acf8024ae905efb320a51831ca5cc8beefe7179f54a180868a

SHA512
7620ac67b60c2f8125a6b35795cbf8f69eda868d831559bea4e85d738f566935a0e895a917fc99fdf7452eacd631b6d8ad3fd4c00807a23ca626b0ca072858d4

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
ef3abd0f0edd5cd92f6272ff60216968

SHA1
f5e273506bc2c1d4929ad0571b1b7b6f8828ffe5

SHA256
f4a819e3d2f9c44a3e438811e727f3e68e56e3929abb1d0265aa5b4c91e830a1

SHA512
8a2051e41b39efe7ff9818fab8041ffc0769147d79d886c1335456044d2869486d0c5da0402c6890c8a0671ea6b9d485ecc669ee2a69291c22344cb17866321f

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
4f796bd4280da79b9534af8fa43a8af7

SHA1
8e6ee33fcfa55aa4218e3e61a581490fe28803dd

SHA256
439cdeb30e23c63875cb91739f9145cdcad19b4559734ac967adf16d0ef037cf

SHA512
d31dda7d1f9786a8fee8d824a0687da49a533e45a9c50915379043f9b95118a8fb44d918e99ee1f1c85b5dfa41ec335d572cf4881411f1172ecc218d5897818c

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
4134fc9942bc6af1670e8e19f091a422

SHA1
2f2952a1de52354231ea0ddb32fb3b8851dbdcca

SHA256
982c7250d9858d915b4f6bc652523364498f5cd929dbe6e1ce88b71ba3f04d04

SHA512
ba4f32496b15f4a6f472894649a2a9be0aff0c4a627eab76908b54f3fc388279d7531772095b6f604985dcc126da19f942509757f9ca5a523b0b870e2712cdc8

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
efdbf9b3d389ab701cd91626e8a9b233

SHA1
9ee0706a9ec10080f909f74e16e7771e4c50b271

SHA256
d60f97de20da6d153c18a79c2b3992fab9838d760def16e1779c2ef7d155a185

SHA512
9b59dbd33d14c7e9ede0b04c926dbf4cdff0ca4be2c993d7448ca4aef3019c638d832939b72d97a157d8001b66272aa909b48ee92d1871ec41228bd532c8309f

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
2c68ee063517ecb9a201453c133f1d3b

SHA1
bd5c97f32cac4fe385b279b80fbae25bb189a5ad

SHA256
74cc784633b263597081f6bbdc341b3df84e735cba6f20e0d87cf907338bdc65

SHA512
2614371218e71847833b36b8de9f516823f2d528dd675de5fc2b55dbe6b72b0153b4683f36ae558812da2671657b1f33ed3f19d50f39b8dc29ce56467a6b6c34

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
a258ce731234d8156d09e034734afcf2

SHA1
20ee0b258a50ac6a33ddc48a2dcda7af02416b63

SHA256
f5f0c98335469f56476981457652bcff73b6f6d1fbe7111dc04b272bb6940c3a

SHA512
9e0654226c83747583062df2cd8c08e51c5212a3b2420c644551b4a06fb8bbe99721498eac31dd6df26fcb38071cd30dd6bdea0d1c5b13949f7e58afe03c3d09

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
70ae4de582d1c67524d7dce31feab130

SHA1
754a8a8850fcbf81d46cb9cabcecf8197200c3f3

SHA256
3d81815293692895af3d1449db16138c7f401eb0f5c563f6c3b78763acc64e5b

SHA512
0d59e79817c2804c26e3c53cdc0509b47ab717a8f5646b1764fdefe9a799f8112efcd8685ecde2bb3dc98b436f0b6dfd976e4eadd607f46a07dc8795a49e5296

Download Submit
C:\Users\Admin\AppData\Local\Temp\delself.bat

Filesize
244B

MD5
576103de45f674bcbb255c5378f77f78

SHA1
c87c33a008dad8dc531bc63c70df6e8376eea939

SHA256
2561b563ad7e25f499f84ff90f302e845487968696a2f549691446c3e6a9fa66

SHA512
90875dba50811b56d4187194066eb5f4a4c28bba634ae333d755924a1f6e856d5391cde76a59f6a72d59e33787245d8d3ee482279f5e0393d19fc67e66fec47e

Download Submit
C:\Windows\SysWOW64\gpr4EEB.exe

Filesize
23KB

MD5
7b3d0a90ac9626589d6d84182d30f5ed

SHA1
88c7686c624dffc24324f0be02ebbcd98700b8e1

SHA256
7ddcaff5a52390f992a0f2c1c5ce1bfaeedc19a6be75a57c6382faadb3717b42

SHA512
0b0d7efad0fa15c840d32a6aa30dfc90a2b829545bfb8bbc176a463edefca6bdb3b11c6ec9d4e33159ba344c754bdfd621f8f3ba125ac14c757a0527508008ac

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads