d3944a85722016ee691a56ee3701c780932de50e0b0a35f109846d4978c21d58

Analysis

max time kernel
145s
max time network
149s
platform
windows10-2004_x64
resource
win10v2004-20231222-en
resource tags

arch:x64arch:x86image:win10v2004-20231222-enlocale:en-usos:windows10-2004-x64system
submitted
29/01/2024, 14:47

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2024-01-29_8c4ea5887ee5bb1899a4e1f26c643bea_mafia.exe
Size

541KB
MD5

8c4ea5887ee5bb1899a4e1f26c643bea
SHA1

6219f1e13b74f45c35c6b4e9f16d985c2af87cb2
SHA256

d3944a85722016ee691a56ee3701c780932de50e0b0a35f109846d4978c21d58
SHA512

dba2b5c1dd06bfc8bf0fd579efd2993735a9544e236df7a819bdcd13627b9536dfb0bc86e07304715ee427ecae0f63a571ca2bfbcaa8637e6b23142508bb064e
SSDEEP

12288:UU5rCOTeifhE+ayz4DGoDeOtpwRDnkrZa73ctO:UUQOJfBaDDGQtcDkrU73ctO

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
768	928B.tmp
1344	46DC.tmp
4328	472B.tmp
4888	76D.tmp
3468	19EC.tmp
4780	D225.tmp
1944	2D45.tmp
4980	1AD6.tmp
4672	492E.tmp
2692	E59D.tmp
4464	2E2F.tmp
436	4A19.tmp
704	1CE9.tmp
3884	F7ED.tmp
2104	1D37.tmp
2336	5A45.tmp
4872	1F0C.tmp
2900	4C0D.tmp
2388	2517.tmp
5000	B779.tmp
4344	B7C7.tmp
4208	svchost.exe
2988	4D93.tmp
876	9952.tmp
1248	367C.tmp
864	C95B.tmp
1988	ED1F.tmp
2008	50B0.tmp
2688	21CB.tmp
1660	515C.tmp
4404	4C08.tmp
2836	DEC7.tmp
2820	38AF.tmp
4452	52A4.tmp
452	2815.tmp
1756	5350.tmp
1572	9DE6.tmp
4360	3A83.tmp
5092	4CE3.tmp
3564	3D81.tmp
224	4205.tmp
4804	5128.tmp
392	5213.tmp
4888	2CF7.tmp
1580	5520.tmp
3588	D273.tmp
816	C18B.tmp
4876	52AF.tmp
4904	1BB1.tmp
3448	407F.tmp
4576	8482.tmp
1672	B3DF.tmp
516	4428.tmp
3168	67EC.tmp
3476	594B.tmp
1440	E8D9.tmp
4164	59E7.tmp
2336	6A5D.tmp
1720	87DD.tmp
3432	ED6D.tmp
2604	3534.tmp
3428	FC90.tmp
3916	3999.tmp
1496	5C1A.tmp

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1992 wrote to memory of 768	1992	2024-01-29_8c4ea5887ee5bb1899a4e1f26c643bea_mafia.exe	314
PID 1992 wrote to memory of 768	1992	2024-01-29_8c4ea5887ee5bb1899a4e1f26c643bea_mafia.exe	314
PID 1992 wrote to memory of 768	1992	2024-01-29_8c4ea5887ee5bb1899a4e1f26c643bea_mafia.exe	314
PID 768 wrote to memory of 1344	768	C311.tmp	21
PID 768 wrote to memory of 1344	768	C311.tmp	21
PID 768 wrote to memory of 1344	768	C311.tmp	21
PID 1344 wrote to memory of 4328	1344	46DC.tmp	243
PID 1344 wrote to memory of 4328	1344	46DC.tmp	243
PID 1344 wrote to memory of 4328	1344	46DC.tmp	243
PID 4328 wrote to memory of 4888	4328	472B.tmp	723
PID 4328 wrote to memory of 4888	4328	472B.tmp	723
PID 4328 wrote to memory of 4888	4328	472B.tmp	723
PID 4888 wrote to memory of 3468	4888	1A3A.tmp	784
PID 4888 wrote to memory of 3468	4888	1A3A.tmp	784
PID 4888 wrote to memory of 3468	4888	1A3A.tmp	784
PID 3468 wrote to memory of 4780	3468	19EC.tmp	547
PID 3468 wrote to memory of 4780	3468	19EC.tmp	547
PID 3468 wrote to memory of 4780	3468	19EC.tmp	547
PID 4780 wrote to memory of 1944	4780	2C5A.tmp	848
PID 4780 wrote to memory of 1944	4780	2C5A.tmp	848
PID 4780 wrote to memory of 1944	4780	2C5A.tmp	848
PID 1944 wrote to memory of 4980	1944	2D45.tmp	787
PID 1944 wrote to memory of 4980	1944	2D45.tmp	787
PID 1944 wrote to memory of 4980	1944	2D45.tmp	787
PID 4980 wrote to memory of 4672	4980	1AD6.tmp	231
PID 4980 wrote to memory of 4672	4980	1AD6.tmp	231
PID 4980 wrote to memory of 4672	4980	1AD6.tmp	231
PID 4672 wrote to memory of 2692	4672	492E.tmp	611
PID 4672 wrote to memory of 2692	4672	492E.tmp	611
PID 4672 wrote to memory of 2692	4672	492E.tmp	611
PID 2692 wrote to memory of 4464	2692	E59D.tmp	851
PID 2692 wrote to memory of 4464	2692	E59D.tmp	851
PID 2692 wrote to memory of 4464	2692	E59D.tmp	851
PID 4464 wrote to memory of 436	4464	2E2F.tmp	226
PID 4464 wrote to memory of 436	4464	2E2F.tmp	226
PID 4464 wrote to memory of 436	4464	2E2F.tmp	226
PID 436 wrote to memory of 704	436	4A19.tmp	794
PID 436 wrote to memory of 704	436	4A19.tmp	794
PID 436 wrote to memory of 704	436	4A19.tmp	794
PID 704 wrote to memory of 3884	704	1CE9.tmp	672
PID 704 wrote to memory of 3884	704	1CE9.tmp	672
PID 704 wrote to memory of 3884	704	1CE9.tmp	672
PID 3884 wrote to memory of 2104	3884	F7ED.tmp	795
PID 3884 wrote to memory of 2104	3884	F7ED.tmp	795
PID 3884 wrote to memory of 2104	3884	F7ED.tmp	795
PID 2104 wrote to memory of 2336	2104	1D37.tmp	56
PID 2104 wrote to memory of 2336	2104	1D37.tmp	56
PID 2104 wrote to memory of 2336	2104	1D37.tmp	56
PID 2336 wrote to memory of 4872	2336	5A45.tmp	801
PID 2336 wrote to memory of 4872	2336	5A45.tmp	801
PID 2336 wrote to memory of 4872	2336	5A45.tmp	801
PID 4872 wrote to memory of 2900	4872	1F0C.tmp	218
PID 4872 wrote to memory of 2900	4872	1F0C.tmp	218
PID 4872 wrote to memory of 2900	4872	1F0C.tmp	218
PID 2900 wrote to memory of 2388	2900	4C0D.tmp	821
PID 2900 wrote to memory of 2388	2900	4C0D.tmp	821
PID 2900 wrote to memory of 2388	2900	4C0D.tmp	821
PID 2388 wrote to memory of 5000	2388	2517.tmp	457
PID 2388 wrote to memory of 5000	2388	2517.tmp	457
PID 2388 wrote to memory of 5000	2388	2517.tmp	457
PID 5000 wrote to memory of 4344	5000	B779.tmp	458
PID 5000 wrote to memory of 4344	5000	B779.tmp	458
PID 5000 wrote to memory of 4344	5000	B779.tmp	458
PID 4344 wrote to memory of 4208	4344	B7C7.tmp	103

C:\Users\Admin\AppData\Local\Temp\2024-01-29_8c4ea5887ee5bb1899a4e1f26c643bea_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-29_8c4ea5887ee5bb1899a4e1f26c643bea_mafia.exe"
1⤵
- Suspicious use of WriteProcessMemory
PID:1992
- C:\Users\Admin\AppData\Local\Temp\467F.tmp
  "C:\Users\Admin\AppData\Local\Temp\467F.tmp"
  2⤵
  PID:768
- - C:\Users\Admin\AppData\Local\Temp\46DC.tmp
    "C:\Users\Admin\AppData\Local\Temp\46DC.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:1344
  - - C:\Users\Admin\AppData\Local\Temp\472B.tmp
      "C:\Users\Admin\AppData\Local\Temp\472B.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:4328

C:\Users\Admin\AppData\Local\Temp\4834.tmp
"C:\Users\Admin\AppData\Local\Temp\4834.tmp"
1⤵
PID:4780
- C:\Users\Admin\AppData\Local\Temp\4882.tmp
  "C:\Users\Admin\AppData\Local\Temp\4882.tmp"
  2⤵
  PID:1944

C:\Users\Admin\AppData\Local\Temp\49CA.tmp
"C:\Users\Admin\AppData\Local\Temp\49CA.tmp"
1⤵
PID:4464
- C:\Users\Admin\AppData\Local\Temp\4A19.tmp
  "C:\Users\Admin\AppData\Local\Temp\4A19.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:436

C:\Users\Admin\AppData\Local\Temp\4AC4.tmp
"C:\Users\Admin\AppData\Local\Temp\4AC4.tmp"
1⤵
PID:3884
- C:\Users\Admin\AppData\Local\Temp\4B13.tmp
  "C:\Users\Admin\AppData\Local\Temp\4B13.tmp"
  2⤵
  PID:2104

C:\Users\Admin\AppData\Local\Temp\4B70.tmp
"C:\Users\Admin\AppData\Local\Temp\4B70.tmp"
1⤵
PID:2336

C:\Users\Admin\AppData\Local\Temp\4CB8.tmp
"C:\Users\Admin\AppData\Local\Temp\4CB8.tmp"
1⤵
PID:5000
- C:\Users\Admin\AppData\Local\Temp\4CF7.tmp
  "C:\Users\Admin\AppData\Local\Temp\4CF7.tmp"
  2⤵
  PID:4344

C:\Users\Admin\AppData\Local\Temp\4D45.tmp
"C:\Users\Admin\AppData\Local\Temp\4D45.tmp"
1⤵
PID:4208
- C:\Users\Admin\AppData\Local\Temp\4D93.tmp
  "C:\Users\Admin\AppData\Local\Temp\4D93.tmp"
  2⤵
  - Executes dropped EXE
  PID:2988

C:\Users\Admin\AppData\Local\Temp\4DE1.tmp
"C:\Users\Admin\AppData\Local\Temp\4DE1.tmp"
1⤵
PID:876

C:\Users\Admin\AppData\Local\Temp\50B0.tmp
"C:\Users\Admin\AppData\Local\Temp\50B0.tmp"
1⤵
- Executes dropped EXE
PID:2008
- C:\Users\Admin\AppData\Local\Temp\510E.tmp
  "C:\Users\Admin\AppData\Local\Temp\510E.tmp"
  2⤵
  PID:2688

C:\Users\Admin\AppData\Local\Temp\515C.tmp
"C:\Users\Admin\AppData\Local\Temp\515C.tmp"
1⤵
- Executes dropped EXE
PID:1660
- C:\Users\Admin\AppData\Local\Temp\51BA.tmp
  "C:\Users\Admin\AppData\Local\Temp\51BA.tmp"
  2⤵
  PID:4404

C:\Users\Admin\AppData\Local\Temp\52A4.tmp
"C:\Users\Admin\AppData\Local\Temp\52A4.tmp"
1⤵
- Executes dropped EXE
PID:4452
- C:\Users\Admin\AppData\Local\Temp\52F2.tmp
  "C:\Users\Admin\AppData\Local\Temp\52F2.tmp"
  2⤵
  PID:452
- - C:\Users\Admin\AppData\Local\Temp\5350.tmp
    "C:\Users\Admin\AppData\Local\Temp\5350.tmp"
    3⤵
    - Executes dropped EXE
    PID:1756
  - - C:\Users\Admin\AppData\Local\Temp\539E.tmp
      "C:\Users\Admin\AppData\Local\Temp\539E.tmp"
      4⤵
      PID:1572

C:\Users\Admin\AppData\Local\Temp\53DD.tmp
"C:\Users\Admin\AppData\Local\Temp\53DD.tmp"
1⤵
PID:4360

C:\Users\Admin\AppData\Local\Temp\54D7.tmp
"C:\Users\Admin\AppData\Local\Temp\54D7.tmp"
1⤵
PID:224
- C:\Users\Admin\AppData\Local\Temp\5534.tmp
  "C:\Users\Admin\AppData\Local\Temp\5534.tmp"
  2⤵
  PID:4804
- - C:\Users\Admin\AppData\Local\Temp\5582.tmp
    "C:\Users\Admin\AppData\Local\Temp\5582.tmp"
    3⤵
    PID:392
  - - C:\Users\Admin\AppData\Local\Temp\55D1.tmp
      "C:\Users\Admin\AppData\Local\Temp\55D1.tmp"
      4⤵
      PID:4888
    - - C:\Users\Admin\AppData\Local\Temp\561F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\561F.tmp"
        5⤵
        
        PID:1580

C:\Users\Admin\AppData\Local\Temp\566D.tmp
"C:\Users\Admin\AppData\Local\Temp\566D.tmp"
1⤵
PID:3588
- C:\Users\Admin\AppData\Local\Temp\56BB.tmp
  "C:\Users\Admin\AppData\Local\Temp\56BB.tmp"
  2⤵
  PID:816
- - C:\Users\Admin\AppData\Local\Temp\5709.tmp
    "C:\Users\Admin\AppData\Local\Temp\5709.tmp"
    3⤵
    PID:4876
  - - C:\Users\Admin\AppData\Local\Temp\5757.tmp
      "C:\Users\Admin\AppData\Local\Temp\5757.tmp"
      4⤵
      PID:4904
    - - C:\Users\Admin\AppData\Local\Temp\57A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57A5.tmp"
        5⤵
        
        PID:3448
      - C:\Users\Admin\AppData\Local\Temp\5813.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5813.tmp"
        6⤵
        
        PID:4576
- - C:\Users\Admin\AppData\Local\Temp\C1D9.tmp
    "C:\Users\Admin\AppData\Local\Temp\C1D9.tmp"
    3⤵
    PID:1100
  - - C:\Users\Admin\AppData\Local\Temp\C227.tmp
      "C:\Users\Admin\AppData\Local\Temp\C227.tmp"
      4⤵
      PID:4912
    - - C:\Users\Admin\AppData\Local\Temp\C275.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C275.tmp"
        5⤵
        
        PID:4904
      - C:\Users\Admin\AppData\Local\Temp\C2C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C2C3.tmp"
        6⤵
        
        PID:3448
        
        C:\Users\Admin\AppData\Local\Temp\C311.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C311.tmp"
        7⤵
        Suspicious use of WriteProcessMemory
        
        PID:768
        
        C:\Users\Admin\AppData\Local\Temp\C35F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C35F.tmp"
        8⤵
        
        PID:3000
        
        C:\Users\Admin\AppData\Local\Temp\C3AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C3AE.tmp"
        9⤵
        
        PID:4060
        
        C:\Users\Admin\AppData\Local\Temp\C3FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C3FC.tmp"
        10⤵
        
        PID:3884
        
        C:\Users\Admin\AppData\Local\Temp\C44A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C44A.tmp"
        11⤵
        
        PID:4832

C:\Users\Admin\AppData\Local\Temp\5861.tmp
"C:\Users\Admin\AppData\Local\Temp\5861.tmp"
1⤵
PID:1672
- C:\Users\Admin\AppData\Local\Temp\58AF.tmp
  "C:\Users\Admin\AppData\Local\Temp\58AF.tmp"
  2⤵
  PID:516
- - C:\Users\Admin\AppData\Local\Temp\58FD.tmp
    "C:\Users\Admin\AppData\Local\Temp\58FD.tmp"
    3⤵
    PID:3168

C:\Users\Admin\AppData\Local\Temp\594B.tmp
"C:\Users\Admin\AppData\Local\Temp\594B.tmp"
1⤵
- Executes dropped EXE
PID:3476
- C:\Users\Admin\AppData\Local\Temp\5999.tmp
  "C:\Users\Admin\AppData\Local\Temp\5999.tmp"
  2⤵
  PID:1440
- - C:\Users\Admin\AppData\Local\Temp\59E7.tmp
    "C:\Users\Admin\AppData\Local\Temp\59E7.tmp"
    3⤵
    - Executes dropped EXE
    PID:4164
  - - C:\Users\Admin\AppData\Local\Temp\5A45.tmp
      "C:\Users\Admin\AppData\Local\Temp\5A45.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:2336
    - - C:\Users\Admin\AppData\Local\Temp\5A93.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A93.tmp"
        5⤵
        
        PID:1720
      - C:\Users\Admin\AppData\Local\Temp\5AE1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5AE1.tmp"
        6⤵
        
        PID:3432
        
        C:\Users\Admin\AppData\Local\Temp\5B30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B30.tmp"
        7⤵
        
        PID:2604
        
        C:\Users\Admin\AppData\Local\Temp\5B7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B7E.tmp"
        8⤵
        
        PID:3428
        
        C:\Users\Admin\AppData\Local\Temp\5BCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5BCC.tmp"
        9⤵
        
        PID:3916
        
        C:\Users\Admin\AppData\Local\Temp\5C1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C1A.tmp"
        10⤵
        Executes dropped EXE
        
        PID:1496
        
        C:\Users\Admin\AppData\Local\Temp\6C08.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C08.tmp"
        10⤵
        
        PID:3356
    - - C:\Users\Admin\AppData\Local\Temp\4BBE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BBE.tmp"
        5⤵
        
        PID:4872

C:\Users\Admin\AppData\Local\Temp\5C68.tmp
"C:\Users\Admin\AppData\Local\Temp\5C68.tmp"
1⤵
PID:440
- C:\Users\Admin\AppData\Local\Temp\5CB6.tmp
  "C:\Users\Admin\AppData\Local\Temp\5CB6.tmp"
  2⤵
  PID:4896

C:\Users\Admin\AppData\Local\Temp\5D04.tmp
"C:\Users\Admin\AppData\Local\Temp\5D04.tmp"
1⤵
PID:4020
- C:\Users\Admin\AppData\Local\Temp\5D52.tmp
  "C:\Users\Admin\AppData\Local\Temp\5D52.tmp"
  2⤵
  PID:1536
- - C:\Users\Admin\AppData\Local\Temp\5DA1.tmp
    "C:\Users\Admin\AppData\Local\Temp\5DA1.tmp"
    3⤵
    PID:876

C:\Users\Admin\AppData\Local\Temp\5E3D.tmp
"C:\Users\Admin\AppData\Local\Temp\5E3D.tmp"
1⤵
PID:2808
- C:\Users\Admin\AppData\Local\Temp\5E8B.tmp
  "C:\Users\Admin\AppData\Local\Temp\5E8B.tmp"
  2⤵
  PID:1880
- - C:\Users\Admin\AppData\Local\Temp\5ED9.tmp
    "C:\Users\Admin\AppData\Local\Temp\5ED9.tmp"
    3⤵
    PID:3464
  - - C:\Users\Admin\AppData\Local\Temp\5F27.tmp
      "C:\Users\Admin\AppData\Local\Temp\5F27.tmp"
      4⤵
      PID:2392
- - C:\Users\Admin\AppData\Local\Temp\8A9C.tmp
    "C:\Users\Admin\AppData\Local\Temp\8A9C.tmp"
    3⤵
    PID:1988
  - - C:\Users\Admin\AppData\Local\Temp\8AEA.tmp
      "C:\Users\Admin\AppData\Local\Temp\8AEA.tmp"
      4⤵
      PID:2656
    - - C:\Users\Admin\AppData\Local\Temp\8B38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B38.tmp"
        5⤵
        
        PID:5068
      - C:\Users\Admin\AppData\Local\Temp\8B87.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B87.tmp"
        6⤵
        
        PID:2256
        
        C:\Users\Admin\AppData\Local\Temp\8BD5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8BD5.tmp"
        7⤵
        
        PID:1464
        
        C:\Users\Admin\AppData\Local\Temp\8C23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C23.tmp"
        8⤵
        
        PID:1516
        
        C:\Users\Admin\AppData\Local\Temp\8C71.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C71.tmp"
        9⤵
        
        PID:2644

C:\Users\Admin\AppData\Local\Temp\5F75.tmp
"C:\Users\Admin\AppData\Local\Temp\5F75.tmp"
1⤵
PID:3996
- C:\Users\Admin\AppData\Local\Temp\6E79.tmp
  "C:\Users\Admin\AppData\Local\Temp\6E79.tmp"
  2⤵
  PID:3832
- - C:\Users\Admin\AppData\Local\Temp\6EC7.tmp
    "C:\Users\Admin\AppData\Local\Temp\6EC7.tmp"
    3⤵
    PID:2644
  - - C:\Users\Admin\AppData\Local\Temp\6F15.tmp
      "C:\Users\Admin\AppData\Local\Temp\6F15.tmp"
      4⤵
      PID:4880
  - - C:\Users\Admin\AppData\Local\Temp\7D8C.tmp
      "C:\Users\Admin\AppData\Local\Temp\7D8C.tmp"
      4⤵
      PID:4880
    - - C:\Users\Admin\AppData\Local\Temp\7DDB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DDB.tmp"
        5⤵
        
        PID:2836
      - C:\Users\Admin\AppData\Local\Temp\7E29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E29.tmp"
        6⤵
        
        PID:2912
        
        C:\Users\Admin\AppData\Local\Temp\7E77.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E77.tmp"
        7⤵
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\7EC5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7EC5.tmp"
        8⤵
        
        PID:1732
        
        C:\Users\Admin\AppData\Local\Temp\7F13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F13.tmp"
        9⤵
        
        PID:4360
        
        C:\Users\Admin\AppData\Local\Temp\7F61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F61.tmp"
        10⤵
        
        PID:4860
        
        C:\Users\Admin\AppData\Local\Temp\7FAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FAF.tmp"
        11⤵
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\543A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\543A.tmp"
        10⤵
        
        PID:5092
      - C:\Users\Admin\AppData\Local\Temp\5256.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5256.tmp"
        6⤵
        
        PID:2820

C:\Users\Admin\AppData\Local\Temp\6060.tmp
"C:\Users\Admin\AppData\Local\Temp\6060.tmp"
1⤵
PID:512
- C:\Users\Admin\AppData\Local\Temp\60AE.tmp
  "C:\Users\Admin\AppData\Local\Temp\60AE.tmp"
  2⤵
  PID:2716

C:\Users\Admin\AppData\Local\Temp\6012.tmp
"C:\Users\Admin\AppData\Local\Temp\6012.tmp"
1⤵
PID:2688

C:\Users\Admin\AppData\Local\Temp\60FC.tmp
"C:\Users\Admin\AppData\Local\Temp\60FC.tmp"
1⤵
PID:2860
- C:\Users\Admin\AppData\Local\Temp\614A.tmp
  "C:\Users\Admin\AppData\Local\Temp\614A.tmp"
  2⤵
  PID:1340
- - C:\Users\Admin\AppData\Local\Temp\6198.tmp
    "C:\Users\Admin\AppData\Local\Temp\6198.tmp"
    3⤵
    PID:1424
- - C:\Users\Admin\AppData\Local\Temp\1EF.tmp
    "C:\Users\Admin\AppData\Local\Temp\1EF.tmp"
    3⤵
    PID:4880
  - - C:\Users\Admin\AppData\Local\Temp\23D.tmp
      "C:\Users\Admin\AppData\Local\Temp\23D.tmp"
      4⤵
      PID:1984
    - - C:\Users\Admin\AppData\Local\Temp\28B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28B.tmp"
        5⤵
        
        PID:452
      - C:\Users\Admin\AppData\Local\Temp\2D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D9.tmp"
        6⤵
        
        PID:4120
        
        C:\Users\Admin\AppData\Local\Temp\328.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\328.tmp"
        7⤵
        
        PID:4436
        
        C:\Users\Admin\AppData\Local\Temp\376.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\376.tmp"
        8⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\3C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C4.tmp"
        9⤵
        
        PID:1368
        
        C:\Users\Admin\AppData\Local\Temp\412.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\412.tmp"
        10⤵
        
        PID:2840
        
        C:\Users\Admin\AppData\Local\Temp\460.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\460.tmp"
        11⤵
        
        PID:1184
        
        C:\Users\Admin\AppData\Local\Temp\4AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4AE.tmp"
        12⤵
        
        PID:4592
        
        C:\Users\Admin\AppData\Local\Temp\4FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FC.tmp"
        13⤵
        
        PID:4092
        
        C:\Users\Admin\AppData\Local\Temp\54A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54A.tmp"
        14⤵
        
        PID:1048
        
        C:\Users\Admin\AppData\Local\Temp\599.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\599.tmp"
        15⤵
        
        PID:3564
        
        C:\Users\Admin\AppData\Local\Temp\5E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E7.tmp"
        16⤵
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\635.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\635.tmp"
        17⤵
        
        PID:856
        
        C:\Users\Admin\AppData\Local\Temp\683.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\683.tmp"
        18⤵
        
        PID:2408
        
        C:\Users\Admin\AppData\Local\Temp\6D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D1.tmp"
        19⤵
        
        PID:4932
        
        C:\Users\Admin\AppData\Local\Temp\71F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71F.tmp"
        20⤵
        
        PID:3468
        
        C:\Users\Admin\AppData\Local\Temp\76D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76D.tmp"
        21⤵
        Executes dropped EXE
        
        PID:4888
        
        C:\Users\Admin\AppData\Local\Temp\7BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BB.tmp"
        22⤵
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\80A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\80A.tmp"
        23⤵
        
        PID:4980
        
        C:\Users\Admin\AppData\Local\Temp\858.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\858.tmp"
        24⤵
        
        PID:4748
        
        C:\Users\Admin\AppData\Local\Temp\8A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A6.tmp"
        25⤵
        
        PID:3156
        
        C:\Users\Admin\AppData\Local\Temp\8F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F4.tmp"
        26⤵
        
        PID:4904
        
        C:\Users\Admin\AppData\Local\Temp\942.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\942.tmp"
        27⤵
        
        PID:3128
        
        C:\Users\Admin\AppData\Local\Temp\990.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\990.tmp"
        28⤵
        
        PID:4668
        
        C:\Users\Admin\AppData\Local\Temp\9DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DE.tmp"
        29⤵
        
        PID:1240
        
        C:\Users\Admin\AppData\Local\Temp\A2C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A2C.tmp"
        30⤵
        
        PID:1000
        
        C:\Users\Admin\AppData\Local\Temp\A7B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A7B.tmp"
        31⤵
        
        PID:3308
        
        C:\Users\Admin\AppData\Local\Temp\AC9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC9.tmp"
        32⤵
        
        PID:1892
        
        C:\Users\Admin\AppData\Local\Temp\B17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B17.tmp"
        33⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\B65.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B65.tmp"
        34⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\BB3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB3.tmp"
        35⤵
        
        PID:2368
        
        C:\Users\Admin\AppData\Local\Temp\BF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF2.tmp"
        36⤵
        
        PID:3524
        
        C:\Users\Admin\AppData\Local\Temp\C40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C40.tmp"
        37⤵
        
        PID:412
        
        C:\Users\Admin\AppData\Local\Temp\C8E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8E.tmp"
        38⤵
        
        PID:4712
        
        C:\Users\Admin\AppData\Local\Temp\CDC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDC.tmp"
        39⤵
        
        PID:3112
        
        C:\Users\Admin\AppData\Local\Temp\D1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1A.tmp"
        40⤵
        
        PID:3204
        
        C:\Users\Admin\AppData\Local\Temp\D69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D69.tmp"
        41⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\DB7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB7.tmp"
        42⤵
        
        PID:1676
        
        C:\Users\Admin\AppData\Local\Temp\E05.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E05.tmp"
        43⤵
        
        PID:4172
        
        C:\Users\Admin\AppData\Local\Temp\E53.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E53.tmp"
        44⤵
        
        PID:4536
        
        C:\Users\Admin\AppData\Local\Temp\EA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA1.tmp"
        45⤵
        
        PID:4316
        
        C:\Users\Admin\AppData\Local\Temp\EEF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EEF.tmp"
        46⤵
        
        PID:2340
        
        C:\Users\Admin\AppData\Local\Temp\F3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3D.tmp"
        47⤵
        
        PID:2392
        
        C:\Users\Admin\AppData\Local\Temp\F8B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8B.tmp"
        48⤵
        
        PID:4388
        
        C:\Users\Admin\AppData\Local\Temp\FDA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDA.tmp"
        49⤵
        
        PID:3200

C:\Users\Admin\AppData\Local\Temp\61E6.tmp
"C:\Users\Admin\AppData\Local\Temp\61E6.tmp"
1⤵
PID:888
- C:\Users\Admin\AppData\Local\Temp\6234.tmp
  "C:\Users\Admin\AppData\Local\Temp\6234.tmp"
  2⤵
  PID:2968

C:\Users\Admin\AppData\Local\Temp\6283.tmp
"C:\Users\Admin\AppData\Local\Temp\6283.tmp"
1⤵
PID:1172
- C:\Users\Admin\AppData\Local\Temp\62D1.tmp
  "C:\Users\Admin\AppData\Local\Temp\62D1.tmp"
  2⤵
  PID:4488
- - C:\Users\Admin\AppData\Local\Temp\631F.tmp
    "C:\Users\Admin\AppData\Local\Temp\631F.tmp"
    3⤵
    PID:3700
  - - C:\Users\Admin\AppData\Local\Temp\636D.tmp
      "C:\Users\Admin\AppData\Local\Temp\636D.tmp"
      4⤵
      PID:3420
    - - C:\Users\Admin\AppData\Local\Temp\63BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\63BB.tmp"
        5⤵
        
        PID:3856

C:\Users\Admin\AppData\Local\Temp\6409.tmp
"C:\Users\Admin\AppData\Local\Temp\6409.tmp"
1⤵
PID:2116
- C:\Users\Admin\AppData\Local\Temp\6457.tmp
  "C:\Users\Admin\AppData\Local\Temp\6457.tmp"
  2⤵
  PID:4804
- - C:\Users\Admin\AppData\Local\Temp\64A5.tmp
    "C:\Users\Admin\AppData\Local\Temp\64A5.tmp"
    3⤵
    PID:220
  - - C:\Users\Admin\AppData\Local\Temp\64F4.tmp
      "C:\Users\Admin\AppData\Local\Temp\64F4.tmp"
      4⤵
      PID:1100

C:\Users\Admin\AppData\Local\Temp\6542.tmp
"C:\Users\Admin\AppData\Local\Temp\6542.tmp"
1⤵
PID:4912
- C:\Users\Admin\AppData\Local\Temp\6590.tmp
  "C:\Users\Admin\AppData\Local\Temp\6590.tmp"
  2⤵
  PID:4716

C:\Users\Admin\AppData\Local\Temp\65CE.tmp
"C:\Users\Admin\AppData\Local\Temp\65CE.tmp"
1⤵
PID:3156
- C:\Users\Admin\AppData\Local\Temp\661C.tmp
  "C:\Users\Admin\AppData\Local\Temp\661C.tmp"
  2⤵
  PID:4016
- - C:\Users\Admin\AppData\Local\Temp\666B.tmp
    "C:\Users\Admin\AppData\Local\Temp\666B.tmp"
    3⤵
    PID:5088

C:\Users\Admin\AppData\Local\Temp\66B9.tmp
"C:\Users\Admin\AppData\Local\Temp\66B9.tmp"
1⤵
PID:2692
- C:\Users\Admin\AppData\Local\Temp\6707.tmp
  "C:\Users\Admin\AppData\Local\Temp\6707.tmp"
  2⤵
  PID:2040
- - C:\Users\Admin\AppData\Local\Temp\6755.tmp
    "C:\Users\Admin\AppData\Local\Temp\6755.tmp"
    3⤵
    PID:4400
  - - C:\Users\Admin\AppData\Local\Temp\67A3.tmp
      "C:\Users\Admin\AppData\Local\Temp\67A3.tmp"
      4⤵
      PID:3000
    - - C:\Users\Admin\AppData\Local\Temp\67F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\67F1.tmp"
        5⤵
        
        PID:4060
      - C:\Users\Admin\AppData\Local\Temp\683F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\683F.tmp"
        6⤵
        
        PID:4832
        
        C:\Users\Admin\AppData\Local\Temp\688D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\688D.tmp"
        7⤵
        
        PID:1892
        
        C:\Users\Admin\AppData\Local\Temp\68DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68DC.tmp"
        8⤵
        
        PID:2104

C:\Users\Admin\AppData\Local\Temp\692A.tmp
"C:\Users\Admin\AppData\Local\Temp\692A.tmp"
1⤵
PID:1440
- C:\Users\Admin\AppData\Local\Temp\6987.tmp
  "C:\Users\Admin\AppData\Local\Temp\6987.tmp"
  2⤵
  PID:2768
- - C:\Users\Admin\AppData\Local\Temp\69D6.tmp
    "C:\Users\Admin\AppData\Local\Temp\69D6.tmp"
    3⤵
    PID:4692
  - - C:\Users\Admin\AppData\Local\Temp\6A33.tmp
      "C:\Users\Admin\AppData\Local\Temp\6A33.tmp"
      4⤵
      PID:2928
    - - C:\Users\Admin\AppData\Local\Temp\6A81.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A81.tmp"
        5⤵
        
        PID:3556

C:\Users\Admin\AppData\Local\Temp\6AD0.tmp
"C:\Users\Admin\AppData\Local\Temp\6AD0.tmp"
1⤵
PID:5000
- C:\Users\Admin\AppData\Local\Temp\6B1E.tmp
  "C:\Users\Admin\AppData\Local\Temp\6B1E.tmp"
  2⤵
  PID:2332
- - C:\Users\Admin\AppData\Local\Temp\6B6C.tmp
    "C:\Users\Admin\AppData\Local\Temp\6B6C.tmp"
    3⤵
    PID:2892
  - - C:\Users\Admin\AppData\Local\Temp\6BBA.tmp
      "C:\Users\Admin\AppData\Local\Temp\6BBA.tmp"
      4⤵
      PID:3916

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k netsvcs -p -s UsoSvc
1⤵
- Executes dropped EXE
PID:4208

C:\Users\Admin\AppData\Local\Temp\6C56.tmp
"C:\Users\Admin\AppData\Local\Temp\6C56.tmp"
1⤵
PID:4776
- C:\Users\Admin\AppData\Local\Temp\6CA4.tmp
  "C:\Users\Admin\AppData\Local\Temp\6CA4.tmp"
  2⤵
  PID:2680
- - C:\Users\Admin\AppData\Local\Temp\6CF2.tmp
    "C:\Users\Admin\AppData\Local\Temp\6CF2.tmp"
    3⤵
    PID:1988
  - - C:\Users\Admin\AppData\Local\Temp\6D41.tmp
      "C:\Users\Admin\AppData\Local\Temp\6D41.tmp"
      4⤵
      PID:2656
    - - C:\Users\Admin\AppData\Local\Temp\6D8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D8F.tmp"
        5⤵
        
        PID:4600
      - C:\Users\Admin\AppData\Local\Temp\6DDD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DDD.tmp"
        6⤵
        
        PID:2392
        
        C:\Users\Admin\AppData\Local\Temp\6E2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E2B.tmp"
        7⤵
        
        PID:3996
        
        C:\Users\Admin\AppData\Local\Temp\5FC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FC3.tmp"
        8⤵
        
        PID:3832
- - C:\Users\Admin\AppData\Local\Temp\AA2A.tmp
    "C:\Users\Admin\AppData\Local\Temp\AA2A.tmp"
    3⤵
    PID:1956
  - - C:\Users\Admin\AppData\Local\Temp\AA78.tmp
      "C:\Users\Admin\AppData\Local\Temp\AA78.tmp"
      4⤵
      PID:4900
    - - C:\Users\Admin\AppData\Local\Temp\AAC7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AAC7.tmp"
        5⤵
        
        PID:5080
      - C:\Users\Admin\AppData\Local\Temp\AB15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB15.tmp"
        6⤵
        
        PID:3852
        
        C:\Users\Admin\AppData\Local\Temp\AB63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB63.tmp"
        7⤵
        
        PID:712
        
        C:\Users\Admin\AppData\Local\Temp\ABB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABB1.tmp"
        8⤵
        
        PID:4696
        
        C:\Users\Admin\AppData\Local\Temp\ABFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABFF.tmp"
        9⤵
        
        PID:4404
        
        C:\Users\Admin\AppData\Local\Temp\AC4D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC4D.tmp"
        10⤵
        
        PID:904
        
        C:\Users\Admin\AppData\Local\Temp\AC9B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC9B.tmp"
        11⤵
        
        PID:2644
        
        C:\Users\Admin\AppData\Local\Temp\ACE9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ACE9.tmp"
        12⤵
        
        PID:452
        
        C:\Users\Admin\AppData\Local\Temp\AD38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD38.tmp"
        13⤵
        
        PID:4340
        
        C:\Users\Admin\AppData\Local\Temp\AD86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD86.tmp"
        14⤵
        
        PID:528
        
        C:\Users\Admin\AppData\Local\Temp\BCE7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BCE7.tmp"
        13⤵
        
        PID:2828
        
        C:\Users\Admin\AppData\Local\Temp\BD35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD35.tmp"
        14⤵
        
        PID:624
        
        C:\Users\Admin\AppData\Local\Temp\BD83.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD83.tmp"
        15⤵
        
        PID:316
        
        C:\Users\Admin\AppData\Local\Temp\BDD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BDD2.tmp"
        16⤵
        
        PID:1172
        
        C:\Users\Admin\AppData\Local\Temp\BE20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE20.tmp"
        17⤵
        
        PID:1084
        
        C:\Users\Admin\AppData\Local\Temp\BE6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE6E.tmp"
        18⤵
        
        PID:4488
        
        C:\Users\Admin\AppData\Local\Temp\BEBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BEBC.tmp"
        19⤵
        
        PID:1184
        
        C:\Users\Admin\AppData\Local\Temp\BF0A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF0A.tmp"
        20⤵
        
        PID:688

C:\Users\Admin\AppData\Local\Temp\6F63.tmp
"C:\Users\Admin\AppData\Local\Temp\6F63.tmp"
1⤵
PID:2836
- C:\Users\Admin\AppData\Local\Temp\6FB2.tmp
  "C:\Users\Admin\AppData\Local\Temp\6FB2.tmp"
  2⤵
  PID:2912

C:\Users\Admin\AppData\Local\Temp\7000.tmp
"C:\Users\Admin\AppData\Local\Temp\7000.tmp"
1⤵
PID:1648
- C:\Users\Admin\AppData\Local\Temp\704E.tmp
  "C:\Users\Admin\AppData\Local\Temp\704E.tmp"
  2⤵
  PID:232
- - C:\Users\Admin\AppData\Local\Temp\70AC.tmp
    "C:\Users\Admin\AppData\Local\Temp\70AC.tmp"
    3⤵
    PID:2412
  - - C:\Users\Admin\AppData\Local\Temp\70FA.tmp
      "C:\Users\Admin\AppData\Local\Temp\70FA.tmp"
      4⤵
      PID:4860
    - - C:\Users\Admin\AppData\Local\Temp\7148.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7148.tmp"
        5⤵
        
        PID:4136
      - C:\Users\Admin\AppData\Local\Temp\7196.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7196.tmp"
        6⤵
        
        PID:1368
        
        C:\Users\Admin\AppData\Local\Temp\71F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71F4.tmp"
        7⤵
        
        PID:3708
        
        C:\Users\Admin\AppData\Local\Temp\7242.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7242.tmp"
        8⤵
        
        PID:3584
        
        C:\Users\Admin\AppData\Local\Temp\7290.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7290.tmp"
        9⤵
        
        PID:1532
        
        C:\Users\Admin\AppData\Local\Temp\72DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72DE.tmp"
        10⤵
        
        PID:3848
        
        C:\Users\Admin\AppData\Local\Temp\732C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\732C.tmp"
        11⤵
        
        PID:368
        
        C:\Users\Admin\AppData\Local\Temp\8184.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8184.tmp"
        11⤵
        
        PID:368
        
        C:\Users\Admin\AppData\Local\Temp\81D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\81D2.tmp"
        12⤵
        
        PID:4888
        
        C:\Users\Admin\AppData\Local\Temp\8220.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8220.tmp"
        13⤵
        
        PID:1100
        
        C:\Users\Admin\AppData\Local\Temp\825F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\825F.tmp"
        14⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\82AD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82AD.tmp"
        15⤵
        
        PID:4716
        
        C:\Users\Admin\AppData\Local\Temp\82FB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82FB.tmp"
        16⤵
        
        PID:3156
        
        C:\Users\Admin\AppData\Local\Temp\8349.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8349.tmp"
        17⤵
        
        PID:4904
        
        C:\Users\Admin\AppData\Local\Temp\8397.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8397.tmp"
        18⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\83E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\83E5.tmp"
        19⤵
        
        PID:4408
        
        C:\Users\Admin\AppData\Local\Temp\8434.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8434.tmp"
        20⤵
        
        PID:3308
        
        C:\Users\Admin\AppData\Local\Temp\8482.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8482.tmp"
        21⤵
        Executes dropped EXE
        
        PID:4576
        
        C:\Users\Admin\AppData\Local\Temp\84D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\84D0.tmp"
        22⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\851E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\851E.tmp"
        23⤵
        
        PID:2300
        
        C:\Users\Admin\AppData\Local\Temp\856C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\856C.tmp"
        24⤵
        
        PID:2852
        
        C:\Users\Admin\AppData\Local\Temp\85BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\85BA.tmp"
        25⤵
        
        PID:2204
        
        C:\Users\Admin\AppData\Local\Temp\8608.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8608.tmp"
        26⤵
        
        PID:812
        
        C:\Users\Admin\AppData\Local\Temp\8656.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8656.tmp"
        27⤵
        
        PID:5112
        
        C:\Users\Admin\AppData\Local\Temp\86A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\86A5.tmp"
        28⤵
        
        PID:3776
        
        C:\Users\Admin\AppData\Local\Temp\86F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\86F3.tmp"
        29⤵
        
        PID:544
        
        C:\Users\Admin\AppData\Local\Temp\8741.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8741.tmp"
        30⤵
        
        PID:4692
        
        C:\Users\Admin\AppData\Local\Temp\878F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\878F.tmp"
        31⤵
        
        PID:4504
        
        C:\Users\Admin\AppData\Local\Temp\87DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\87DD.tmp"
        32⤵
        Executes dropped EXE
        
        PID:1720
        
        C:\Users\Admin\AppData\Local\Temp\882B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\882B.tmp"
        33⤵
        
        PID:2604
        
        C:\Users\Admin\AppData\Local\Temp\8879.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8879.tmp"
        34⤵
        
        PID:2588
        
        C:\Users\Admin\AppData\Local\Temp\88C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88C7.tmp"
        35⤵
        
        PID:1116
        
        C:\Users\Admin\AppData\Local\Temp\8916.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8916.tmp"
        36⤵
        
        PID:2892
        
        C:\Users\Admin\AppData\Local\Temp\8964.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8964.tmp"
        37⤵
        
        PID:3916
        
        C:\Users\Admin\AppData\Local\Temp\89B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\89B2.tmp"
        38⤵
        
        PID:3144
        
        C:\Users\Admin\AppData\Local\Temp\8A00.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A00.tmp"
        39⤵
        
        PID:2940
        
        C:\Users\Admin\AppData\Local\Temp\8A4E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A4E.tmp"
        40⤵
        
        PID:1880
        
        C:\Users\Admin\AppData\Local\Temp\47D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47D6.tmp"
        13⤵
        
        PID:3468

C:\Users\Admin\AppData\Local\Temp\737A.tmp
"C:\Users\Admin\AppData\Local\Temp\737A.tmp"
1⤵
PID:4700
- C:\Users\Admin\AppData\Local\Temp\73C8.tmp
  "C:\Users\Admin\AppData\Local\Temp\73C8.tmp"
  2⤵
  PID:2384
- - C:\Users\Admin\AppData\Local\Temp\7417.tmp
    "C:\Users\Admin\AppData\Local\Temp\7417.tmp"
    3⤵
    PID:772
  - - C:\Users\Admin\AppData\Local\Temp\7465.tmp
      "C:\Users\Admin\AppData\Local\Temp\7465.tmp"
      4⤵
      PID:1240

C:\Users\Admin\AppData\Local\Temp\74B3.tmp
"C:\Users\Admin\AppData\Local\Temp\74B3.tmp"
1⤵
PID:4980
- C:\Users\Admin\AppData\Local\Temp\7501.tmp
  "C:\Users\Admin\AppData\Local\Temp\7501.tmp"
  2⤵
  PID:620
- - C:\Users\Admin\AppData\Local\Temp\755F.tmp
    "C:\Users\Admin\AppData\Local\Temp\755F.tmp"
    3⤵
    PID:3912
  - - C:\Users\Admin\AppData\Local\Temp\75AD.tmp
      "C:\Users\Admin\AppData\Local\Temp\75AD.tmp"
      4⤵
      PID:4408
    - - C:\Users\Admin\AppData\Local\Temp\75FB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75FB.tmp"
        5⤵
        
        PID:3308
      - C:\Users\Admin\AppData\Local\Temp\7649.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7649.tmp"
        6⤵
        
        PID:4576
        
        C:\Users\Admin\AppData\Local\Temp\7697.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7697.tmp"
        7⤵
        
        PID:4356
- C:\Users\Admin\AppData\Local\Temp\492E.tmp
  "C:\Users\Admin\AppData\Local\Temp\492E.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:4672

C:\Users\Admin\AppData\Local\Temp\76E5.tmp
"C:\Users\Admin\AppData\Local\Temp\76E5.tmp"
1⤵
PID:2300
- C:\Users\Admin\AppData\Local\Temp\7733.tmp
  "C:\Users\Admin\AppData\Local\Temp\7733.tmp"
  2⤵
  PID:2772
- - C:\Users\Admin\AppData\Local\Temp\7782.tmp
    "C:\Users\Admin\AppData\Local\Temp\7782.tmp"
    3⤵
    PID:4032
  - - C:\Users\Admin\AppData\Local\Temp\77D0.tmp
      "C:\Users\Admin\AppData\Local\Temp\77D0.tmp"
      4⤵
      PID:4596

C:\Users\Admin\AppData\Local\Temp\781E.tmp
"C:\Users\Admin\AppData\Local\Temp\781E.tmp"
1⤵
PID:1200
- C:\Users\Admin\AppData\Local\Temp\785C.tmp
  "C:\Users\Admin\AppData\Local\Temp\785C.tmp"
  2⤵
  PID:1676
- - C:\Users\Admin\AppData\Local\Temp\78AA.tmp
    "C:\Users\Admin\AppData\Local\Temp\78AA.tmp"
    3⤵
    PID:4160
  - - C:\Users\Admin\AppData\Local\Temp\78F9.tmp
      "C:\Users\Admin\AppData\Local\Temp\78F9.tmp"
      4⤵
      PID:1848
    - - C:\Users\Admin\AppData\Local\Temp\7947.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7947.tmp"
        5⤵
        
        PID:4332
      - C:\Users\Admin\AppData\Local\Temp\7995.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7995.tmp"
        6⤵
        
        PID:2388
        
        C:\Users\Admin\AppData\Local\Temp\79E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79E3.tmp"
        7⤵
        
        PID:3660
        
        C:\Users\Admin\AppData\Local\Temp\7A31.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A31.tmp"
        8⤵
        
        PID:3836

C:\Users\Admin\AppData\Local\Temp\7A7F.tmp
"C:\Users\Admin\AppData\Local\Temp\7A7F.tmp"
1⤵
PID:1128
- C:\Users\Admin\AppData\Local\Temp\7ACD.tmp
  "C:\Users\Admin\AppData\Local\Temp\7ACD.tmp"
  2⤵
  PID:3788
- - C:\Users\Admin\AppData\Local\Temp\7B1B.tmp
    "C:\Users\Admin\AppData\Local\Temp\7B1B.tmp"
    3⤵
    PID:876
  - - C:\Users\Admin\AppData\Local\Temp\7B6A.tmp
      "C:\Users\Admin\AppData\Local\Temp\7B6A.tmp"
      4⤵
      PID:4660
  - - C:\Users\Admin\AppData\Local\Temp\5DEF.tmp
      "C:\Users\Admin\AppData\Local\Temp\5DEF.tmp"
      4⤵
      PID:1248
    - - C:\Users\Admin\AppData\Local\Temp\5004.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5004.tmp"
        5⤵
        
        PID:864
  - - C:\Users\Admin\AppData\Local\Temp\4FA6.tmp
      "C:\Users\Admin\AppData\Local\Temp\4FA6.tmp"
      4⤵
      PID:1248
    - - C:\Users\Admin\AppData\Local\Temp\EC35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC35.tmp"
        5⤵
        
        PID:1816
      - C:\Users\Admin\AppData\Local\Temp\EC83.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC83.tmp"
        6⤵
        
        PID:2808
        
        C:\Users\Admin\AppData\Local\Temp\ECD1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ECD1.tmp"
        7⤵
        
        PID:4300
        
        C:\Users\Admin\AppData\Local\Temp\ED1F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED1F.tmp"
        8⤵
        Executes dropped EXE
        
        PID:1988
        
        C:\Users\Admin\AppData\Local\Temp\ED6D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED6D.tmp"
        9⤵
        Executes dropped EXE
        
        PID:3432
        
        C:\Users\Admin\AppData\Local\Temp\EDAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDAC.tmp"
        10⤵
        
        PID:3996
        
        C:\Users\Admin\AppData\Local\Temp\EDEA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDEA.tmp"
        11⤵
        
        PID:3832
        
        C:\Users\Admin\AppData\Local\Temp\EE38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE38.tmp"
        12⤵
        
        PID:1600
        
        C:\Users\Admin\AppData\Local\Temp\EE86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE86.tmp"
        13⤵
        
        PID:4108
        
        C:\Users\Admin\AppData\Local\Temp\EED4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EED4.tmp"
        14⤵
        
        PID:1516
        
        C:\Users\Admin\AppData\Local\Temp\EF23.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF23.tmp"
        15⤵
        
        PID:2716
        
        C:\Users\Admin\AppData\Local\Temp\EF71.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF71.tmp"
        16⤵
        
        PID:1124
        
        C:\Users\Admin\AppData\Local\Temp\EFBF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFBF.tmp"
        17⤵
        
        PID:904
        
        C:\Users\Admin\AppData\Local\Temp\F00D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F00D.tmp"
        18⤵
        
        PID:2644
        
        C:\Users\Admin\AppData\Local\Temp\F05B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F05B.tmp"
        19⤵
        
        PID:3036
        
        C:\Users\Admin\AppData\Local\Temp\F0A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0A9.tmp"
        20⤵
        
        PID:2828
        
        C:\Users\Admin\AppData\Local\Temp\F0F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0F7.tmp"
        21⤵
        
        PID:1732
        
        C:\Users\Admin\AppData\Local\Temp\F145.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F145.tmp"
        22⤵
        
        PID:316
        
        C:\Users\Admin\AppData\Local\Temp\F194.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F194.tmp"
        23⤵
        
        PID:4136
        
        C:\Users\Admin\AppData\Local\Temp\F1E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1E2.tmp"
        24⤵
        
        PID:4828
        
        C:\Users\Admin\AppData\Local\Temp\F220.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F220.tmp"
        25⤵
        
        PID:4640
        
        C:\Users\Admin\AppData\Local\Temp\F26E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F26E.tmp"
        26⤵
        
        PID:1048
        
        C:\Users\Admin\AppData\Local\Temp\F2BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2BC.tmp"
        27⤵
        
        PID:1108
        
        C:\Users\Admin\AppData\Local\Temp\F30B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F30B.tmp"
        28⤵
        
        PID:3420
        
        C:\Users\Admin\AppData\Local\Temp\F359.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F359.tmp"
        29⤵
        
        PID:224
        
        C:\Users\Admin\AppData\Local\Temp\F3A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3A7.tmp"
        30⤵
        
        PID:5028
        
        C:\Users\Admin\AppData\Local\Temp\F3F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3F5.tmp"
        31⤵
        
        PID:1620
        
        C:\Users\Admin\AppData\Local\Temp\F443.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F443.tmp"
        32⤵
        
        PID:392
        
        C:\Users\Admin\AppData\Local\Temp\F491.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F491.tmp"
        33⤵
        
        PID:368
        
        C:\Users\Admin\AppData\Local\Temp\F4DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4DF.tmp"
        34⤵
        
        PID:4700
        
        C:\Users\Admin\AppData\Local\Temp\F52D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F52D.tmp"
        35⤵
        
        PID:4772
        
        C:\Users\Admin\AppData\Local\Temp\F57C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F57C.tmp"
        36⤵
        
        PID:2384
        
        C:\Users\Admin\AppData\Local\Temp\F5CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5CA.tmp"
        37⤵
        
        PID:548
        
        C:\Users\Admin\AppData\Local\Temp\F618.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F618.tmp"
        38⤵
        
        PID:5088
        
        C:\Users\Admin\AppData\Local\Temp\F666.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F666.tmp"
        39⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\F6B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F6B4.tmp"
        40⤵
        
        PID:1952
        
        C:\Users\Admin\AppData\Local\Temp\F702.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F702.tmp"
        41⤵
        
        PID:1240
        
        C:\Users\Admin\AppData\Local\Temp\F750.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F750.tmp"
        42⤵
        
        PID:3000
        
        C:\Users\Admin\AppData\Local\Temp\F79E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F79E.tmp"
        43⤵
        
        PID:4060
        
        C:\Users\Admin\AppData\Local\Temp\F7ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F7ED.tmp"
        44⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3884
        
        C:\Users\Admin\AppData\Local\Temp\F83B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F83B.tmp"
        45⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\F889.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F889.tmp"
        46⤵
        
        PID:4028
        
        C:\Users\Admin\AppData\Local\Temp\F8D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8D7.tmp"
        47⤵
        
        PID:2972
        
        C:\Users\Admin\AppData\Local\Temp\F925.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F925.tmp"
        48⤵
        
        PID:3524
        
        C:\Users\Admin\AppData\Local\Temp\F973.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F973.tmp"
        49⤵
        
        PID:412
        
        C:\Users\Admin\AppData\Local\Temp\F9C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9C1.tmp"
        50⤵
        
        PID:1092
        
        C:\Users\Admin\AppData\Local\Temp\FA0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA0F.tmp"
        51⤵
        
        PID:3112
        
        C:\Users\Admin\AppData\Local\Temp\FA5E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA5E.tmp"
        52⤵
        
        PID:3204
        
        C:\Users\Admin\AppData\Local\Temp\FAAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FAAC.tmp"
        53⤵
        
        PID:1492
        
        C:\Users\Admin\AppData\Local\Temp\FAFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FAFA.tmp"
        54⤵
        
        PID:672
        
        C:\Users\Admin\AppData\Local\Temp\FB48.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB48.tmp"
        55⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\FB96.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB96.tmp"
        56⤵
        
        PID:4492
        
        C:\Users\Admin\AppData\Local\Temp\FBE4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FBE4.tmp"
        57⤵
        
        PID:2588
        
        C:\Users\Admin\AppData\Local\Temp\FC42.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC42.tmp"
        58⤵
        
        PID:4896
        
        C:\Users\Admin\AppData\Local\Temp\FC90.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC90.tmp"
        59⤵
        Executes dropped EXE
        
        PID:3428
        
        C:\Users\Admin\AppData\Local\Temp\FCDE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FCDE.tmp"
        60⤵
        
        PID:1640
        
        C:\Users\Admin\AppData\Local\Temp\FD2C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD2C.tmp"
        61⤵
        
        PID:1128
        
        C:\Users\Admin\AppData\Local\Temp\FD7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD7A.tmp"
        62⤵
        
        PID:4660
        
        C:\Users\Admin\AppData\Local\Temp\FDC9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDC9.tmp"
        63⤵
        
        PID:4776
        
        C:\Users\Admin\AppData\Local\Temp\FE17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE17.tmp"
        64⤵
        
        PID:1248
        
        C:\Users\Admin\AppData\Local\Temp\FE65.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE65.tmp"
        65⤵
        
        PID:3568
        
        C:\Users\Admin\AppData\Local\Temp\FEB3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEB3.tmp"
        66⤵
        
        PID:3464
        
        C:\Users\Admin\AppData\Local\Temp\FF01.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF01.tmp"
        67⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\FF4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF4F.tmp"
        68⤵
        
        PID:1880
        
        C:\Users\Admin\AppData\Local\Temp\FF9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF9D.tmp"
        69⤵
        
        PID:4276
        
        C:\Users\Admin\AppData\Local\Temp\FFEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFEB.tmp"
        70⤵
        
        PID:2680
        
        C:\Users\Admin\AppData\Local\Temp\3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A.tmp"
        71⤵
        
        PID:3380
        
        C:\Users\Admin\AppData\Local\Temp\78.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78.tmp"
        72⤵
        
        PID:3996
        
        C:\Users\Admin\AppData\Local\Temp\C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6.tmp"
        73⤵
        
        PID:2920
        
        C:\Users\Admin\AppData\Local\Temp\114.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\114.tmp"
        74⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\162.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\162.tmp"
        75⤵
        
        PID:3916
        
        C:\Users\Admin\AppData\Local\Temp\1B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B1.tmp"
        76⤵
        
        PID:1340

C:\Users\Admin\AppData\Local\Temp\7BB8.tmp
"C:\Users\Admin\AppData\Local\Temp\7BB8.tmp"
1⤵
PID:3200
- C:\Users\Admin\AppData\Local\Temp\7C06.tmp
  "C:\Users\Admin\AppData\Local\Temp\7C06.tmp"
  2⤵
  PID:924
- - C:\Users\Admin\AppData\Local\Temp\7C54.tmp
    "C:\Users\Admin\AppData\Local\Temp\7C54.tmp"
    3⤵
    PID:5076
  - - C:\Users\Admin\AppData\Local\Temp\7CA2.tmp
      "C:\Users\Admin\AppData\Local\Temp\7CA2.tmp"
      4⤵
      PID:2216

C:\Users\Admin\AppData\Local\Temp\7CF0.tmp
"C:\Users\Admin\AppData\Local\Temp\7CF0.tmp"
1⤵
PID:1516
- C:\Users\Admin\AppData\Local\Temp\7D3E.tmp
  "C:\Users\Admin\AppData\Local\Temp\7D3E.tmp"
  2⤵
  PID:2644
- - C:\Users\Admin\AppData\Local\Temp\8CBF.tmp
    "C:\Users\Admin\AppData\Local\Temp\8CBF.tmp"
    3⤵
    PID:4880
  - - C:\Users\Admin\AppData\Local\Temp\8D0D.tmp
      "C:\Users\Admin\AppData\Local\Temp\8D0D.tmp"
      4⤵
      PID:2836
    - - C:\Users\Admin\AppData\Local\Temp\8D5B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8D5B.tmp"
        5⤵
        
        PID:232
      - C:\Users\Admin\AppData\Local\Temp\8DA9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8DA9.tmp"
        6⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\8DF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8DF8.tmp"
        7⤵
        
        PID:3772
        
        C:\Users\Admin\AppData\Local\Temp\8E46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E46.tmp"
        8⤵
        
        PID:4136
        
        C:\Users\Admin\AppData\Local\Temp\8E94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8E94.tmp"
        9⤵
        
        PID:1460
        
        C:\Users\Admin\AppData\Local\Temp\8EE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8EE2.tmp"
        10⤵
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\8F30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F30.tmp"
        11⤵
        
        PID:3584
        
        C:\Users\Admin\AppData\Local\Temp\8F7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F7E.tmp"
        12⤵
        
        PID:4920
        
        C:\Users\Admin\AppData\Local\Temp\8FCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8FCC.tmp"
        13⤵
        
        PID:2408
        
        C:\Users\Admin\AppData\Local\Temp\901A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\901A.tmp"
        14⤵
        
        PID:1332
        
        C:\Users\Admin\AppData\Local\Temp\9069.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9069.tmp"
        15⤵
        
        PID:4280
        
        C:\Users\Admin\AppData\Local\Temp\90B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\90B7.tmp"
        16⤵
        
        PID:4868
        
        C:\Users\Admin\AppData\Local\Temp\9105.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9105.tmp"
        17⤵
        
        PID:4888
        
        C:\Users\Admin\AppData\Local\Temp\9153.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9153.tmp"
        18⤵
        
        PID:1100
        
        C:\Users\Admin\AppData\Local\Temp\91A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\91A1.tmp"
        19⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\91EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\91EF.tmp"
        20⤵
        
        PID:4716
        
        C:\Users\Admin\AppData\Local\Temp\923D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\923D.tmp"
        21⤵
        
        PID:3448
        
        C:\Users\Admin\AppData\Local\Temp\928B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\928B.tmp"
        22⤵
        Executes dropped EXE
        
        PID:768
        
        C:\Users\Admin\AppData\Local\Temp\92DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\92DA.tmp"
        23⤵
        
        PID:4720
        
        C:\Users\Admin\AppData\Local\Temp\9328.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9328.tmp"
        24⤵
        
        PID:1000
        
        C:\Users\Admin\AppData\Local\Temp\9376.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9376.tmp"
        25⤵
        
        PID:1004
        
        C:\Users\Admin\AppData\Local\Temp\93C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\93C4.tmp"
        26⤵
        
        PID:4832
        
        C:\Users\Admin\AppData\Local\Temp\9412.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9412.tmp"
        27⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\9460.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9460.tmp"
        28⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\94AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\94AE.tmp"
        29⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\C498.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C498.tmp"
        27⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\C4E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4E6.tmp"
        28⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\C534.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C534.tmp"
        29⤵
        
        PID:2204
        
        C:\Users\Admin\AppData\Local\Temp\C582.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C582.tmp"
        30⤵
        
        PID:3524
        
        C:\Users\Admin\AppData\Local\Temp\C5D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C5D0.tmp"
        31⤵
        
        PID:4516
        
        C:\Users\Admin\AppData\Local\Temp\AE60.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE60.tmp"
        7⤵
        
        PID:3772
        
        C:\Users\Admin\AppData\Local\Temp\AEAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AEAF.tmp"
        8⤵
        
        PID:4136
        
        C:\Users\Admin\AppData\Local\Temp\AEFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AEFD.tmp"
        9⤵
        
        PID:4640
        
        C:\Users\Admin\AppData\Local\Temp\AF4B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF4B.tmp"
        10⤵
        
        PID:3420
        
        C:\Users\Admin\AppData\Local\Temp\AF99.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF99.tmp"
        11⤵
        
        PID:3564
        
        C:\Users\Admin\AppData\Local\Temp\AFE7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AFE7.tmp"
        12⤵
        
        PID:5028
        
        C:\Users\Admin\AppData\Local\Temp\B035.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B035.tmp"
        13⤵
        
        PID:4264
        
        C:\Users\Admin\AppData\Local\Temp\B083.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B083.tmp"
        14⤵
        
        PID:3848
        
        C:\Users\Admin\AppData\Local\Temp\B0D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B0D1.tmp"
        15⤵
        
        PID:368
        
        C:\Users\Admin\AppData\Local\Temp\B120.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B120.tmp"
        16⤵
        
        PID:1268
        
        C:\Users\Admin\AppData\Local\Temp\B16E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B16E.tmp"
        17⤵
        
        PID:3588
        
        C:\Users\Admin\AppData\Local\Temp\B1BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B1BC.tmp"
        18⤵
        
        PID:4888
        
        C:\Users\Admin\AppData\Local\Temp\B20A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B20A.tmp"
        19⤵
        
        PID:4016
        
        C:\Users\Admin\AppData\Local\Temp\B258.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B258.tmp"
        20⤵
        
        PID:3156
        
        C:\Users\Admin\AppData\Local\Temp\B2A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B2A6.tmp"
        21⤵
        
        PID:4748
        
        C:\Users\Admin\AppData\Local\Temp\B2F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B2F4.tmp"
        22⤵
        
        PID:3128
        
        C:\Users\Admin\AppData\Local\Temp\B342.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B342.tmp"
        23⤵
        
        PID:4668
        
        C:\Users\Admin\AppData\Local\Temp\B391.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B391.tmp"
        24⤵
        
        PID:4720
        
        C:\Users\Admin\AppData\Local\Temp\B3DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B3DF.tmp"
        25⤵
        Executes dropped EXE
        
        PID:1672
        
        C:\Users\Admin\AppData\Local\Temp\B42D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B42D.tmp"
        26⤵
        
        PID:3812
        
        C:\Users\Admin\AppData\Local\Temp\B47B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B47B.tmp"
        27⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\B4C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B4C9.tmp"
        28⤵
        
        PID:4316
        
        C:\Users\Admin\AppData\Local\Temp\B517.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B517.tmp"
        29⤵
        
        PID:2852
        
        C:\Users\Admin\AppData\Local\Temp\B565.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B565.tmp"
        30⤵
        
        PID:2972
        
        C:\Users\Admin\AppData\Local\Temp\B5B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B5B3.tmp"
        31⤵
        
        PID:2112
        
        C:\Users\Admin\AppData\Local\Temp\B602.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B602.tmp"
        32⤵
        
        PID:5112
        
        C:\Users\Admin\AppData\Local\Temp\B650.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B650.tmp"
        33⤵
        
        PID:4732
        
        C:\Users\Admin\AppData\Local\Temp\B68E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B68E.tmp"
        34⤵
        
        PID:3676
        
        C:\Users\Admin\AppData\Local\Temp\B6DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B6DC.tmp"
        35⤵
        
        PID:3568
        
        C:\Users\Admin\AppData\Local\Temp\B72A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B72A.tmp"
        36⤵
        
        PID:672
        
        C:\Users\Admin\AppData\Local\Temp\B779.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B779.tmp"
        37⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:5000
        
        C:\Users\Admin\AppData\Local\Temp\B7C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7C7.tmp"
        38⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4344
        
        C:\Users\Admin\AppData\Local\Temp\B815.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B815.tmp"
        39⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\B863.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B863.tmp"
        40⤵
        
        PID:1640
        
        C:\Users\Admin\AppData\Local\Temp\B8B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8B1.tmp"
        41⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\B8FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8FF.tmp"
        42⤵
        
        PID:3660
        
        C:\Users\Admin\AppData\Local\Temp\B94D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B94D.tmp"
        43⤵
        
        PID:4960
        
        C:\Users\Admin\AppData\Local\Temp\B99B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B99B.tmp"
        44⤵
        
        PID:3108
        
        C:\Users\Admin\AppData\Local\Temp\B9EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B9EA.tmp"
        45⤵
        
        PID:3144
        
        C:\Users\Admin\AppData\Local\Temp\BA38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA38.tmp"
        46⤵
        
        PID:1236
        
        C:\Users\Admin\AppData\Local\Temp\BA86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA86.tmp"
        47⤵
        
        PID:4900
        
        C:\Users\Admin\AppData\Local\Temp\BAD4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BAD4.tmp"
        48⤵
        
        PID:2920
        
        C:\Users\Admin\AppData\Local\Temp\BB22.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB22.tmp"
        49⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\BB70.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB70.tmp"
        50⤵
        
        PID:4696
        
        C:\Users\Admin\AppData\Local\Temp\BBBE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBBE.tmp"
        51⤵
        
        PID:4404
        
        C:\Users\Admin\AppData\Local\Temp\BC0C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC0C.tmp"
        52⤵
        
        PID:904
        
        C:\Users\Admin\AppData\Local\Temp\BC5B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC5B.tmp"
        53⤵
        
        PID:2644
        
        C:\Users\Admin\AppData\Local\Temp\BCA9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BCA9.tmp"
        54⤵
        
        PID:452
        
        C:\Users\Admin\AppData\Local\Temp\491A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\491A.tmp"
        44⤵
        
        PID:4776
        
        C:\Users\Admin\AppData\Local\Temp\4958.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4958.tmp"
        45⤵
        
        PID:924
        
        C:\Users\Admin\AppData\Local\Temp\49A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49A6.tmp"
        46⤵
        
        PID:1248
        
        C:\Users\Admin\AppData\Local\Temp\49E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49E5.tmp"
        47⤵
        
        PID:3832
        
        C:\Users\Admin\AppData\Local\Temp\4A33.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A33.tmp"
        48⤵
        
        PID:2708
        
        C:\Users\Admin\AppData\Local\Temp\4A81.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A81.tmp"
        49⤵
        
        PID:1380
        
        C:\Users\Admin\AppData\Local\Temp\4ACF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4ACF.tmp"
        50⤵
        
        PID:2388
        
        C:\Users\Admin\AppData\Local\Temp\4B1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B1D.tmp"
        51⤵
        
        PID:1508
        
        C:\Users\Admin\AppData\Local\Temp\4B6C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B6C.tmp"
        52⤵
        
        PID:4428
        
        C:\Users\Admin\AppData\Local\Temp\4BBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BBA.tmp"
        53⤵
        
        PID:2248
        
        C:\Users\Admin\AppData\Local\Temp\4C08.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C08.tmp"
        54⤵
        Executes dropped EXE
        
        PID:4404
        
        C:\Users\Admin\AppData\Local\Temp\4C56.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C56.tmp"
        55⤵
        
        PID:3092
        
        C:\Users\Admin\AppData\Local\Temp\4C94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C94.tmp"
        56⤵
        
        PID:3604
        
        C:\Users\Admin\AppData\Local\Temp\4CE3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4CE3.tmp"
        57⤵
        Executes dropped EXE
        
        PID:5092
        
        C:\Users\Admin\AppData\Local\Temp\4D31.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D31.tmp"
        58⤵
        
        PID:2016
        
        C:\Users\Admin\AppData\Local\Temp\4D7F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D7F.tmp"
        59⤵
        
        PID:4792
        
        C:\Users\Admin\AppData\Local\Temp\4DCD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4DCD.tmp"
        60⤵
        
        PID:1344
        
        C:\Users\Admin\AppData\Local\Temp\4E1B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E1B.tmp"
        61⤵
        
        PID:1084
        
        C:\Users\Admin\AppData\Local\Temp\4E69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E69.tmp"
        62⤵
        
        PID:1172
        
        C:\Users\Admin\AppData\Local\Temp\4EB7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4EB7.tmp"
        63⤵
        
        PID:4688
        
        C:\Users\Admin\AppData\Local\Temp\4F05.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F05.tmp"
        64⤵
        
        PID:456
        
        C:\Users\Admin\AppData\Local\Temp\4F54.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F54.tmp"
        65⤵
        
        PID:752
        
        C:\Users\Admin\AppData\Local\Temp\4FA2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FA2.tmp"
        66⤵
        
        PID:688
        
        C:\Users\Admin\AppData\Local\Temp\4FF0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FF0.tmp"
        67⤵
        
        PID:4592
        
        C:\Users\Admin\AppData\Local\Temp\503E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\503E.tmp"
        68⤵
        
        PID:3052
        
        C:\Users\Admin\AppData\Local\Temp\508C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\508C.tmp"
        69⤵
        
        PID:2944
        
        C:\Users\Admin\AppData\Local\Temp\50DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50DA.tmp"
        70⤵
        
        PID:580
        
        C:\Users\Admin\AppData\Local\Temp\5128.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5128.tmp"
        71⤵
        Executes dropped EXE
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\5176.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5176.tmp"
        72⤵
        
        PID:4288
        
        C:\Users\Admin\AppData\Local\Temp\51C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\51C5.tmp"
        73⤵
        
        PID:4280
        
        C:\Users\Admin\AppData\Local\Temp\5213.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5213.tmp"
        74⤵
        Executes dropped EXE
        
        PID:392
        
        C:\Users\Admin\AppData\Local\Temp\5261.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5261.tmp"
        75⤵
        
        PID:1940
        
        C:\Users\Admin\AppData\Local\Temp\52AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52AF.tmp"
        76⤵
        Executes dropped EXE
        
        PID:4876
        
        C:\Users\Admin\AppData\Local\Temp\52FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52FD.tmp"
        77⤵
        
        PID:620
        
        C:\Users\Admin\AppData\Local\Temp\534B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\534B.tmp"
        78⤵
        
        PID:3936
        
        C:\Users\Admin\AppData\Local\Temp\5399.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5399.tmp"
        79⤵
        
        PID:5088
        
        C:\Users\Admin\AppData\Local\Temp\53E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53E7.tmp"
        80⤵
        
        PID:4304
        
        C:\Users\Admin\AppData\Local\Temp\5436.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5436.tmp"
        81⤵
        
        PID:4400
        
        C:\Users\Admin\AppData\Local\Temp\5484.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5484.tmp"
        82⤵
        
        PID:1152
        
        C:\Users\Admin\AppData\Local\Temp\54D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54D2.tmp"
        83⤵
        
        PID:2880
        
        C:\Users\Admin\AppData\Local\Temp\5520.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5520.tmp"
        84⤵
        Executes dropped EXE
        
        PID:1580
        
        C:\Users\Admin\AppData\Local\Temp\556E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\556E.tmp"
        85⤵
        
        PID:1488
        
        C:\Users\Admin\AppData\Local\Temp\55BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55BC.tmp"
        86⤵
        
        PID:4060
        
        C:\Users\Admin\AppData\Local\Temp\560A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\560A.tmp"
        87⤵
        
        PID:4832
        
        C:\Users\Admin\AppData\Local\Temp\5658.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5658.tmp"
        88⤵
        
        PID:812
        
        C:\Users\Admin\AppData\Local\Temp\56A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56A7.tmp"
        89⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\56F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56F5.tmp"
        90⤵
        
        PID:2204
        
        C:\Users\Admin\AppData\Local\Temp\5743.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5743.tmp"
        91⤵
        
        PID:3932
        
        C:\Users\Admin\AppData\Local\Temp\5791.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5791.tmp"
        92⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\57DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57DF.tmp"
        93⤵
        
        PID:2768
        
        C:\Users\Admin\AppData\Local\Temp\582D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\582D.tmp"
        94⤵
        
        PID:3676
        
        C:\Users\Admin\AppData\Local\Temp\587B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\587B.tmp"
        95⤵
        
        PID:3112
        
        C:\Users\Admin\AppData\Local\Temp\58C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\58C9.tmp"
        96⤵
        
        PID:4160
        
        C:\Users\Admin\AppData\Local\Temp\5918.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5918.tmp"
        97⤵
        
        PID:672
        
        C:\Users\Admin\AppData\Local\Temp\5966.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5966.tmp"
        98⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\59B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59B4.tmp"
        99⤵
        
        PID:4752
        
        C:\Users\Admin\AppData\Local\Temp\5A02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A02.tmp"
        100⤵
        
        PID:5064
        
        C:\Users\Admin\AppData\Local\Temp\5A50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A50.tmp"
        101⤵
        
        PID:4316
        
        C:\Users\Admin\AppData\Local\Temp\5A9E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A9E.tmp"
        102⤵
        
        PID:3660
        
        C:\Users\Admin\AppData\Local\Temp\5AEC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5AEC.tmp"
        103⤵
        
        PID:864
        
        C:\Users\Admin\AppData\Local\Temp\5B3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B3A.tmp"
        104⤵
        
        PID:2236
        
        C:\Users\Admin\AppData\Local\Temp\5B89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B89.tmp"
        105⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\5BD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5BD7.tmp"
        106⤵
        
        PID:2940
        
        C:\Users\Admin\AppData\Local\Temp\5C73.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C73.tmp"
        107⤵
        
        PID:3628
        
        C:\Users\Admin\AppData\Local\Temp\5CC1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5CC1.tmp"
        108⤵
        
        PID:2000
        
        C:\Users\Admin\AppData\Local\Temp\C8CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8CE.tmp"
        40⤵
        
        PID:3836
        
        C:\Users\Admin\AppData\Local\Temp\C91C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C91C.tmp"
        41⤵
        
        PID:1816
        
        C:\Users\Admin\AppData\Local\Temp\C95B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C95B.tmp"
        42⤵
        Executes dropped EXE
        
        PID:864
        
        C:\Users\Admin\AppData\Local\Temp\C9A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9A9.tmp"
        43⤵
        
        PID:3016
        
        C:\Users\Admin\AppData\Local\Temp\C9F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9F7.tmp"
        44⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\CA45.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA45.tmp"
        45⤵
        
        PID:8
        
        C:\Users\Admin\AppData\Local\Temp\CA93.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA93.tmp"
        46⤵
        
        PID:3064
        
        C:\Users\Admin\AppData\Local\Temp\CAE1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAE1.tmp"
        47⤵
        
        PID:1236
        
        C:\Users\Admin\AppData\Local\Temp\CB2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB2F.tmp"
        48⤵
        
        PID:4900
        
        C:\Users\Admin\AppData\Local\Temp\CB7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB7E.tmp"
        49⤵
        
        PID:2920
        
        C:\Users\Admin\AppData\Local\Temp\CBCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBCC.tmp"
        50⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\CC1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC1A.tmp"
        51⤵
        
        PID:2860
        
        C:\Users\Admin\AppData\Local\Temp\CC68.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC68.tmp"
        52⤵
        
        PID:1124
        
        C:\Users\Admin\AppData\Local\Temp\CCB6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCB6.tmp"
        53⤵
        
        PID:904
        
        C:\Users\Admin\AppData\Local\Temp\CD04.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD04.tmp"
        54⤵
        
        PID:2644
        
        C:\Users\Admin\AppData\Local\Temp\CD52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD52.tmp"
        55⤵
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\CDA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDA0.tmp"
        56⤵
        
        PID:4336
        
        C:\Users\Admin\AppData\Local\Temp\CDEF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDEF.tmp"
        57⤵
        
        PID:1732
        
        C:\Users\Admin\AppData\Local\Temp\CE3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE3D.tmp"
        58⤵
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\CE8B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE8B.tmp"
        59⤵
        
        PID:4136
        
        C:\Users\Admin\AppData\Local\Temp\CED9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CED9.tmp"
        60⤵
        
        PID:456
        
        C:\Users\Admin\AppData\Local\Temp\CF27.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF27.tmp"
        61⤵
        
        PID:3584
        
        C:\Users\Admin\AppData\Local\Temp\CF75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF75.tmp"
        62⤵
        
        PID:4592
        
        C:\Users\Admin\AppData\Local\Temp\CFB4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFB4.tmp"
        63⤵
        
        PID:3700
        
        C:\Users\Admin\AppData\Local\Temp\D002.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D002.tmp"
        64⤵
        
        PID:3420
        
        C:\Users\Admin\AppData\Local\Temp\D050.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D050.tmp"
        65⤵
        
        PID:224
        
        C:\Users\Admin\AppData\Local\Temp\D09E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D09E.tmp"
        66⤵
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\D0EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D0EC.tmp"
        67⤵
        
        PID:1620
        
        C:\Users\Admin\AppData\Local\Temp\D13A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D13A.tmp"
        68⤵
        
        PID:392
        
        C:\Users\Admin\AppData\Local\Temp\D188.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D188.tmp"
        69⤵
        
        PID:4264
        
        C:\Users\Admin\AppData\Local\Temp\D1D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1D7.tmp"
        70⤵
        
        PID:1268
        
        C:\Users\Admin\AppData\Local\Temp\D225.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D225.tmp"
        71⤵
        Executes dropped EXE
        
        PID:4780

C:\Users\Admin\AppData\Local\Temp\7FFD.tmp
"C:\Users\Admin\AppData\Local\Temp\7FFD.tmp"
1⤵
PID:1368
- C:\Users\Admin\AppData\Local\Temp\804C.tmp
  "C:\Users\Admin\AppData\Local\Temp\804C.tmp"
  2⤵
  PID:4092
- - C:\Users\Admin\AppData\Local\Temp\809A.tmp
    "C:\Users\Admin\AppData\Local\Temp\809A.tmp"
    3⤵
    PID:3860
  - - C:\Users\Admin\AppData\Local\Temp\80E8.tmp
      "C:\Users\Admin\AppData\Local\Temp\80E8.tmp"
      4⤵
      PID:4944
    - - C:\Users\Admin\AppData\Local\Temp\8136.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8136.tmp"
        5⤵
        
        PID:3848

C:\Users\Admin\AppData\Local\Temp\5488.tmp
"C:\Users\Admin\AppData\Local\Temp\5488.tmp"
1⤵
PID:3564

C:\Users\Admin\AppData\Local\Temp\5208.tmp
"C:\Users\Admin\AppData\Local\Temp\5208.tmp"
1⤵
PID:2836

C:\Users\Admin\AppData\Local\Temp\5052.tmp
"C:\Users\Admin\AppData\Local\Temp\5052.tmp"
1⤵
PID:1988

C:\Users\Admin\AppData\Local\Temp\4C6A.tmp
"C:\Users\Admin\AppData\Local\Temp\4C6A.tmp"
1⤵
PID:2388

C:\Users\Admin\AppData\Local\Temp\4C0D.tmp
"C:\Users\Admin\AppData\Local\Temp\4C0D.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2900

C:\Users\Admin\AppData\Local\Temp\4A76.tmp
"C:\Users\Admin\AppData\Local\Temp\4A76.tmp"
1⤵
PID:704

C:\Users\Admin\AppData\Local\Temp\497C.tmp
"C:\Users\Admin\AppData\Local\Temp\497C.tmp"
1⤵
PID:2692

C:\Users\Admin\AppData\Local\Temp\48D0.tmp
"C:\Users\Admin\AppData\Local\Temp\48D0.tmp"
1⤵
PID:4980

C:\Users\Admin\AppData\Local\Temp\4779.tmp
"C:\Users\Admin\AppData\Local\Temp\4779.tmp"
1⤵
PID:4888

C:\Users\Admin\AppData\Local\Temp\94FC.tmp
"C:\Users\Admin\AppData\Local\Temp\94FC.tmp"
1⤵
PID:2876
- C:\Users\Admin\AppData\Local\Temp\954B.tmp
  "C:\Users\Admin\AppData\Local\Temp\954B.tmp"
  2⤵
  PID:4712
- - C:\Users\Admin\AppData\Local\Temp\9599.tmp
    "C:\Users\Admin\AppData\Local\Temp\9599.tmp"
    3⤵
    PID:2516
  - - C:\Users\Admin\AppData\Local\Temp\95F6.tmp
      "C:\Users\Admin\AppData\Local\Temp\95F6.tmp"
      4⤵
      PID:3204
    - - C:\Users\Admin\AppData\Local\Temp\9645.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9645.tmp"
        5⤵
        
        PID:2056
      - C:\Users\Admin\AppData\Local\Temp\9693.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9693.tmp"
        6⤵
        
        PID:2928
        
        C:\Users\Admin\AppData\Local\Temp\96E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\96E1.tmp"
        7⤵
        
        PID:4692
        
        C:\Users\Admin\AppData\Local\Temp\972F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\972F.tmp"
        8⤵
        
        PID:4752
        
        C:\Users\Admin\AppData\Local\Temp\977D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\977D.tmp"
        9⤵
        
        PID:1848
        
        C:\Users\Admin\AppData\Local\Temp\97CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\97CB.tmp"
        10⤵
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\9819.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9819.tmp"
        11⤵
        
        PID:3660
        
        C:\Users\Admin\AppData\Local\Temp\9867.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9867.tmp"
        12⤵
        
        PID:4960
        
        C:\Users\Admin\AppData\Local\Temp\98B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\98B6.tmp"
        13⤵
        
        PID:1816
        
        C:\Users\Admin\AppData\Local\Temp\9904.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9904.tmp"
        14⤵
        
        PID:1456
        
        C:\Users\Admin\AppData\Local\Temp\9952.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9952.tmp"
        15⤵
        Executes dropped EXE
        
        PID:876
        
        C:\Users\Admin\AppData\Local\Temp\99A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\99A0.tmp"
        16⤵
        
        PID:4660
        
        C:\Users\Admin\AppData\Local\Temp\99EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\99EE.tmp"
        17⤵
        
        PID:3200
        
        C:\Users\Admin\AppData\Local\Temp\9A3C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9A3C.tmp"
        18⤵
        
        PID:924
        
        C:\Users\Admin\AppData\Local\Temp\9A8A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9A8A.tmp"
        19⤵
        
        PID:5076
        
        C:\Users\Admin\AppData\Local\Temp\9AD8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9AD8.tmp"
        20⤵
        
        PID:2216
        
        C:\Users\Admin\AppData\Local\Temp\9B27.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9B27.tmp"
        21⤵
        
        PID:4108
        
        C:\Users\Admin\AppData\Local\Temp\9B75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9B75.tmp"
        22⤵
        
        PID:2256
        
        C:\Users\Admin\AppData\Local\Temp\9BC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9BC3.tmp"
        23⤵
        
        PID:4616
        
        C:\Users\Admin\AppData\Local\Temp\9C11.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C11.tmp"
        24⤵
        
        PID:1424
        
        C:\Users\Admin\AppData\Local\Temp\9C5F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C5F.tmp"
        25⤵
        
        PID:888
        
        C:\Users\Admin\AppData\Local\Temp\9CAD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9CAD.tmp"
        26⤵
        
        PID:3092
        
        C:\Users\Admin\AppData\Local\Temp\9CFB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9CFB.tmp"
        27⤵
        
        PID:4120
        
        C:\Users\Admin\AppData\Local\Temp\9D49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D49.tmp"
        28⤵
        
        PID:624
        
        C:\Users\Admin\AppData\Local\Temp\9D98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D98.tmp"
        29⤵
        
        PID:316
        
        C:\Users\Admin\AppData\Local\Temp\9DE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DE6.tmp"
        30⤵
        Executes dropped EXE
        
        PID:1572
        
        C:\Users\Admin\AppData\Local\Temp\9E34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E34.tmp"
        31⤵
        
        PID:4436
        
        C:\Users\Admin\AppData\Local\Temp\9E82.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E82.tmp"
        32⤵
        
        PID:2200
        
        C:\Users\Admin\AppData\Local\Temp\9ED0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9ED0.tmp"
        33⤵
        
        PID:1512
        
        C:\Users\Admin\AppData\Local\Temp\9F1E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9F1E.tmp"
        34⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\9F6C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9F6C.tmp"
        35⤵
        
        PID:224
        
        C:\Users\Admin\AppData\Local\Temp\9FBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FBA.tmp"
        36⤵
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\A009.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A009.tmp"
        37⤵
        
        PID:392
        
        C:\Users\Admin\AppData\Local\Temp\A057.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A057.tmp"
        38⤵
        
        PID:1876
        
        C:\Users\Admin\AppData\Local\Temp\A0A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A0A5.tmp"
        39⤵
        
        PID:1096
        
        C:\Users\Admin\AppData\Local\Temp\A0F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A0F3.tmp"
        40⤵
        
        PID:1700
        
        C:\Users\Admin\AppData\Local\Temp\A141.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A141.tmp"
        41⤵
        
        PID:2368
        
        C:\Users\Admin\AppData\Local\Temp\A19F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A19F.tmp"
        42⤵
        
        PID:772
        
        C:\Users\Admin\AppData\Local\Temp\A1ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A1ED.tmp"
        43⤵
        
        PID:1240
        
        C:\Users\Admin\AppData\Local\Temp\A23B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A23B.tmp"
        44⤵
        
        PID:5088
        
        C:\Users\Admin\AppData\Local\Temp\A299.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A299.tmp"
        45⤵
        
        PID:2692
        
        C:\Users\Admin\AppData\Local\Temp\A2E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A2E7.tmp"
        46⤵
        
        PID:4400
        
        C:\Users\Admin\AppData\Local\Temp\A335.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A335.tmp"
        47⤵
        
        PID:704
        
        C:\Users\Admin\AppData\Local\Temp\A383.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A383.tmp"
        48⤵
        
        PID:4060
        
        C:\Users\Admin\AppData\Local\Temp\A3D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A3D1.tmp"
        49⤵
        
        PID:5040
        
        C:\Users\Admin\AppData\Local\Temp\A41F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A41F.tmp"
        50⤵
        
        PID:516
        
        C:\Users\Admin\AppData\Local\Temp\A46E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A46E.tmp"
        51⤵
        
        PID:1288
        
        C:\Users\Admin\AppData\Local\Temp\A4BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A4BC.tmp"
        52⤵
        
        PID:2300
        
        C:\Users\Admin\AppData\Local\Temp\A50A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A50A.tmp"
        53⤵
        
        PID:336
        
        C:\Users\Admin\AppData\Local\Temp\A558.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A558.tmp"
        54⤵
        
        PID:3472
        
        C:\Users\Admin\AppData\Local\Temp\A5A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A5A6.tmp"
        55⤵
        
        PID:3932
        
        C:\Users\Admin\AppData\Local\Temp\A5F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A5F4.tmp"
        56⤵
        
        PID:1492
        
        C:\Users\Admin\AppData\Local\Temp\A642.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A642.tmp"
        57⤵
        
        PID:3960
        
        C:\Users\Admin\AppData\Local\Temp\A690.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A690.tmp"
        58⤵
        
        PID:1200
        
        C:\Users\Admin\AppData\Local\Temp\A6DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A6DF.tmp"
        59⤵
        
        PID:744
        
        C:\Users\Admin\AppData\Local\Temp\A72D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A72D.tmp"
        60⤵
        
        PID:4160
        
        C:\Users\Admin\AppData\Local\Temp\A77B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A77B.tmp"
        61⤵
        
        PID:3352
        
        C:\Users\Admin\AppData\Local\Temp\A7C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A7C9.tmp"
        62⤵
        
        PID:4752
        
        C:\Users\Admin\AppData\Local\Temp\A817.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A817.tmp"
        63⤵
        
        PID:5064
        
        C:\Users\Admin\AppData\Local\Temp\A865.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A865.tmp"
        64⤵
        
        PID:2604
        
        C:\Users\Admin\AppData\Local\Temp\A8B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A8B3.tmp"
        65⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\A901.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A901.tmp"
        66⤵
        
        PID:1116
        
        C:\Users\Admin\AppData\Local\Temp\A950.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A950.tmp"
        67⤵
        
        PID:440
        
        C:\Users\Admin\AppData\Local\Temp\A99E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A99E.tmp"
        68⤵
        
        PID:3016
        
        C:\Users\Admin\AppData\Local\Temp\A9DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A9DC.tmp"
        69⤵
        
        PID:2680
        
        C:\Users\Admin\AppData\Local\Temp\E09C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E09C.tmp"
        33⤵
        
        PID:1080
        
        C:\Users\Admin\AppData\Local\Temp\E0EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0EA.tmp"
        34⤵
        
        PID:2992
        
        C:\Users\Admin\AppData\Local\Temp\E138.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E138.tmp"
        35⤵
        
        PID:752
        
        C:\Users\Admin\AppData\Local\Temp\E186.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E186.tmp"
        36⤵
        
        PID:3564
        
        C:\Users\Admin\AppData\Local\Temp\E1D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1D4.tmp"
        37⤵
        
        PID:5028
        
        C:\Users\Admin\AppData\Local\Temp\E222.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E222.tmp"
        38⤵
        
        PID:3516
        
        C:\Users\Admin\AppData\Local\Temp\E271.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E271.tmp"
        39⤵
        
        PID:580
        
        C:\Users\Admin\AppData\Local\Temp\E2AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E2AF.tmp"
        40⤵
        
        PID:368
        
        C:\Users\Admin\AppData\Local\Temp\E2EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E2EE.tmp"
        41⤵
        
        PID:4700
        
        C:\Users\Admin\AppData\Local\Temp\E33C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E33C.tmp"
        42⤵
        
        PID:4772
        
        C:\Users\Admin\AppData\Local\Temp\E38A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E38A.tmp"
        43⤵
        
        PID:2384
        
        C:\Users\Admin\AppData\Local\Temp\E3C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E3C8.tmp"
        44⤵
        
        PID:548
        
        C:\Users\Admin\AppData\Local\Temp\E416.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E416.tmp"
        45⤵
        
        PID:772
        
        C:\Users\Admin\AppData\Local\Temp\E465.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E465.tmp"
        46⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\E4B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E4B3.tmp"
        47⤵
        
        PID:1952
        
        C:\Users\Admin\AppData\Local\Temp\E501.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E501.tmp"
        48⤵
        
        PID:1240
        
        C:\Users\Admin\AppData\Local\Temp\E54F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E54F.tmp"
        49⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\E59D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E59D.tmp"
        50⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2692
        
        C:\Users\Admin\AppData\Local\Temp\E5DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5DC.tmp"
        51⤵
        
        PID:1000
        
        C:\Users\Admin\AppData\Local\Temp\E62A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E62A.tmp"
        52⤵
        
        PID:1580
        
        C:\Users\Admin\AppData\Local\Temp\E678.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E678.tmp"
        53⤵
        
        PID:4028
        
        C:\Users\Admin\AppData\Local\Temp\E6C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E6C6.tmp"
        54⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\E714.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E714.tmp"
        55⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\E762.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E762.tmp"
        56⤵
        
        PID:412
        
        C:\Users\Admin\AppData\Local\Temp\E7B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7B0.tmp"
        57⤵
        
        PID:1092
        
        C:\Users\Admin\AppData\Local\Temp\E7FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7FE.tmp"
        58⤵
        
        PID:2516
        
        C:\Users\Admin\AppData\Local\Temp\E84D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E84D.tmp"
        59⤵
        
        PID:3204
        
        C:\Users\Admin\AppData\Local\Temp\E88B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E88B.tmp"
        60⤵
        
        PID:1492
        
        C:\Users\Admin\AppData\Local\Temp\E8D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E8D9.tmp"
        61⤵
        Executes dropped EXE
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\E927.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E927.tmp"
        62⤵
        
        PID:4732
        
        C:\Users\Admin\AppData\Local\Temp\E975.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E975.tmp"
        63⤵
        
        PID:544
        
        C:\Users\Admin\AppData\Local\Temp\E9C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9C4.tmp"
        64⤵
        
        PID:684
        
        C:\Users\Admin\AppData\Local\Temp\EA12.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA12.tmp"
        65⤵
        
        PID:4504
        
        C:\Users\Admin\AppData\Local\Temp\EA60.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA60.tmp"
        66⤵
        
        PID:3428
        
        C:\Users\Admin\AppData\Local\Temp\EAAE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EAAE.tmp"
        67⤵
        
        PID:1640
        
        C:\Users\Admin\AppData\Local\Temp\EAFC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EAFC.tmp"
        68⤵
        
        PID:1128
        
        C:\Users\Admin\AppData\Local\Temp\EB4A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB4A.tmp"
        69⤵
        
        PID:4660
        
        C:\Users\Admin\AppData\Local\Temp\EB98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB98.tmp"
        70⤵
        
        PID:4776
        
        C:\Users\Admin\AppData\Local\Temp\EBE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EBE6.tmp"
        71⤵
        
        PID:1248
- - C:\Users\Admin\AppData\Local\Temp\D707.tmp
    "C:\Users\Admin\AppData\Local\Temp\D707.tmp"
    3⤵
    PID:5096
  - - C:\Users\Admin\AppData\Local\Temp\D755.tmp
      "C:\Users\Admin\AppData\Local\Temp\D755.tmp"
      4⤵
      PID:2056
    - - C:\Users\Admin\AppData\Local\Temp\D7A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7A3.tmp"
        5⤵
        
        PID:3776
      - C:\Users\Admin\AppData\Local\Temp\D7F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7F1.tmp"
        6⤵
        
        PID:2928
        
        C:\Users\Admin\AppData\Local\Temp\D83F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D83F.tmp"
        7⤵
        
        PID:744
        
        C:\Users\Admin\AppData\Local\Temp\D88D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D88D.tmp"
        8⤵
        
        PID:4160
        
        C:\Users\Admin\AppData\Local\Temp\D8DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D8DB.tmp"
        9⤵
        
        PID:3352
        
        C:\Users\Admin\AppData\Local\Temp\D92A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D92A.tmp"
        10⤵
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\D978.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D978.tmp"
        11⤵
        
        PID:3356
        
        C:\Users\Admin\AppData\Local\Temp\D9C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D9C6.tmp"
        12⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\DA14.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA14.tmp"
        13⤵
        
        PID:3200
        
        C:\Users\Admin\AppData\Local\Temp\DA62.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA62.tmp"
        14⤵
        
        PID:2236
        
        C:\Users\Admin\AppData\Local\Temp\DAB0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DAB0.tmp"
        15⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\DAFE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DAFE.tmp"
        16⤵
        
        PID:1116
        
        C:\Users\Admin\AppData\Local\Temp\DB4C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB4C.tmp"
        17⤵
        
        PID:1348
        
        C:\Users\Admin\AppData\Local\Temp\DB9B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB9B.tmp"
        18⤵
        
        PID:1880
        
        C:\Users\Admin\AppData\Local\Temp\DBD9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DBD9.tmp"
        19⤵
        
        PID:4276
        
        C:\Users\Admin\AppData\Local\Temp\DC27.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC27.tmp"
        20⤵
        
        PID:2680
        
        C:\Users\Admin\AppData\Local\Temp\DC75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC75.tmp"
        21⤵
        
        PID:5076
        
        C:\Users\Admin\AppData\Local\Temp\DCC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DCC3.tmp"
        22⤵
        
        PID:3852
        
        C:\Users\Admin\AppData\Local\Temp\DD02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD02.tmp"
        23⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\1028.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1028.tmp"
        14⤵
        
        PID:4660
        
        C:\Users\Admin\AppData\Local\Temp\1076.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1076.tmp"
        15⤵
        
        PID:4776
        
        C:\Users\Admin\AppData\Local\Temp\10C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\10C4.tmp"
        16⤵
        
        PID:1248
        
        C:\Users\Admin\AppData\Local\Temp\1112.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1112.tmp"
        17⤵
        
        PID:3568
        
        C:\Users\Admin\AppData\Local\Temp\1160.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1160.tmp"
        18⤵
        
        PID:3464
        
        C:\Users\Admin\AppData\Local\Temp\11AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\11AE.tmp"
        19⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\11FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\11FC.tmp"
        20⤵
        
        PID:1880
        
        C:\Users\Admin\AppData\Local\Temp\124B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\124B.tmp"
        21⤵
        
        PID:2388
        
        C:\Users\Admin\AppData\Local\Temp\1299.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1299.tmp"
        22⤵
        
        PID:3152
        
        C:\Users\Admin\AppData\Local\Temp\12E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12E7.tmp"
        23⤵
        
        PID:1236
        
        C:\Users\Admin\AppData\Local\Temp\1335.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1335.tmp"
        24⤵
        
        PID:3852
        
        C:\Users\Admin\AppData\Local\Temp\1383.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1383.tmp"
        25⤵
        
        PID:4696
        
        C:\Users\Admin\AppData\Local\Temp\13D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\13D1.tmp"
        26⤵
        
        PID:3944
        
        C:\Users\Admin\AppData\Local\Temp\141F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\141F.tmp"
        27⤵
        
        PID:2860
        
        C:\Users\Admin\AppData\Local\Temp\146D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\146D.tmp"
        28⤵
        
        PID:4616
        
        C:\Users\Admin\AppData\Local\Temp\14BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\14BC.tmp"
        29⤵
        
        PID:4880
        
        C:\Users\Admin\AppData\Local\Temp\150A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\150A.tmp"
        30⤵
        
        PID:1984
        
        C:\Users\Admin\AppData\Local\Temp\1558.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1558.tmp"
        31⤵
        
        PID:452
        
        C:\Users\Admin\AppData\Local\Temp\15A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15A6.tmp"
        32⤵
        
        PID:4120
        
        C:\Users\Admin\AppData\Local\Temp\15F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15F4.tmp"
        33⤵
        
        PID:4436
        
        C:\Users\Admin\AppData\Local\Temp\1642.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1642.tmp"
        34⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\1690.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1690.tmp"
        35⤵
        
        PID:1368
        
        C:\Users\Admin\AppData\Local\Temp\16DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16DE.tmp"
        36⤵
        
        PID:2840
        
        C:\Users\Admin\AppData\Local\Temp\172D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\172D.tmp"
        37⤵
        
        PID:4108
        
        C:\Users\Admin\AppData\Local\Temp\177B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\177B.tmp"
        38⤵
        
        PID:3600
        
        C:\Users\Admin\AppData\Local\Temp\17C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\17C9.tmp"
        39⤵
        
        PID:3856
        
        C:\Users\Admin\AppData\Local\Temp\1817.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1817.tmp"
        40⤵
        
        PID:2452
        
        C:\Users\Admin\AppData\Local\Temp\1865.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1865.tmp"
        41⤵
        
        PID:1464
        
        C:\Users\Admin\AppData\Local\Temp\18B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\18B3.tmp"
        42⤵
        
        PID:1532
        
        C:\Users\Admin\AppData\Local\Temp\1901.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1901.tmp"
        43⤵
        
        PID:4112
        
        C:\Users\Admin\AppData\Local\Temp\194F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\194F.tmp"
        44⤵
        
        PID:220
        
        C:\Users\Admin\AppData\Local\Temp\199E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\199E.tmp"
        45⤵
        
        PID:4932
        
        C:\Users\Admin\AppData\Local\Temp\19EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\19EC.tmp"
        46⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3468
        
        C:\Users\Admin\AppData\Local\Temp\1A3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A3A.tmp"
        47⤵
        Suspicious use of WriteProcessMemory
        
        PID:4888
        
        C:\Users\Admin\AppData\Local\Temp\1A88.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A88.tmp"
        48⤵
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\1AD6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AD6.tmp"
        49⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4980
        
        C:\Users\Admin\AppData\Local\Temp\1B15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B15.tmp"
        50⤵
        
        PID:4748
        
        C:\Users\Admin\AppData\Local\Temp\1B63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B63.tmp"
        51⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\1BB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1BB1.tmp"
        52⤵
        Executes dropped EXE
        
        PID:4904
        
        C:\Users\Admin\AppData\Local\Temp\1BFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1BFF.tmp"
        53⤵
        
        PID:224
        
        C:\Users\Admin\AppData\Local\Temp\1C4D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C4D.tmp"
        54⤵
        
        PID:116
        
        C:\Users\Admin\AppData\Local\Temp\1C9B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C9B.tmp"
        55⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\1CE9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1CE9.tmp"
        56⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:704
        
        C:\Users\Admin\AppData\Local\Temp\1D37.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D37.tmp"
        57⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2104
        
        C:\Users\Admin\AppData\Local\Temp\1D86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D86.tmp"
        58⤵
        
        PID:4528
        
        C:\Users\Admin\AppData\Local\Temp\1DD4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DD4.tmp"
        59⤵
        
        PID:1196
        
        C:\Users\Admin\AppData\Local\Temp\1E22.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E22.tmp"
        60⤵
        
        PID:516
        
        C:\Users\Admin\AppData\Local\Temp\1E70.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E70.tmp"
        61⤵
        
        PID:2368
        
        C:\Users\Admin\AppData\Local\Temp\1EBE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1EBE.tmp"
        62⤵
        
        PID:3524
        
        C:\Users\Admin\AppData\Local\Temp\1F0C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F0C.tmp"
        63⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\1F5A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F5A.tmp"
        64⤵
        
        PID:4712
        
        C:\Users\Admin\AppData\Local\Temp\1FA8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FA8.tmp"
        65⤵
        
        PID:3112
        
        C:\Users\Admin\AppData\Local\Temp\1FF7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FF7.tmp"
        66⤵
        
        PID:3204
        
        C:\Users\Admin\AppData\Local\Temp\2045.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2045.tmp"
        67⤵
        
        PID:4732
        
        C:\Users\Admin\AppData\Local\Temp\2093.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2093.tmp"
        68⤵
        
        PID:1676
        
        C:\Users\Admin\AppData\Local\Temp\20E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\20E1.tmp"
        69⤵
        
        PID:3656
        
        C:\Users\Admin\AppData\Local\Temp\212F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\212F.tmp"
        70⤵
        
        PID:5064
        
        C:\Users\Admin\AppData\Local\Temp\217D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\217D.tmp"
        71⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\21CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\21CB.tmp"
        72⤵
        Executes dropped EXE
        
        PID:2688
        
        C:\Users\Admin\AppData\Local\Temp\2219.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2219.tmp"
        73⤵
        
        PID:1460
        
        C:\Users\Admin\AppData\Local\Temp\2268.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2268.tmp"
        74⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\22B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\22B6.tmp"
        75⤵
        
        PID:2940
        
        C:\Users\Admin\AppData\Local\Temp\2304.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2304.tmp"
        76⤵
        
        PID:1456
        
        C:\Users\Admin\AppData\Local\Temp\2352.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2352.tmp"
        77⤵
        
        PID:4776
        
        C:\Users\Admin\AppData\Local\Temp\23A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23A0.tmp"
        78⤵
        
        PID:1248
        
        C:\Users\Admin\AppData\Local\Temp\23EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23EE.tmp"
        17⤵
        
        PID:3568
        
        C:\Users\Admin\AppData\Local\Temp\243C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\243C.tmp"
        18⤵
        
        PID:3464
        
        C:\Users\Admin\AppData\Local\Temp\248A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\248A.tmp"
        19⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\24D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24D9.tmp"
        20⤵
        
        PID:1380
        
        C:\Users\Admin\AppData\Local\Temp\2517.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2517.tmp"
        21⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2388
        
        C:\Users\Admin\AppData\Local\Temp\2565.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2565.tmp"
        22⤵
        
        PID:3152
        
        C:\Users\Admin\AppData\Local\Temp\25B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\25B3.tmp"
        23⤵
        
        PID:3836
        
        C:\Users\Admin\AppData\Local\Temp\2601.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2601.tmp"
        24⤵
        
        PID:712
        
        C:\Users\Admin\AppData\Local\Temp\2650.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2650.tmp"
        25⤵
        
        PID:2912
        
        C:\Users\Admin\AppData\Local\Temp\269E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\269E.tmp"
        26⤵
        
        PID:3916
        
        C:\Users\Admin\AppData\Local\Temp\26EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\26EC.tmp"
        27⤵
        
        PID:2716
        
        C:\Users\Admin\AppData\Local\Temp\273A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\273A.tmp"
        28⤵
        
        PID:3952
        
        C:\Users\Admin\AppData\Local\Temp\2788.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2788.tmp"
        29⤵
        
        PID:4792
        
        C:\Users\Admin\AppData\Local\Temp\27C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27C7.tmp"
        30⤵
        
        PID:2644
        
        C:\Users\Admin\AppData\Local\Temp\2815.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2815.tmp"
        31⤵
        Executes dropped EXE
        
        PID:452
        
        C:\Users\Admin\AppData\Local\Temp\2863.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2863.tmp"
        32⤵
        
        PID:4120
        
        C:\Users\Admin\AppData\Local\Temp\28B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28B1.tmp"
        33⤵
        
        PID:4436
        
        C:\Users\Admin\AppData\Local\Temp\28FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28FF.tmp"
        34⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\294D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\294D.tmp"
        35⤵
        
        PID:4488
        
        C:\Users\Admin\AppData\Local\Temp\299B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\299B.tmp"
        36⤵
        
        PID:2840
        
        C:\Users\Admin\AppData\Local\Temp\29E9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\29E9.tmp"
        37⤵
        
        PID:4108
        
        C:\Users\Admin\AppData\Local\Temp\2A38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A38.tmp"
        38⤵
        
        PID:3600
        
        C:\Users\Admin\AppData\Local\Temp\2A86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A86.tmp"
        39⤵
        
        PID:3504
        
        C:\Users\Admin\AppData\Local\Temp\2AD4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2AD4.tmp"
        40⤵
        
        PID:1364
        
        C:\Users\Admin\AppData\Local\Temp\2B22.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B22.tmp"
        41⤵
        
        PID:2116
        
        C:\Users\Admin\AppData\Local\Temp\2B70.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B70.tmp"
        42⤵
        
        PID:1876
        
        C:\Users\Admin\AppData\Local\Temp\2BBE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2BBE.tmp"
        43⤵
        
        PID:1940
        
        C:\Users\Admin\AppData\Local\Temp\2C0C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C0C.tmp"
        44⤵
        
        PID:392
        
        C:\Users\Admin\AppData\Local\Temp\2C5A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C5A.tmp"
        45⤵
        Suspicious use of WriteProcessMemory
        
        PID:4780
        
        C:\Users\Admin\AppData\Local\Temp\2CA9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2CA9.tmp"
        46⤵
        
        PID:4700
        
        C:\Users\Admin\AppData\Local\Temp\2CF7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2CF7.tmp"
        47⤵
        Executes dropped EXE
        
        PID:4888
        
        C:\Users\Admin\AppData\Local\Temp\2D45.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D45.tmp"
        48⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\2D93.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D93.tmp"
        49⤵
        
        PID:772
        
        C:\Users\Admin\AppData\Local\Temp\2DE1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2DE1.tmp"
        50⤵
        
        PID:4748
        
        C:\Users\Admin\AppData\Local\Temp\2E2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E2F.tmp"
        51⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\2E7D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E7D.tmp"
        52⤵
        
        PID:4968
        
        C:\Users\Admin\AppData\Local\Temp\2ECB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2ECB.tmp"
        53⤵
        
        PID:224
        
        C:\Users\Admin\AppData\Local\Temp\2F1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F1A.tmp"
        54⤵
        
        PID:116
        
        C:\Users\Admin\AppData\Local\Temp\2F68.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F68.tmp"
        55⤵
        
        PID:4868
        
        C:\Users\Admin\AppData\Local\Temp\2FB6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2FB6.tmp"
        56⤵
        
        PID:212
        
        C:\Users\Admin\AppData\Local\Temp\3004.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3004.tmp"
        57⤵
        
        PID:5040
        
        C:\Users\Admin\AppData\Local\Temp\3052.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3052.tmp"
        58⤵
        
        PID:3472
        
        C:\Users\Admin\AppData\Local\Temp\30A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30A0.tmp"
        59⤵
        
        PID:3412
        
        C:\Users\Admin\AppData\Local\Temp\30EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30EE.tmp"
        60⤵
        
        PID:5112
        
        C:\Users\Admin\AppData\Local\Temp\313C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\313C.tmp"
        61⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\318B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\318B.tmp"
        62⤵
        
        PID:3416
        
        C:\Users\Admin\AppData\Local\Temp\31D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\31D9.tmp"
        63⤵
        
        PID:1372
        
        C:\Users\Admin\AppData\Local\Temp\3227.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3227.tmp"
        64⤵
        
        PID:4712
        
        C:\Users\Admin\AppData\Local\Temp\3275.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3275.tmp"
        65⤵
        
        PID:3112
        
        C:\Users\Admin\AppData\Local\Temp\32C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\32C3.tmp"
        66⤵
        
        PID:3204
        
        C:\Users\Admin\AppData\Local\Temp\3311.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3311.tmp"
        67⤵
        
        PID:4732
        
        C:\Users\Admin\AppData\Local\Temp\335F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\335F.tmp"
        68⤵
        
        PID:1676
        
        C:\Users\Admin\AppData\Local\Temp\33AD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\33AD.tmp"
        69⤵
        
        PID:2588
        
        C:\Users\Admin\AppData\Local\Temp\33FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\33FC.tmp"
        70⤵
        
        PID:5064
        
        C:\Users\Admin\AppData\Local\Temp\344A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\344A.tmp"
        71⤵
        
        PID:2972
        
        C:\Users\Admin\AppData\Local\Temp\3498.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3498.tmp"
        72⤵
        
        PID:3660
        
        C:\Users\Admin\AppData\Local\Temp\34E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\34E6.tmp"
        73⤵
        
        PID:440
        
        C:\Users\Admin\AppData\Local\Temp\3534.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3534.tmp"
        74⤵
        Executes dropped EXE
        
        PID:2604
        
        C:\Users\Admin\AppData\Local\Temp\3592.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3592.tmp"
        75⤵
        
        PID:3076
        
        C:\Users\Admin\AppData\Local\Temp\35E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\35E0.tmp"
        76⤵
        
        PID:3144
        
        C:\Users\Admin\AppData\Local\Temp\362E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\362E.tmp"
        77⤵
        
        PID:1816
        
        C:\Users\Admin\AppData\Local\Temp\367C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\367C.tmp"
        78⤵
        Executes dropped EXE
        
        PID:1248
        
        C:\Users\Admin\AppData\Local\Temp\36CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36CA.tmp"
        79⤵
        
        PID:4276
        
        C:\Users\Admin\AppData\Local\Temp\3718.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3718.tmp"
        80⤵
        
        PID:512
        
        C:\Users\Admin\AppData\Local\Temp\3767.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3767.tmp"
        81⤵
        
        PID:3372
        
        C:\Users\Admin\AppData\Local\Temp\37B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37B5.tmp"
        82⤵
        
        PID:2680
        
        C:\Users\Admin\AppData\Local\Temp\3803.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3803.tmp"
        83⤵
        
        PID:2092
        
        C:\Users\Admin\AppData\Local\Temp\3861.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3861.tmp"
        84⤵
        
        PID:4520
        
        C:\Users\Admin\AppData\Local\Temp\38AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\38AF.tmp"
        85⤵
        Executes dropped EXE
        
        PID:2820
        
        C:\Users\Admin\AppData\Local\Temp\38FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\38FD.tmp"
        86⤵
        
        PID:4372
        
        C:\Users\Admin\AppData\Local\Temp\394B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\394B.tmp"
        87⤵
        
        PID:324
        
        C:\Users\Admin\AppData\Local\Temp\3999.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3999.tmp"
        88⤵
        Executes dropped EXE
        
        PID:3916
        
        C:\Users\Admin\AppData\Local\Temp\39E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\39E7.tmp"
        89⤵
        
        PID:2716
        
        C:\Users\Admin\AppData\Local\Temp\3A35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A35.tmp"
        90⤵
        
        PID:3952
        
        C:\Users\Admin\AppData\Local\Temp\3A83.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A83.tmp"
        91⤵
        Executes dropped EXE
        
        PID:4360
        
        C:\Users\Admin\AppData\Local\Temp\3AD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3AD2.tmp"
        92⤵
        
        PID:2644
        
        C:\Users\Admin\AppData\Local\Temp\3B20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B20.tmp"
        93⤵
        
        PID:868
        
        C:\Users\Admin\AppData\Local\Temp\3B6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B6E.tmp"
        94⤵
        
        PID:4120
        
        C:\Users\Admin\AppData\Local\Temp\3BBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3BBC.tmp"
        95⤵
        
        PID:4688
        
        C:\Users\Admin\AppData\Local\Temp\3C0A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C0A.tmp"
        96⤵
        
        PID:456
        
        C:\Users\Admin\AppData\Local\Temp\3C58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C58.tmp"
        97⤵
        
        PID:752
        
        C:\Users\Admin\AppData\Local\Temp\3CA6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CA6.tmp"
        98⤵
        
        PID:688
        
        C:\Users\Admin\AppData\Local\Temp\3CF4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CF4.tmp"
        99⤵
        
        PID:4592
        
        C:\Users\Admin\AppData\Local\Temp\3D33.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D33.tmp"
        100⤵
        
        PID:3052
        
        C:\Users\Admin\AppData\Local\Temp\3D81.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D81.tmp"
        101⤵
        Executes dropped EXE
        
        PID:3564
        
        C:\Users\Admin\AppData\Local\Temp\3DCF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3DCF.tmp"
        102⤵
        
        PID:580
        
        C:\Users\Admin\AppData\Local\Temp\3E1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E1D.tmp"
        103⤵
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\3E6B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E6B.tmp"
        104⤵
        
        PID:856
        
        C:\Users\Admin\AppData\Local\Temp\3EBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3EBA.tmp"
        105⤵
        
        PID:1876
        
        C:\Users\Admin\AppData\Local\Temp\3EF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3EF8.tmp"
        106⤵
        
        PID:1940
        
        C:\Users\Admin\AppData\Local\Temp\3F46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F46.tmp"
        107⤵
        
        PID:4876
        
        C:\Users\Admin\AppData\Local\Temp\3F94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F94.tmp"
        108⤵
        
        PID:4672
        
        C:\Users\Admin\AppData\Local\Temp\3FE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3FE2.tmp"
        109⤵
        
        PID:4700
        
        C:\Users\Admin\AppData\Local\Temp\4031.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4031.tmp"
        110⤵
        
        PID:4956
        
        C:\Users\Admin\AppData\Local\Temp\407F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\407F.tmp"
        111⤵
        Executes dropped EXE
        
        PID:3448
        
        C:\Users\Admin\AppData\Local\Temp\40CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\40CD.tmp"
        112⤵
        
        PID:772
        
        C:\Users\Admin\AppData\Local\Temp\411B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\411B.tmp"
        113⤵
        
        PID:4748
        
        C:\Users\Admin\AppData\Local\Temp\4169.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4169.tmp"
        114⤵
        
        PID:4464
        
        C:\Users\Admin\AppData\Local\Temp\41B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\41B7.tmp"
        115⤵
        
        PID:4968
        
        C:\Users\Admin\AppData\Local\Temp\4205.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4205.tmp"
        116⤵
        Executes dropped EXE
        
        PID:224
        
        C:\Users\Admin\AppData\Local\Temp\4253.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4253.tmp"
        117⤵
        
        PID:2296
        
        C:\Users\Admin\AppData\Local\Temp\42A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42A2.tmp"
        118⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\42F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42F0.tmp"
        119⤵
        
        PID:704
        
        C:\Users\Admin\AppData\Local\Temp\433E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\433E.tmp"
        120⤵
        
        PID:2336
        
        C:\Users\Admin\AppData\Local\Temp\438C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\438C.tmp"
        121⤵
        
        PID:4028
        
        C:\Users\Admin\AppData\Local\Temp\43DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\43DA.tmp"
        122⤵
        
        PID:1288
        
        C:\Users\Admin\AppData\Local\Temp\4428.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4428.tmp"
        123⤵
        Executes dropped EXE
        
        PID:516
        
        C:\Users\Admin\AppData\Local\Temp\4476.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4476.tmp"
        124⤵
        
        PID:4032
        
        C:\Users\Admin\AppData\Local\Temp\44C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\44C4.tmp"
        125⤵
        
        PID:412
        
        C:\Users\Admin\AppData\Local\Temp\4513.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4513.tmp"
        126⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\4561.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4561.tmp"
        127⤵
        
        PID:1200
        
        C:\Users\Admin\AppData\Local\Temp\45AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\45AF.tmp"
        128⤵
        
        PID:2004
        
        C:\Users\Admin\AppData\Local\Temp\45ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\45ED.tmp"
        129⤵
        
        PID:4344
        
        C:\Users\Admin\AppData\Local\Temp\463B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\463B.tmp"
        130⤵
        
        PID:5000
        
        C:\Users\Admin\AppData\Local\Temp\468A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\468A.tmp"
        131⤵
        
        PID:4492
        
        C:\Users\Admin\AppData\Local\Temp\46C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46C8.tmp"
        132⤵
        
        PID:3656
        
        C:\Users\Admin\AppData\Local\Temp\4707.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4707.tmp"
        133⤵
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\4755.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4755.tmp"
        134⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\47A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47A3.tmp"
        135⤵
        
        PID:2688
        
        C:\Users\Admin\AppData\Local\Temp\47F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47F1.tmp"
        136⤵
        
        PID:1460
        
        C:\Users\Admin\AppData\Local\Temp\483F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\483F.tmp"
        137⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\488D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\488D.tmp"
        138⤵
        
        PID:2060
        
        C:\Users\Admin\AppData\Local\Temp\48CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\48CC.tmp"
        139⤵
        
        PID:4960

C:\Users\Admin\AppData\Local\Temp\ADD4.tmp
"C:\Users\Admin\AppData\Local\Temp\ADD4.tmp"
1⤵
PID:2944
- C:\Users\Admin\AppData\Local\Temp\AE22.tmp
  "C:\Users\Admin\AppData\Local\Temp\AE22.tmp"
  2⤵
  PID:2412

C:\Users\Admin\AppData\Local\Temp\BF58.tmp
"C:\Users\Admin\AppData\Local\Temp\BF58.tmp"
1⤵
PID:4092
- C:\Users\Admin\AppData\Local\Temp\BFA6.tmp
  "C:\Users\Admin\AppData\Local\Temp\BFA6.tmp"
  2⤵
  PID:4920
- - C:\Users\Admin\AppData\Local\Temp\BFF4.tmp
    "C:\Users\Admin\AppData\Local\Temp\BFF4.tmp"
    3⤵
    PID:1532
  - - C:\Users\Admin\AppData\Local\Temp\C043.tmp
      "C:\Users\Admin\AppData\Local\Temp\C043.tmp"
      4⤵
      PID:4112
    - - C:\Users\Admin\AppData\Local\Temp\C091.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C091.tmp"
        5⤵
        
        PID:4264
      - C:\Users\Admin\AppData\Local\Temp\C0EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0EE.tmp"
        6⤵
        
        PID:4700
        
        C:\Users\Admin\AppData\Local\Temp\C13D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C13D.tmp"
        7⤵
        
        PID:4780
        
        C:\Users\Admin\AppData\Local\Temp\C18B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C18B.tmp"
        8⤵
        Executes dropped EXE
        
        PID:816
        
        C:\Users\Admin\AppData\Local\Temp\D273.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D273.tmp"
        8⤵
        Executes dropped EXE
        
        PID:3588
        
        C:\Users\Admin\AppData\Local\Temp\D2C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2C1.tmp"
        9⤵
        
        PID:2368
        
        C:\Users\Admin\AppData\Local\Temp\D30F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D30F.tmp"
        10⤵
        
        PID:1952
        
        C:\Users\Admin\AppData\Local\Temp\D35D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D35D.tmp"
        11⤵
        
        PID:1240
        
        C:\Users\Admin\AppData\Local\Temp\D3AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D3AB.tmp"
        12⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\D3F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D3F9.tmp"
        13⤵
        
        PID:2692
        
        C:\Users\Admin\AppData\Local\Temp\D448.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D448.tmp"
        14⤵
        
        PID:3308
        
        C:\Users\Admin\AppData\Local\Temp\D496.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D496.tmp"
        15⤵
        
        PID:704
        
        C:\Users\Admin\AppData\Local\Temp\D4E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D4E4.tmp"
        16⤵
        
        PID:3896
        
        C:\Users\Admin\AppData\Local\Temp\D532.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D532.tmp"
        17⤵
        
        PID:5040
        
        C:\Users\Admin\AppData\Local\Temp\D580.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D580.tmp"
        18⤵
        
        PID:516
        
        C:\Users\Admin\AppData\Local\Temp\D5CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D5CE.tmp"
        19⤵
        
        PID:1288
        
        C:\Users\Admin\AppData\Local\Temp\D61C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D61C.tmp"
        20⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\D66A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D66A.tmp"
        21⤵
        
        PID:4032
        
        C:\Users\Admin\AppData\Local\Temp\D6B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6B9.tmp"
        22⤵
        
        PID:4712

C:\Users\Admin\AppData\Local\Temp\C61F.tmp
"C:\Users\Admin\AppData\Local\Temp\C61F.tmp"
1⤵
PID:4596
- C:\Users\Admin\AppData\Local\Temp\C66D.tmp
  "C:\Users\Admin\AppData\Local\Temp\C66D.tmp"
  2⤵
  PID:1440
- - C:\Users\Admin\AppData\Local\Temp\C6BB.tmp
    "C:\Users\Admin\AppData\Local\Temp\C6BB.tmp"
    3⤵
    PID:4732
  - - C:\Users\Admin\AppData\Local\Temp\C6F9.tmp
      "C:\Users\Admin\AppData\Local\Temp\C6F9.tmp"
      4⤵
      PID:3676
    - - C:\Users\Admin\AppData\Local\Temp\C747.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C747.tmp"
        5⤵
        
        PID:2004
      - C:\Users\Admin\AppData\Local\Temp\C796.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C796.tmp"
        6⤵
        
        PID:3556
        
        C:\Users\Admin\AppData\Local\Temp\C7E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C7E4.tmp"
        7⤵
        
        PID:2388
        
        C:\Users\Admin\AppData\Local\Temp\C832.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C832.tmp"
        8⤵
        
        PID:2340
        
        C:\Users\Admin\AppData\Local\Temp\C880.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C880.tmp"
        9⤵
        
        PID:5036

C:\Users\Admin\AppData\Local\Temp\DD40.tmp
"C:\Users\Admin\AppData\Local\Temp\DD40.tmp"
1⤵
PID:2912
- C:\Users\Admin\AppData\Local\Temp\DD8F.tmp
  "C:\Users\Admin\AppData\Local\Temp\DD8F.tmp"
  2⤵
  PID:4616
- - C:\Users\Admin\AppData\Local\Temp\DDDD.tmp
    "C:\Users\Admin\AppData\Local\Temp\DDDD.tmp"
    3⤵
    PID:3092
  - - C:\Users\Admin\AppData\Local\Temp\DE2B.tmp
      "C:\Users\Admin\AppData\Local\Temp\DE2B.tmp"
      4⤵
      PID:3604
    - - C:\Users\Admin\AppData\Local\Temp\DE79.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE79.tmp"
        5⤵
        
        PID:4340
      - C:\Users\Admin\AppData\Local\Temp\DEC7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DEC7.tmp"
        6⤵
        Executes dropped EXE
        
        PID:2836
        
        C:\Users\Admin\AppData\Local\Temp\DF15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF15.tmp"
        7⤵
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\DF63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF63.tmp"
        8⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\DFB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DFB1.tmp"
        9⤵
        
        PID:4284
        
        C:\Users\Admin\AppData\Local\Temp\E000.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E000.tmp"
        10⤵
        
        PID:4860
        
        C:\Users\Admin\AppData\Local\Temp\E04E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E04E.tmp"
        11⤵
        
        PID:2200

C:\Users\Admin\AppData\Local\Temp\5D00.tmp
"C:\Users\Admin\AppData\Local\Temp\5D00.tmp"
1⤵
PID:4600
- C:\Users\Admin\AppData\Local\Temp\5D4E.tmp
  "C:\Users\Admin\AppData\Local\Temp\5D4E.tmp"
  2⤵
  PID:3116
- - C:\Users\Admin\AppData\Local\Temp\5D9C.tmp
    "C:\Users\Admin\AppData\Local\Temp\5D9C.tmp"
    3⤵
    PID:4652
  - - C:\Users\Admin\AppData\Local\Temp\5DEA.tmp
      "C:\Users\Admin\AppData\Local\Temp\5DEA.tmp"
      4⤵
      PID:512
    - - C:\Users\Admin\AppData\Local\Temp\5E38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E38.tmp"
        5⤵
        
        PID:3372
      - C:\Users\Admin\AppData\Local\Temp\5E86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E86.tmp"
        6⤵
        
        PID:2680
        
        C:\Users\Admin\AppData\Local\Temp\5ED4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5ED4.tmp"
        7⤵
        
        PID:3836
        
        C:\Users\Admin\AppData\Local\Temp\5F22.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F22.tmp"
        8⤵
        
        PID:712
        
        C:\Users\Admin\AppData\Local\Temp\5F71.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F71.tmp"
        9⤵
        
        PID:8
        
        C:\Users\Admin\AppData\Local\Temp\5FBF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FBF.tmp"
        10⤵
        
        PID:5084
        
        C:\Users\Admin\AppData\Local\Temp\600D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\600D.tmp"
        11⤵
        
        PID:4908
        
        C:\Users\Admin\AppData\Local\Temp\605B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\605B.tmp"
        12⤵
        
        PID:4000
        
        C:\Users\Admin\AppData\Local\Temp\60A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\60A9.tmp"
        13⤵
        
        PID:4880
        
        C:\Users\Admin\AppData\Local\Temp\60E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\60E8.tmp"
        14⤵
        
        PID:1988
        
        C:\Users\Admin\AppData\Local\Temp\6136.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6136.tmp"
        15⤵
        
        PID:4800
        
        C:\Users\Admin\AppData\Local\Temp\6184.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6184.tmp"
        16⤵
        
        PID:1080
        
        C:\Users\Admin\AppData\Local\Temp\61D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\61D2.tmp"
        17⤵
        
        PID:1992
        
        C:\Users\Admin\AppData\Local\Temp\6220.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6220.tmp"
        18⤵
        
        PID:4136
        
        C:\Users\Admin\AppData\Local\Temp\626E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\626E.tmp"
        19⤵
        
        PID:4488
        
        C:\Users\Admin\AppData\Local\Temp\62CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\62CC.tmp"
        20⤵
        
        PID:2256
        
        C:\Users\Admin\AppData\Local\Temp\631A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\631A.tmp"
        21⤵
        
        PID:3360
        
        C:\Users\Admin\AppData\Local\Temp\6359.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6359.tmp"
        22⤵
        
        PID:3860
        
        C:\Users\Admin\AppData\Local\Temp\63A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\63A7.tmp"
        23⤵
        
        PID:3600
        
        C:\Users\Admin\AppData\Local\Temp\63F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\63F5.tmp"
        24⤵
        
        PID:2452
        
        C:\Users\Admin\AppData\Local\Temp\6443.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6443.tmp"
        25⤵
        
        PID:4936
        
        C:\Users\Admin\AppData\Local\Temp\6491.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6491.tmp"
        26⤵
        
        PID:2116
        
        C:\Users\Admin\AppData\Local\Temp\64DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\64DF.tmp"
        27⤵
        
        PID:1096
        
        C:\Users\Admin\AppData\Local\Temp\652D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\652D.tmp"
        28⤵
        
        PID:856
        
        C:\Users\Admin\AppData\Local\Temp\657B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\657B.tmp"
        29⤵
        
        PID:4220
        
        C:\Users\Admin\AppData\Local\Temp\65CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\65CA.tmp"
        30⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\6618.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6618.tmp"
        31⤵
        
        PID:816
        
        C:\Users\Admin\AppData\Local\Temp\6666.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6666.tmp"
        32⤵
        
        PID:3588
        
        C:\Users\Admin\AppData\Local\Temp\66B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\66B4.tmp"
        33⤵
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\6702.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6702.tmp"
        34⤵
        
        PID:548
        
        C:\Users\Admin\AppData\Local\Temp\6750.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6750.tmp"
        35⤵
        
        PID:2692
        
        C:\Users\Admin\AppData\Local\Temp\679E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\679E.tmp"
        36⤵
        
        PID:3000
        
        C:\Users\Admin\AppData\Local\Temp\67EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\67EC.tmp"
        37⤵
        Executes dropped EXE
        
        PID:3168
        
        C:\Users\Admin\AppData\Local\Temp\683B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\683B.tmp"
        38⤵
        
        PID:2300
        
        C:\Users\Admin\AppData\Local\Temp\6889.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6889.tmp"
        39⤵
        
        PID:116
        
        C:\Users\Admin\AppData\Local\Temp\68D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68D7.tmp"
        40⤵
        
        PID:3308
        
        C:\Users\Admin\AppData\Local\Temp\6925.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6925.tmp"
        41⤵
        
        PID:212
        
        C:\Users\Admin\AppData\Local\Temp\6973.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6973.tmp"
        42⤵
        
        PID:4772
        
        C:\Users\Admin\AppData\Local\Temp\69C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\69C1.tmp"
        43⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\6A0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A0F.tmp"
        44⤵
        
        PID:4020
        
        C:\Users\Admin\AppData\Local\Temp\6A5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A5D.tmp"
        45⤵
        Executes dropped EXE
        
        PID:2336
        
        C:\Users\Admin\AppData\Local\Temp\6AAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6AAC.tmp"
        46⤵
        
        PID:4596
        
        C:\Users\Admin\AppData\Local\Temp\6AFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6AFA.tmp"
        47⤵
        
        PID:2112
        
        C:\Users\Admin\AppData\Local\Temp\6B48.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B48.tmp"
        48⤵
        
        PID:4016
        
        C:\Users\Admin\AppData\Local\Temp\6B96.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B96.tmp"
        49⤵
        
        PID:2368
        
        C:\Users\Admin\AppData\Local\Temp\6BE4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BE4.tmp"
        50⤵
        
        PID:412
        
        C:\Users\Admin\AppData\Local\Temp\6C32.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C32.tmp"
        51⤵
        
        PID:4872
        
        C:\Users\Admin\AppData\Local\Temp\6C80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C80.tmp"
        52⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\6CCE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CCE.tmp"
        53⤵
        
        PID:544
        
        C:\Users\Admin\AppData\Local\Temp\6D1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D1D.tmp"
        54⤵
        
        PID:684
        
        C:\Users\Admin\AppData\Local\Temp\6D6B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D6B.tmp"
        55⤵
        
        PID:2896
        
        C:\Users\Admin\AppData\Local\Temp\6DB9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DB9.tmp"
        56⤵
        
        PID:1956
        
        C:\Users\Admin\AppData\Local\Temp\6DF7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DF7.tmp"
        57⤵
        
        PID:4388
        
        C:\Users\Admin\AppData\Local\Temp\6E45.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E45.tmp"
        58⤵
        
        PID:1128
        
        C:\Users\Admin\AppData\Local\Temp\6E94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E94.tmp"
        59⤵
        
        PID:428
        
        C:\Users\Admin\AppData\Local\Temp\6EE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6EE2.tmp"
        60⤵
        
        PID:3776
        
        C:\Users\Admin\AppData\Local\Temp\6F30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F30.tmp"
        61⤵
        
        PID:440
        
        C:\Users\Admin\AppData\Local\Temp\6F7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F7E.tmp"
        62⤵
        
        PID:2808
        
        C:\Users\Admin\AppData\Local\Temp\6FCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6FCC.tmp"
        63⤵
        
        PID:2060
        
        C:\Users\Admin\AppData\Local\Temp\701A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\701A.tmp"
        64⤵
        
        PID:3064
        
        C:\Users\Admin\AppData\Local\Temp\7068.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7068.tmp"
        65⤵
        
        PID:2360
        
        C:\Users\Admin\AppData\Local\Temp\7124.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7124.tmp"
        66⤵
        
        PID:1536
        
        C:\Users\Admin\AppData\Local\Temp\71EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71EF.tmp"
        67⤵
        
        PID:5076
        
        C:\Users\Admin\AppData\Local\Temp\725C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\725C.tmp"
        68⤵
        
        PID:3148
        
        C:\Users\Admin\AppData\Local\Temp\72E9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72E9.tmp"
        69⤵
        
        PID:2708
        
        C:\Users\Admin\AppData\Local\Temp\7356.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7356.tmp"
        70⤵
        
        PID:1380
        
        C:\Users\Admin\AppData\Local\Temp\73B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73B4.tmp"
        71⤵
        
        PID:1236
        
        C:\Users\Admin\AppData\Local\Temp\7402.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7402.tmp"
        72⤵
        
        PID:1508
        
        C:\Users\Admin\AppData\Local\Temp\7450.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7450.tmp"
        73⤵
        
        PID:4428
        
        C:\Users\Admin\AppData\Local\Temp\74AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\74AE.tmp"
        74⤵
        
        PID:2248
        
        C:\Users\Admin\AppData\Local\Temp\750C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\750C.tmp"
        75⤵
        
        PID:4404
        
        C:\Users\Admin\AppData\Local\Temp\756A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\756A.tmp"
        76⤵
        
        PID:3952
        
        C:\Users\Admin\AppData\Local\Temp\75E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75E7.tmp"
        77⤵
        
        PID:4000
        
        C:\Users\Admin\AppData\Local\Temp\7644.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7644.tmp"
        78⤵
        
        PID:2016
        
        C:\Users\Admin\AppData\Local\Temp\76D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76D1.tmp"
        79⤵
        
        PID:2644
        
        C:\Users\Admin\AppData\Local\Temp\772F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\772F.tmp"
        80⤵
        
        PID:3772
        
        C:\Users\Admin\AppData\Local\Temp\778C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\778C.tmp"
        81⤵
        
        PID:2200
        
        C:\Users\Admin\AppData\Local\Temp\77DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77DB.tmp"
        82⤵
        
        PID:1748
        
        C:\Users\Admin\AppData\Local\Temp\7838.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7838.tmp"
        83⤵
        
        PID:3928
        
        C:\Users\Admin\AppData\Local\Temp\7896.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7896.tmp"
        84⤵
        
        PID:3264
        
        C:\Users\Admin\AppData\Local\Temp\7903.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7903.tmp"
        85⤵
        
        PID:3584
        
        C:\Users\Admin\AppData\Local\Temp\7971.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7971.tmp"
        86⤵
        
        PID:1048
        
        C:\Users\Admin\AppData\Local\Temp\79DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79DE.tmp"
        87⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\7A2C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A2C.tmp"
        88⤵
        
        PID:688
        
        C:\Users\Admin\AppData\Local\Temp\7A9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A9A.tmp"
        89⤵
        
        PID:3940
        
        C:\Users\Admin\AppData\Local\Temp\7B07.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B07.tmp"
        90⤵
        
        PID:3052
        
        C:\Users\Admin\AppData\Local\Temp\7B74.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B74.tmp"
        91⤵
        
        PID:2944
        
        C:\Users\Admin\AppData\Local\Temp\7BF1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BF1.tmp"
        92⤵
        
        PID:1532
        
        C:\Users\Admin\AppData\Local\Temp\7C5F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C5F.tmp"
        93⤵
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\7CDC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CDC.tmp"
        94⤵
        
        PID:4288
        
        C:\Users\Admin\AppData\Local\Temp\7D2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D2A.tmp"
        95⤵
        
        PID:4648
        
        C:\Users\Admin\AppData\Local\Temp\7DC6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DC6.tmp"
        96⤵
        
        PID:2384
        
        C:\Users\Admin\AppData\Local\Temp\7E62.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E62.tmp"
        97⤵
        
        PID:1940
        
        C:\Users\Admin\AppData\Local\Temp\7EDF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7EDF.tmp"
        98⤵
        
        PID:3468
        
        C:\Users\Admin\AppData\Local\Temp\7F3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F3D.tmp"
        99⤵
        
        PID:3708
        
        C:\Users\Admin\AppData\Local\Temp\7FBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FBA.tmp"
        100⤵
        
        PID:2040
        
        C:\Users\Admin\AppData\Local\Temp\8008.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8008.tmp"
        101⤵
        
        PID:768
        
        C:\Users\Admin\AppData\Local\Temp\8076.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8076.tmp"
        102⤵
        
        PID:4904
        
        C:\Users\Admin\AppData\Local\Temp\80E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\80E3.tmp"
        103⤵
        
        PID:1672
        
        C:\Users\Admin\AppData\Local\Temp\8141.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8141.tmp"
        104⤵
        
        PID:2656
        
        C:\Users\Admin\AppData\Local\Temp\818F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\818F.tmp"
        105⤵
        
        PID:2880
        
        C:\Users\Admin\AppData\Local\Temp\821C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\821C.tmp"
        106⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\8279.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8279.tmp"
        107⤵
        
        PID:2852
        
        C:\Users\Admin\AppData\Local\Temp\82D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\82D7.tmp"
        108⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\8325.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8325.tmp"
        109⤵
        
        PID:4512
        
        C:\Users\Admin\AppData\Local\Temp\8373.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8373.tmp"
        110⤵
        
        PID:336
        
        C:\Users\Admin\AppData\Local\Temp\83C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\83C1.tmp"
        111⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\8410.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8410.tmp"
        112⤵
        
        PID:5112
        
        C:\Users\Admin\AppData\Local\Temp\845E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\845E.tmp"
        113⤵
        
        PID:1288

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\467F.tmp

Filesize
21KB

MD5
5f428ae491a8ee8d557b42085df82b78

SHA1
718c388d5066dfec6624aeeb3ec7435b2dfa4f1b

SHA256
784e469035e8e9a3d2c5700ee728332041f51b76bd9066d95a7f89e81b6a057c

SHA512
9329ec1d6aa5564f8eaa8d49d2d1ff152794b195074cee92349fe832633f14b1d2662377a03068a9865e8b065a4a6c3e074f87609717daf9547681047a966c4d

Download Submit
C:\Users\Admin\AppData\Local\Temp\467F.tmp

Filesize
23KB

MD5
18886decbc7824c23acb966467c329ff

SHA1
6d58224bb706be03da9662a0557004df3942064c

SHA256
8a95f6f932fc831276f01e030a2dec7d63f41ab167f5f7fcb04973ba7979c23f

SHA512
0d91390e56be1f22c967833a7ffcf9dd8423ac1c33c4e2cc8229830425e953619aad4097465afea8850e69ecc937a6976f3facc1c4f156316fd7fc25e6b6d731

Download Submit
C:\Users\Admin\AppData\Local\Temp\46DC.tmp

Filesize
5KB

MD5
c5a95c404ce86f9a387ef6c5bb257baa

SHA1
20b8b4a4e84fc59cfeedbd75a3529f9fe2241607

SHA256
2a14b9870fb1d56bd3065d4056f2cca1668a48675da4f8b9439608e465365c67

SHA512
d916fe30293e40befb9e17a18b4d6eee9164662e4dc868169b516da5398da21e957da0f2e31eb09d07b5e2d8f13048a3bd5214221703abd332e5b97fb4ad6dde

Download Submit
C:\Users\Admin\AppData\Local\Temp\46DC.tmp

Filesize
60KB

MD5
38d6693ba1cd7081744ad2f86b4f13c7

SHA1
52656a85a387f0b4d64e768b0c64f7a002d2ee99

SHA256
a914a0ff820afce1237280c24509bb69b74776ea830f37fcf9bd9a221054fc97

SHA512
ca7a22c7cbae1c16f445dec3d77b829d8e2f13c0655a5a379099321b0cbe3de75faf63be13f136b884cbfdd547dcc1e85313d182618e87d8fa524bf67a9d5b58

Download Submit
C:\Users\Admin\AppData\Local\Temp\472B.tmp

Filesize
12KB

MD5
4cc2e9c80997b93c948c5c3039bb15d4

SHA1
c1b915367e331ad15b167fd969338a75a573c95b

SHA256
3349908534603d59b7f5bd5c12ae0b6f1e1ae20f05038b3f74b77f262aa67d8f

SHA512
fa471ff7251d80d08196a84374b8fa1ce8bd1b416e0866f3f1093e8de2f41fcb9af36e601d4af252a5cfde4aec5916d4056d8858f307c0696bfddd206259bf0c

Download Submit
C:\Users\Admin\AppData\Local\Temp\472B.tmp

Filesize
13KB

MD5
d4c758cb537e5414548880413f5076a6

SHA1
adc0d41e65a2e8a92cab9792c6e10a48709f3ff8

SHA256
c3cea2d35ed0fe1d9ffd71047213c28482a063ed8a2bc6165ea8d56d61ad1be5

SHA512
774041b7aed5401d821215d1b0364fb0830783b458ba5f9e6e5ee6d1761f44df443acc6773e135647a902b0b60b8e6926d2175092e2eefc97bf60fde63c76166

Download Submit
C:\Users\Admin\AppData\Local\Temp\472B.tmp

Filesize
541KB

MD5
84e7456586ee743af4d5eafada9a144c

SHA1
b80502d9b2d35dcc3e7adc6672fcdb81571836f5

SHA256
b07aafbae4e59d05ef9ab1e385fa4437c0a1bfc42ba686e53f7bb857f9b863b0

SHA512
46c3d2c0e605ed4481f8821ef89d3eff608884386894eddf67624c2db36f5be72f722608df74d351b4c1bb4c14f711d12dd8222a302bdb9689f91021d0ffe4a7

Download Submit
C:\Users\Admin\AppData\Local\Temp\4779.tmp

Filesize
541KB

MD5
e54c08a6cd6bd6376b4b65cf032a63bc

SHA1
c118a5ae0913e744498f2cb1d750f8d5bf5be720

SHA256
59ce6b2430794d1294e08d70db5560cb913018785936408858077b0198104769

SHA512
18f2d92719a752cb2330ef089236eb80b72e13aac10d76de0be6acdb7edd8ee2ae5c6e06d1a8477ccccbe7d6de66feefc1db74f958df427492adc20e71726cd8

Download Submit
C:\Users\Admin\AppData\Local\Temp\4779.tmp

Filesize
9KB

MD5
93778e0912e2bd85d14be6b480d38ab5

SHA1
256d792a9246407325539f2c4fc5a21e42679f72

SHA256
68aaa1c026db1bb78e294fbbffd7aee92f2230837360a1d5c5b594da07c71964

SHA512
70d7785479fb82d479d736008b731646e3192beee32e7b7a70df5d58b2f58f1e48a2c288bd3bf56acc0aaaf99a866dbbc3a9eca01ff593547d1a8f3928db2080

Download Submit
C:\Users\Admin\AppData\Local\Temp\4834.tmp

Filesize
149KB

MD5
b7d830b2c3a7413c176b3ee088942045

SHA1
a97e09806a6f66f849cc5895e36aaa266c380176

SHA256
cf24a99228d75f7f60b59f86d86848356730d48b2b328fa5119a81c46402580e

SHA512
be263f5e293a6900b3c4b50c33d819dd1b3cb1cf68f37e820a84bc7763bc05810d46c14560a2fb7a9a1c35bac6b061c99695f90a17f69715e64882db84e671dd

Download Submit
C:\Users\Admin\AppData\Local\Temp\4834.tmp

Filesize
143KB

MD5
bf5bd02bd432bedc6379b14898169ffe

SHA1
23e08984a16736e2d56a97aaeb232583f7f70770

SHA256
2777f0cdf3b65fcf8b1ed974bc5e8730e843c13b00371952db27599f6ef8ca3d

SHA512
24f056474d0b3ce2044489d1b5598b8df7ab4130d5bc54ad679c9ff9c92e15375d149cc9753e5aa78b6b8f13c18736725382f4672e627f55f1418ca65d0f16a0

Download Submit
C:\Users\Admin\AppData\Local\Temp\4882.tmp

Filesize
91KB

MD5
e329de029062bac5c59b646f91a6423f

SHA1
4894838245fc58296e6cb9fd970b63708d013e0a

SHA256
e5cb31ef7f59b7fc0536cbd13e30a0526fe400eb72a4e575bb240291a507ca12

SHA512
c1c681cc4e12746a75c5bfd2e51a04434213e029c0c35a87a13d394a664abc59b9afea77b11c084cbb43d26652f80c7025c78d0753635e24f8a16d39a18f763d

Download Submit
C:\Users\Admin\AppData\Local\Temp\4882.tmp

Filesize
46KB

MD5
a6a88d64049da59937d6b3269675936e

SHA1
f3403a7ac6e1650599a02c09dd1c053a319eef12

SHA256
d6b61c69300a335d7e1381bc48474c4c37e1e4cf90a46cb35e29bbd6a39dae49

SHA512
da3bdc77351c0c17a88d7c1a76defb6beebb64c63a80be4b079911447f57aa427c4ca159fc8a46a69176acaf641434505162e60051e069958da486940919b56e

Download Submit
C:\Users\Admin\AppData\Local\Temp\48D0.tmp

Filesize
106KB

MD5
023f91816218a5236b056b9b59f9ad6b

SHA1
ceebeb0aff0683e44d02191f0c1cb2fb9a6a8eda

SHA256
61ca0f7b7f7287c9f916128aee3af37c5a94252c833e15bacbb189b1d7f7c118

SHA512
253898ea9bea03277d70e9b0e34ac0b2fa08ebca110f4f73bdf4120dbac8210a05459c13ca478948cdc191a2c2d1fb6ec4fb68a0470c93be884d70112723bb21

Download Submit
C:\Users\Admin\AppData\Local\Temp\48D0.tmp

Filesize
80KB

MD5
e39d9d4b2d06e1cf5de6a5cddc43a083

SHA1
0caad2e957765646fce7c81ffff2e26caf78da90

SHA256
9a1f888f095924f11b30b8fa75aa87847c7dd518fb7a758ad5ae79f6f7f762d4

SHA512
1c501e0d0c4123fd05f5d6478e759b06681d96f4939ddca5710b67fb0f091763fbdccc6e30a988c864ad0ba138820291bfa83858b52054866b468795593619c9

Download Submit
C:\Users\Admin\AppData\Local\Temp\492E.tmp

Filesize
541KB

MD5
e0eb97d246ce1546bd060acdba7ce020

SHA1
3c398d999afff17e5e77f7d77462daa819faf07c

SHA256
a0b7287351b6198807daeeca8048c57308ca62140f8cfbd0150d3dac63561918

SHA512
d8959a3c28a5e0f9b33d6aa9f80f92eab03c9a81b323abe45b678cb819e76b53117f4b2694721ee6ed3f0abca53dd6ec50412d44d00884f0622cf70d1f9a6a27

Download Submit
C:\Users\Admin\AppData\Local\Temp\492E.tmp

Filesize
52KB

MD5
98b2c77d744fac211a6d9f808ae9a628

SHA1
5882f209fb02c6975e875a9a06499724be77251d

SHA256
ab4376000181e160df05148c48d28f72665f9cc3be0a746739a3a9d1b3b85e84

SHA512
d732a13e9b7c17a85be6e5aa825418324a7650eddc80da6e6f5edb362f34457543a3a226aa65ebad33abf0c7254126c80b9167bb539b0b0c15d5fb014b2c537f

Download Submit
C:\Users\Admin\AppData\Local\Temp\497C.tmp

Filesize
541KB

MD5
6deb0704739b9a0f4c3a1e773282de20

SHA1
3e54700b71758c0d4dda5a5c5622099ae5cd1faf

SHA256
9522d6fda98db6987323a5d7cc7a0012507534fd5614d1dd30c719b2848a9834

SHA512
9bae5cec95983e5857d12a96a7bb83361d46c029676c91603c73421bc3eb8b0dc392af12fe41b69d7e417f6f3f755888365b4741f84b8e93b5d2226fa3155e62

Download Submit
C:\Users\Admin\AppData\Local\Temp\497C.tmp

Filesize
93KB

MD5
9202e819e7eb80a446dfb99e619a49f5

SHA1
d25232bbeb9f3d25c0f0d17c949eb6c99b7d7dec

SHA256
ea686524f5383665ff95943b848e838fce4820b219fee7a8a35170c430cc6806

SHA512
7afaabc4fe39d5eedce2df21cfa1eaa90ee718c9088957df8f04fe67e6075829d46ea80ce8f4a4e428fda29bed5bf54d65fa9819b5fe289439f81464815a057d

Download Submit
C:\Users\Admin\AppData\Local\Temp\49CA.tmp

Filesize
541KB

MD5
eb4f5cac5fd19b5f6524e02b4421f4cb

SHA1
d37a8f0b21dfad859bc08e48bd85d5270771b927

SHA256
842661a820b3cd4cf135f68ef1d120fbe5d8f973c22b0c505e4ec3d9dc40a7ba

SHA512
b38219610fa29079b21423aa9de4a88444437f8042e3ea38694f5298f6816d01542f3476c082d42356831424a908677547ff4a13f4c8de924619f87e58fcb42d

Download Submit
C:\Users\Admin\AppData\Local\Temp\49CA.tmp

Filesize
81KB

MD5
8ae70f3256ee5819be997c47251c9efb

SHA1
22a157fb0c57a41e9a2bf52513a1662e8e003ee6

SHA256
2e67fe991866b30443ae137f0d456108c8787e476e1c3ad8aa1651c2b3032852

SHA512
cf9fc9befd8736942872f0b6f9a44f12742177e29a8c791722b44ed08f895397dd5748a90d908992f5bc72f5c94cc03922e698ee1d579bbaf08e27e9261a004f

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A19.tmp

Filesize
98KB

MD5
0270728649db636cac7b332b7d373e1f

SHA1
90e4b6a4a76ecc96bfe70ce658b187cb48bafcc7

SHA256
40a7c1264873eaa1619b13e691406f48908bb3f7c7f678ed9b9e57dbdf8479aa

SHA512
efa9efba303315269fa454244dac7f719e6b597874c77f5fa9fb1963c3e063404a07e0979ec81ca96d92b1b4c0880e73e83beff86594d573b20e56f8fdd1c383

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A19.tmp

Filesize
115KB

MD5
45cc40144c388dc153516af9cbd5560b

SHA1
0fd2b797098abeb8c71f05907ea57dcd05c13fde

SHA256
b3e4c723a9a1e35dcb3b1aad4dfcd9790d466989b63c3f513a79466b637dd06c

SHA512
44b37bfc3dcffce5124b759cc00ad02e5b91cc6dcde4b171550eac2d302ff5e15daaf395abce2e78a1d3da2a0f6483112cc7db586a50f33b6750b8156315e37e

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A76.tmp

Filesize
541KB

MD5
daa9f17a0d66c6fbef0fb47ca5f264d0

SHA1
f52e186768af28d0b63b78753459709027bc1531

SHA256
f7b45e1508a98b0cf944aa83bc8fda3954fdbb7082e99b072247d86fc9bd7cbd

SHA512
ef6a086d40706f3eccd1419274f95a7a74035ac369cbd979dcf401d202768b9ece171a17308e1f592c27d71f02942a147aed7ddddda90ed2284fa73615f8e9fb

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A76.tmp

Filesize
22KB

MD5
7d503fb260cba81ae183c2f3118bad89

SHA1
14d1721b2ce88c6ba5438e73a7a19f1e9ee4459d

SHA256
675550c27a23639e6b37068d494f579ac06fa0989027defe1993a05482e1183b

SHA512
7dfd141a5ee6644a8014d623d6938f4d967387a7d50eaf2c8f62e5bfc4050577ac2c10e021b22397cd95ed1d68e3876d1c89a379e09575b334cd3ba1bc712e4c

Download Submit
C:\Users\Admin\AppData\Local\Temp\4AC4.tmp

Filesize
67KB

MD5
21f2938a26de5e1c1c572e5eb50d7259

SHA1
956f8468b33c7f5d9a435996400f611d42c8dd3b

SHA256
c71ad1aa81c08b3d6154351cb493a99eb6acfe7419b8994f389fc5c9c4936234

SHA512
3f70c87ef4b513f2a5de601deeddd87548c379a1c8e9ad24a0df30756561d4d92771566f19cbc1f4ec8ed7ca44ebba883520aa83499794948b8a4c9667a534ef

Download Submit
C:\Users\Admin\AppData\Local\Temp\4AC4.tmp

Filesize
53KB

MD5
5f8165473ab49f9e633b4cedc5da4d32

SHA1
670196c1560e1787e24836eacebcfda549fcc405

SHA256
7746e7c498a41b4add8cc4d64385191b3f963db285a93660ba5fd3764edfbb8a

SHA512
ec8c6cd875bd73f604c3a9844b8fbebeae8926c89c8dded0346d4861e293245e56ed8fd6aee731e98fa5877e52847e1fc892db8d74ea6e1f0fb1448f6a04a2d2

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B13.tmp

Filesize
541KB

MD5
152ffcd67f96443a0658584b4c752557

SHA1
6d67c0fb6b9a62c5f36e03e4c5054bae8610cdb4

SHA256
576b0ffe0bc98bbceeb220d2ca56d5e99c4fb8b99cbd6cf2703d4230d096dc79

SHA512
7e89d1f0bf4c05837b878f454127766fcbc244453f83e6e98efa8e20ccf56b15130919a6657e35a84c835bd87885c4882e3c1e6f9c9f1fdc3557f9adde80f6ae

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B13.tmp

Filesize
41KB

MD5
721fedc7a55033b788e751d348322ce1

SHA1
09282d502e8c80d4dc2ff400965afbca30bd36c1

SHA256
38d777dc9e7abad9910477bf50d1735739ae4af2080a550fd9ecaad46c79a1e3

SHA512
d06d33c9f3f088d9437460e2b823e4558d89dc828b349c1f15913b0bd46a0e1a5fb727dd58faaab0b22018acebba01a09e9f8478dbbd2ae73dfd8bc133b3ae76

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B70.tmp

Filesize
541KB

MD5
fd8c708b24ec79c8ef8299f766b9f473

SHA1
b8d10ada324922f60804c2fc9015aba45dd4b10b

SHA256
adf2551edd448db5899ae43b3b4ac3eb7bd2878347e51935a4c12c22e367b0c5

SHA512
3feca955cec70a7de4ca9411d9c9de344dd24cdcfb3e8e292572acaa1289ea0d219f61a4aa7bc766675ee494d97682e50ba18abae7d8e0f1f95b9f5022476934

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B70.tmp

Filesize
108KB

MD5
38821f0d4f83a73ab9d81618209a3e7d

SHA1
bf06b8e177b742032579108ed06021142fa84cfa

SHA256
36726263c068d20fe67fb05ba276ae9b7a9cdc5f748e8b70f56d507e05ec9b32

SHA512
19fe5b36b5f2d0ad0e7079011b11d3981ef9ed5d653dd055d052272ff6d26c6c4ad81ec6f075c41f72d14282052bed2a711a400590b22591d8a2b385d581160d

Download Submit
C:\Users\Admin\AppData\Local\Temp\4BBE.tmp

Filesize
541KB

MD5
d14624de21f0eb087af2d7d9bea1d39e

SHA1
e3c70294a4bd54d250a5688549a76168e418211d

SHA256
d74d3c3c2101fc9a1159aa42a07f290ca93bac7b5482d54fa3b3869b1693d945

SHA512
2d44128c2f38454c1fab98d9fef3dd049ad224df2e0f8ecf690ced43ada785c1dc3d9b57a6b79c0520aec83ee61da0eb0cfc9ea50f71b7c62d37671a6bffd6eb

Download Submit
C:\Users\Admin\AppData\Local\Temp\4BBE.tmp

Filesize
22KB

MD5
b6527786040126b7092e95856bb915f3

SHA1
cfdc2116b3c5ca9be309e7760f1f4832e91c46ef

SHA256
4e7e5b76e5763cba390c6d89e6f34d4dd48a8b85563502f660f23ec067c0ad09

SHA512
500efc08606c5ef1e653c13a84453432d6045118e8a3fc2fb8f66b88aef4bb7d9bf6485ae5f6482e7519b77560bce52107b1ff2d0d05e5bbf1c446c9bb303d03

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C0D.tmp

Filesize
32KB

MD5
2b9612bc1cbe7a57b39bbbfe449b8822

SHA1
9920099e3cede75ff64b6d95f1ed46b6628206dd

SHA256
17da52cde5ae27b73c70e73858fc5dad9c661bfaba1cfe3eee7139abe223b65e

SHA512
6588a8a8b2644d55fa87554644244cf175a3d0b5b6e44e99b6cd1192e79806c0390edfb603f6689a5576d85f0a128153db58f2c8d4456329905e8ba642ee1558

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C0D.tmp

Filesize
9KB

MD5
e554956f44c32efd5e7de5975321543c

SHA1
6bfc680438554e45c359660508de2920ed765a87

SHA256
d37ea0a820a28675fcbdc04a5caaf3f9e0e8eac4821022a49a1167119f8c296f

SHA512
18850a06078eba55dcb88037e2bc1bd59ecf3e6370e9820feedaa05f8c3c9af27e12790eec5d8b0be49bd9209c061489b467e365b4eb1314f667ff71200fa4a8

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C6A.tmp

Filesize
27KB

MD5
e31e5dec278cc4786649c66096c4c726

SHA1
85fadd52fb0227b9b95932212fb97ffcc2318e5c

SHA256
9b9c1b90ab4b355d6d6c7a38232d0e79ff9ec0f2f8a475a524fdc823e4d1b575

SHA512
a1c8d3da487335db0c5f311ae1c745942ac8c71df87f6c94e286af6ab9e2c3b2c2ab8cec09c0b62c50d88b1209f66bcd14c587663556f811c70284e375e429fc

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C6A.tmp

Filesize
61KB

MD5
18c1c1d851c483d6e6da02e91cc459b7

SHA1
75cbeb923434c9314e4a32ea01dae5fa341dbf20

SHA256
9d4285cd1c3754ddade42e1a21c032eea5ffa37b593352ef58a102164938fedd

SHA512
d2bc2d4121e41f45c92406f7e105e19a34c75022c7da6fe9ea2a4eee2c39129dbc5700352c0c3ee8986f5b3764e204d44d93e3ad4fff959bea27fe2c06a70dc4

Download Submit
C:\Users\Admin\AppData\Local\Temp\4CB8.tmp

Filesize
541KB

MD5
8f2fbf2419d750bb9fadd22b4f478203

SHA1
2c6c7c5610c00260c66faa843911698bec10f3ca

SHA256
c217ef8f89713d14132e296a6d332f6629b7633f772a63c186f4a82da15e0975

SHA512
a013a7b459e43d5714beaff76dadb5ec7d3d85faab36535c60a3a0daeb3a0a7dfe48024160c1bc3a4238b7f627473e2fdde3054966f2e8f925e5cdfef523adf5

Download Submit
C:\Users\Admin\AppData\Local\Temp\4CB8.tmp

Filesize
40KB

MD5
fbac93f03e30da1208541e5dda3b3662

SHA1
6d187a81b307e27aae18f61f717d24c1ce761618

SHA256
3e099b1d6b20eff4b7f0c5773bb8727e0ef2bc824617d74fb22de29099a0dc5c

SHA512
bb77dbf9862cc886694b7217d409d39d5e5caedd40bd12791d2895686280a53655e6c7cb4d4aa1306c0ba5b40be315d18ae27cb982ef33b587bb6e58e5c542d5

Download Submit
C:\Users\Admin\AppData\Local\Temp\4CF7.tmp

Filesize
50KB

MD5
f1cd64fc965b11cf0b22b5ad8035ee4f

SHA1
27e693e199fdebac4993a6715831caa9259a5af6

SHA256
c2fb13dad9f9b68bc57b4d7a29b03ff13c05f3ddf1030e366089fb45ecc55930

SHA512
d61d32862f3c2c84073db53bdf012e136e87b60b5609ab504009a8e83274a8e93e5488edd54f286fe72f7487057c18ffd6f0bbdbbfdafbeab66f21b2aa909f24

Download Submit
C:\Users\Admin\AppData\Local\Temp\4CF7.tmp

Filesize
17KB

MD5
668d3b330e7d330a96fbe3bb14b4bc58

SHA1
0fa8300c1e5c42c0850b02b4d31a15ff37ef1fcb

SHA256
181bee44e9d5b7f802197b77bcb41468ceced36029b0ed6c0bc7c89285c3c0d1

SHA512
ba623d064aa85d8321fa84fe73f897c8caabb84fb2a9e732600eb06a13d0fc508ef65f77e6cd2523a8cc3f6e4ee5b667e300c40c28a036791b410fe84f0021b2

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D45.tmp

Filesize
8KB

MD5
b37c530856282ea249182d0853b9e347

SHA1
bacaebdbf9a9dc96fa0c0192e71a447e14d7d5f7

SHA256
70d902dddb904987aa9475d418532acf5836801ae52dffbb5cf8f52db73996c3

SHA512
25e77109bea92cec3b48d4704c8866ac64cc42edbbfc64c6788e1145332e6cc7731ce826007846aefb7a0b2e12038e3514e86378215409e00a927121424150bb

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D45.tmp

Filesize
44KB

MD5
c60d90d1f1289c2e81d0d60043d58900

SHA1
b05fb36bf1a96afe6fc91633822f2f33121212b8

SHA256
120522ed8bd12447a06cf05fed011e4746aceea1280eec11146ab47ae2a589fb

SHA512
e6ffbf91718c2b4e3459518c211e18b2cd104edf066aee1e1a80a897aaba07f45448fe1461e88468bdb2a87a510fa94d515f00d1303d6c49615660a59602dae0

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D93.tmp

Filesize
17KB

MD5
5eb97062997d92e95cdf9280f1964623

SHA1
322fb82caa32df0b156cfaf76914ac43303263d6

SHA256
4b30cc18230f8daa8289869de84833ba67f15b498e82266b6fbf471a5a0d8871

SHA512
eafaccb9c7b23a2a9a5968c24585bc427de36aac60d59c46d2eb9b9da40ecaac23f57ee64ace56790620d0e556da778409f0c3974d0265c1123fb07c58035bb5

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D93.tmp

Filesize
33KB

MD5
1b4ec36b0848a8369ac698c7d6c68148

SHA1
e6a10f9efa4aeaf131ed04f0b5f2e393f2e3f1d2

SHA256
653012f26b58f7cc1472b610fca9b7a57d92f8979643f9455041d062ccb4b8da

SHA512
97407378c376ce795c29f36af4e29dc68830a6d4943df7a63dc868ec7c383613051dddafed9950bf99ace6d03f21a986199df62d50917f3fcb5304789c9d1340

Download Submit
C:\Users\Admin\AppData\Local\Temp\4DE1.tmp

Filesize
78KB

MD5
1c1e92112a7d080456654a2c87f22f1c

SHA1
d737194e2a8748b317f4fd00b4bcfea2d1295705

SHA256
7b578e4f9bc8bd5e977b329894c196e7d3e4f7738755d48d46b9a242b462ad5b

SHA512
d509fb3c1dd09f4831f2768f3b5b7b258a8ce264ebfef62b7b3e5b485328d7d5042932237885278b69c43a726b86e62ab83594d42d2a644aa64375b4d77466f5

Download Submit
C:\Users\Admin\AppData\Local\Temp\4DE1.tmp

Filesize
21KB

MD5
f54c6ca6793e2278c969bd570e092725

SHA1
a8cc82913248f7f387a0ba82343771b9d82ae340

SHA256
87eadf134456906a93f294975f908f16f05f43ba868cfe4cb22ac7cd1ba2fb9d

SHA512
fc7f779b4d0155a8ce73998c1897e24ca5594a0ff41d778256886a7a0bd4ad54b1c6d2ae2954b966b475850e9f6b5ee0ec9972cfa6954c78320195b762b64fe3

Download Submit
C:\Users\Admin\AppData\Local\Temp\4FA6.tmp

Filesize
541KB

MD5
9cd4f1cbe547c5691be1cebbe985d682

SHA1
c47238f3cd2d502e96cf403a4d1ad719fb7fcbef

SHA256
8b4c0e8f7e3b9a3baf0f30e8b8e327ee3bb79e162e523d39ca9cc8211c6c6a3a

SHA512
6c167a3c68f5fa52dc6914ddf47681a130888e97d247bd0d87ac8ed0523992f40a6b884eb360c938f0fbca2a80667fa7bddaeb2a9b34ca79c1080422dd419201

Download Submit
C:\Users\Admin\AppData\Local\Temp\4FA6.tmp

Filesize
1KB

MD5
2bcb443e8a22f0269c2f8f4e975a23e8

SHA1
1ca5ddfb778adb75e92036a03dd0955cee087a40

SHA256
1d151d6ed009e78114f1ac223afc8d59544592a5d66bb8dbb5d4f53aaf30751b

SHA512
8b6535614e512c11de8a6eda06c0a9378a0761f6c18878febfc76f7bde71bdde4c7c87527e66ec3af049817dc37780d2f95289373675262758e70e37f508584c

Download Submit
C:\Users\Admin\AppData\Local\Temp\5004.tmp

Filesize
43KB

MD5
e20d2369bdf69a5b190439c18eef42c6

SHA1
21e393b021b5f08ebdd67c89f85ea2c09bf72361

SHA256
fb01d7e716308f80089814f3f234fcc06686781b2bd26e89b37de6676b287dc5

SHA512
cef58f3177f4fa37daf5cbe7e3d614ea2d0611bf587a65923ef243b06ca106f4dd6e1855e41701510d88b32c5520f70862f9e0cbf4aae7236a17491e726c7dc8

Download Submit
C:\Users\Admin\AppData\Local\Temp\5052.tmp

Filesize
72KB

MD5
b3d2a0fb894302af962a29e662a5030a

SHA1
9772069040feda86e1e3bb92e8cd9496d3c2922b

SHA256
91523610cc93e5739f987a99f5a30582a9c43e3d1f1fb7a930860e2521c11fdc

SHA512
a0a5b75e9879de5b006061a286a9be0269f09a1808caa40782c29687cc7c64cd1bf1913eb4594bff2ad863faf60409f88e3c22a28b6abb643ba40c38add29eff

Download Submit
C:\Users\Admin\AppData\Local\Temp\5052.tmp

Filesize
93KB

MD5
10656466f080c9fa094a019e6d5a8fad

SHA1
9b15850b356b40169dfc0f9bd90feb7265c77424

SHA256
e90ec7327f66a83a720a6822fe990bc167fd8e3a4824587d55835476bd410589

SHA512
7e3ac3faf50411498d822bb75650c160aef954930affa7a48e259dc95cf69695b843c551e6be23aaeae892e172cf56d9eeab5b04aefa511116a9402dca2c2134

Download Submit
C:\Users\Admin\AppData\Local\Temp\50B0.tmp

Filesize
541KB

MD5
b20461ae38bf41da547864704b3ece6f

SHA1
c3b37daa00dd2ec583306105f4f8cbf001206f46

SHA256
308b13647ce045f2bb0d718a76a5371e8b2fa977991635b4819f763ececce6fe

SHA512
9acc0bdbd37e8dbcbbfee47c5ddc752ee3071ae070efc31aacb05bd924122377f87fff59e2c19f6e67cedb6d128589945e0e8a9e8dc93a9c529beebda8a1ca2d

Download Submit
C:\Users\Admin\AppData\Local\Temp\50B0.tmp

Filesize
57KB

MD5
9a864ca331e9386ab4e58ec6a22204d8

SHA1
87f46e611ae943fd9cb1c3347801f337a8806be1

SHA256
1e38a5d5098433d3bd05d50b4a473f071eb9195edf9ad074ab2ccb58caf9e6a4

SHA512
4119d0f48ca7edc375d75c5334d1aff179c8f8b01fa45a15031d435d3eb4351457de1014c37cdf3d8f8d306ddf0e1dd8e8683edc8327beb3877485a494386260

Download Submit
C:\Users\Admin\AppData\Local\Temp\510E.tmp

Filesize
57KB

MD5
34651d1334a248d0e72e422695e05b19

SHA1
4338b4042d441ddc9d82cffa28dc4222259a8417

SHA256
ede185004a468fa95273ec2edec4262915ba6dab79ced90d493cea88a73015a8

SHA512
5ccd2a5f37e6058d81cdd4a594a9ac56f26dff3ee97bf1622b5aaaa5cb8256813ed9cc96f0821ad8be91ff29baa006cdad3b8d45f9f3733266e75bc753e69853

Download Submit
C:\Users\Admin\AppData\Local\Temp\510E.tmp

Filesize
157KB

MD5
7ce7085597f75f4ebc2477cb02afc631

SHA1
63cfd78cdc8c421703181b8becd1522903109992

SHA256
6b4a35aa137b2b9b05a0a3c49f9fc38ca552835eeeb4399014d49688b545a607

SHA512
9b856a467631dd0df0627b44577f58f70cad7d0f478e24f0335cb05fb0cc27cbfb0c007d6f133ce03e5a1c78985cce12cef44380e6b9274c4c578b35d3777e38

Download Submit
C:\Users\Admin\AppData\Local\Temp\515C.tmp

Filesize
541KB

MD5
1f1273f20f1c2f6fa84fe05ad8519e52

SHA1
5c54a62bc7301d6d65a7466653cca1b6691c3bf8

SHA256
fb34cb738166828b16ec2b7bb5146287259676e6616555f7f930f9d23515246c

SHA512
62e15b8f818fe9af2905755e74eede56f9c601ea23d2d4fdbcea0990cb32146c96d03b6492a56b3437a74533b411b49044d52a594e874df92ebd13333174cefd

Download Submit
C:\Users\Admin\AppData\Local\Temp\515C.tmp

Filesize
52KB

MD5
7b95df090772da74b8afd4061b37f8eb

SHA1
2dce9d3fb41b84ba00728186d7464486f033c51a

SHA256
9457ae25d53acc16a18ad1d85b25a3606c62c20a36fd6b6c084f407dc46b28a0

SHA512
b2581164c2a84d231ea3a3ed1a855389e9b9a09641aebd89214e3bf1ad14afbfd213b8f13a763234ca09accdafbe41e5cab1e56dd2d17717bd1bf8efd405e5d0

Download Submit
C:\Users\Admin\AppData\Local\Temp\51BA.tmp

Filesize
21KB

MD5
cdb46d7ce789f7311ae198c38ceae426

SHA1
77f162c86ac2159ce90c0522b44f154b98fcbbef

SHA256
a4b737ce4942073c844710753537d5331c3964cd2ed5388bf1eefcb76cbf752b

SHA512
9f07282fa07fe80f26253e3cbbd9ada00f4ecdd332aba0b73399f1737032f312c3341771fc9a089acc1dbaa3b2574204f37d977bc54caeb22eb5b9c0c2205570

Download Submit
C:\Users\Admin\AppData\Local\Temp\51BA.tmp

Filesize
29KB

MD5
abe975d21c289ddb0e691855cc754d91

SHA1
f2566ff03a895476743a4fd7911da8048b400df8

SHA256
3c832166d1691bc4aee86461224f9b8faebb9e35d50153b46fe7e7c605542d62

SHA512
f50712f9bc84091c8c8b322786b75a0e3e8ec0452fffa2e512eeb54f5a81b67b027660f48bafd56b6e6ab51dffb7208414ece50a37f2ce71eeb5bbb8a20f1c03

Download Submit
C:\Users\Admin\AppData\Local\Temp\5208.tmp

Filesize
28KB

MD5
bfca893072c2a7f54206c58e27affe4a

SHA1
e5cde985b6f5e2e23f27d703501d22635eea2ccf

SHA256
ed006d10ef2a5502acf6fb70d256646f0c0a79aa74af7bd614a5acaf4392782e

SHA512
5ae9305c9a010b2770b55b81e5369b266ef3d00d5b7d5e22d897442770ab344b578259c6d53d4933f9ecd6a9a2fecc62f9299ac5c0fdf851221d79afabd3e339

Download Submit
C:\Users\Admin\AppData\Local\Temp\5208.tmp

Filesize
44KB

MD5
33010dd4c4ba75abe8e931bf7c2aecc1

SHA1
5fe3a1fe6c24d4745eb9f3023110bf576fe0d3aa

SHA256
37f15d321b35bbe2f7dd5921c493622ce8a9f97c3a7f98535549206428a613dd

SHA512
929e449b8ec183f6fb46e58ef1f43f822d87460d97e0b5d00e6c2490d6fca62622cd8ecbc5847adf4302324b308b4120563b02a6501f2f8e1f72e895548aca3b

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads