Analysis
-
max time kernel
111s -
max time network
146s -
platform
windows10-2004_x64 -
resource
win10v2004-20231222-en -
resource tags
arch:x64arch:x86image:win10v2004-20231222-enlocale:en-usos:windows10-2004-x64system -
submitted
14-02-2024 13:33
Behavioral task
behavioral1
Sample
9bcee627a1e4caf0ce3fd76712c3a3d6.exe
Resource
win7-20231215-en
Behavioral task
behavioral2
Sample
9bcee627a1e4caf0ce3fd76712c3a3d6.exe
Resource
win10v2004-20231222-en
General
-
Target
9bcee627a1e4caf0ce3fd76712c3a3d6.exe
-
Size
13.0MB
-
MD5
9bcee627a1e4caf0ce3fd76712c3a3d6
-
SHA1
dfa751e784b6bc70faa287ee314661862d3db3b6
-
SHA256
9b856c6a571edd8c70305158af1f1449e78ba9e1907a24790e2e7729c1fd2c3e
-
SHA512
c56be0bb29a88b2245ec09683e5b76ae65274b548ca9de0d228b0893c47736d9f070f6201f0dbd909bdc94224489fbb1f008241b469a367ab27ab3334839c824
-
SSDEEP
196608:yU7d9xZSt4U7d9xZStSU7d9xZSt4U7d9xZStY:D7d9xZo7d9xZS7d9xZo7d9xZH
Malware Config
Signatures
-
Modifies WinLogon for persistence 2 TTPs 1 IoCs
description ioc Process Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\explorer.exe" explorer.exe -
Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs
description ioc Process Set value (int) \REGISTRY\USER\S-1-5-21-1168293393-3419776239-306423207-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0" explorer.exe -
WarzoneRat, AveMaria
WarzoneRat is a native RAT developed in C++ with multiple plugins sold as a MaaS.
-
Warzone RAT payload 45 IoCs
resource yara_rule behavioral2/files/0x0009000000023223-35.dat warzonerat behavioral2/files/0x0009000000023223-37.dat warzonerat behavioral2/files/0x0009000000023223-38.dat warzonerat behavioral2/files/0x0009000000023223-42.dat warzonerat behavioral2/files/0x0008000000023221-67.dat warzonerat behavioral2/files/0x0008000000023220-64.dat warzonerat behavioral2/files/0x0009000000023223-63.dat warzonerat behavioral2/files/0x0004000000000715-84.dat warzonerat behavioral2/files/0x0004000000000715-83.dat warzonerat behavioral2/files/0x0004000000000715-87.dat warzonerat behavioral2/files/0x0004000000000715-94.dat warzonerat behavioral2/files/0x0004000000000715-105.dat warzonerat behavioral2/files/0x0004000000000715-111.dat warzonerat behavioral2/files/0x0004000000000715-124.dat warzonerat behavioral2/files/0x0004000000000715-133.dat warzonerat behavioral2/files/0x0004000000000715-138.dat warzonerat behavioral2/files/0x0004000000000715-148.dat warzonerat behavioral2/files/0x0004000000000715-152.dat warzonerat behavioral2/files/0x0004000000000715-165.dat warzonerat behavioral2/files/0x0004000000000715-170.dat warzonerat behavioral2/files/0x0004000000000715-179.dat warzonerat behavioral2/files/0x0004000000000715-183.dat warzonerat behavioral2/files/0x0004000000000715-194.dat warzonerat behavioral2/files/0x0004000000000715-199.dat warzonerat behavioral2/files/0x0004000000000715-209.dat warzonerat behavioral2/files/0x0004000000000715-213.dat warzonerat behavioral2/files/0x0004000000000715-227.dat warzonerat behavioral2/files/0x0004000000000715-237.dat warzonerat behavioral2/files/0x0004000000000715-272.dat warzonerat behavioral2/files/0x0004000000000715-275.dat warzonerat behavioral2/files/0x0004000000000715-286.dat warzonerat behavioral2/files/0x0004000000000715-288.dat warzonerat behavioral2/files/0x0004000000000715-291.dat warzonerat behavioral2/files/0x0004000000000715-295.dat warzonerat behavioral2/files/0x0004000000000715-304.dat warzonerat behavioral2/files/0x0004000000000715-306.dat warzonerat behavioral2/files/0x0004000000000715-317.dat warzonerat behavioral2/files/0x0004000000000715-323.dat warzonerat behavioral2/files/0x0004000000000715-327.dat warzonerat behavioral2/files/0x0004000000000715-331.dat warzonerat behavioral2/files/0x0004000000000715-329.dat warzonerat behavioral2/files/0x0004000000000715-335.dat warzonerat behavioral2/files/0x0004000000000715-337.dat warzonerat behavioral2/files/0x0004000000000715-345.dat warzonerat behavioral2/files/0x0004000000000715-343.dat warzonerat -
Modifies Installed Components in the registry 2 TTPs 2 IoCs
description ioc Process Key created \REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666} explorer.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "C:\\Users\\Admin\\AppData\\Roaming\\mrsys.exe MR" explorer.exe -
Drops startup file 6 IoCs
description ioc Process File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs cmd.exe File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs spoolsv.exe File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs spoolsv.exe File created C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs cmd.exe File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs cmd.exe File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs cmd.exe -
Executes dropped EXE 28 IoCs
pid Process 1784 explorer.exe 3788 explorer.exe 528 explorer.exe 2748 spoolsv.exe 3080 spoolsv.exe 4400 spoolsv.exe 5012 spoolsv.exe 2912 spoolsv.exe 1904 spoolsv.exe 4520 spoolsv.exe 3084 spoolsv.exe 800 spoolsv.exe 4464 spoolsv.exe 2028 spoolsv.exe 672 spoolsv.exe 4004 spoolsv.exe 4540 spoolsv.exe 3468 spoolsv.exe 2500 spoolsv.exe 3760 spoolsv.exe 4060 spoolsv.exe 4300 spoolsv.exe 452 spoolsv.exe 3568 spoolsv.exe 1764 spoolsv.exe 3224 spoolsv.exe 2380 spoolsv.exe 3756 spoolsv.exe -
resource yara_rule behavioral2/memory/3820-0-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/memory/3820-4-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0009000000023223-35.dat upx behavioral2/files/0x0009000000023223-37.dat upx behavioral2/files/0x0009000000023223-38.dat upx behavioral2/files/0x0009000000023223-42.dat upx behavioral2/memory/1784-45-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0008000000023221-67.dat upx behavioral2/files/0x0008000000023220-64.dat upx behavioral2/files/0x0009000000023223-63.dat upx behavioral2/files/0x0004000000000715-84.dat upx behavioral2/files/0x0004000000000715-83.dat upx behavioral2/memory/2748-85-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0004000000000715-87.dat upx behavioral2/memory/2748-91-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0004000000000715-94.dat upx behavioral2/memory/4400-98-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0004000000000715-105.dat upx behavioral2/files/0x0004000000000715-111.dat upx behavioral2/memory/2912-122-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0004000000000715-124.dat upx behavioral2/memory/4520-135-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0004000000000715-133.dat upx behavioral2/files/0x0004000000000715-138.dat upx behavioral2/memory/800-143-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0004000000000715-148.dat upx behavioral2/files/0x0004000000000715-152.dat upx behavioral2/memory/2028-158-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0004000000000715-165.dat upx behavioral2/files/0x0004000000000715-170.dat upx behavioral2/memory/4004-177-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0004000000000715-179.dat upx behavioral2/files/0x0004000000000715-183.dat upx behavioral2/memory/3468-190-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0004000000000715-194.dat upx behavioral2/files/0x0004000000000715-199.dat upx behavioral2/memory/3760-203-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0004000000000715-209.dat upx behavioral2/files/0x0004000000000715-213.dat upx behavioral2/memory/4300-215-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0004000000000715-227.dat upx behavioral2/memory/3568-233-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0004000000000715-237.dat upx behavioral2/memory/3224-244-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/memory/3756-269-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0004000000000715-272.dat upx behavioral2/files/0x0004000000000715-275.dat upx behavioral2/memory/2340-280-0x0000000000400000-0x0000000000446000-memory.dmp upx behavioral2/files/0x0004000000000715-286.dat upx behavioral2/files/0x0004000000000715-288.dat upx behavioral2/files/0x0004000000000715-291.dat upx behavioral2/files/0x0004000000000715-295.dat upx behavioral2/files/0x0004000000000715-304.dat upx behavioral2/files/0x0004000000000715-306.dat upx behavioral2/files/0x0004000000000715-317.dat upx behavioral2/files/0x0004000000000715-323.dat upx behavioral2/files/0x0004000000000715-327.dat upx behavioral2/files/0x0004000000000715-331.dat upx behavioral2/files/0x0004000000000715-329.dat upx behavioral2/files/0x0004000000000715-335.dat upx behavioral2/files/0x0004000000000715-337.dat upx behavioral2/files/0x0004000000000715-345.dat upx behavioral2/files/0x0004000000000715-343.dat upx -
Adds Run key to start application 2 TTPs 4 IoCs
description ioc Process Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Svchost = "c:\\windows\\system\\svchost.exe RO" explorer.exe Set value (str) \REGISTRY\USER\S-1-5-21-1168293393-3419776239-306423207-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft OneDrive = "C:\\Users\\Admin\\AppData\\Local\\Chrome\\StikyNot.exe" 9bcee627a1e4caf0ce3fd76712c3a3d6.exe Set value (str) \REGISTRY\USER\S-1-5-21-1168293393-3419776239-306423207-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft OneDrive = "C:\\Users\\Admin\\AppData\\Local\\Chrome\\StikyNot.exe" explorer.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Explorer = "c:\\windows\\system\\explorer.exe RO" explorer.exe -
Suspicious use of SetThreadContext 18 IoCs
description pid Process procid_target PID 3820 set thread context of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 2996 set thread context of 4088 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 94 PID 2996 set thread context of 4580 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 95 PID 1784 set thread context of 3788 1784 explorer.exe 99 PID 3788 set thread context of 528 3788 explorer.exe 100 PID 3788 set thread context of 868 3788 explorer.exe 101 PID 2748 set thread context of 3080 2748 spoolsv.exe 105 PID 4400 set thread context of 5012 4400 spoolsv.exe 109 PID 2912 set thread context of 1904 2912 spoolsv.exe 113 PID 4520 set thread context of 3084 4520 spoolsv.exe 117 PID 800 set thread context of 4464 800 spoolsv.exe 121 PID 2028 set thread context of 672 2028 spoolsv.exe 125 PID 4004 set thread context of 4540 4004 spoolsv.exe 129 PID 3468 set thread context of 2500 3468 spoolsv.exe 133 PID 3760 set thread context of 4060 3760 spoolsv.exe 137 PID 4300 set thread context of 452 4300 spoolsv.exe 141 PID 3568 set thread context of 1764 3568 spoolsv.exe 145 PID 3224 set thread context of 2380 3224 spoolsv.exe 149 -
Drops file in Windows directory 16 IoCs
description ioc Process File opened for modification \??\c:\windows\system\explorer.exe explorer.exe File opened for modification \??\c:\windows\system\spoolsv.exe spoolsv.exe File opened for modification \??\c:\windows\system\spoolsv.exe spoolsv.exe File opened for modification \??\c:\windows\system\spoolsv.exe spoolsv.exe File opened for modification \??\c:\windows\system\spoolsv.exe spoolsv.exe File opened for modification \??\c:\windows\system\spoolsv.exe spoolsv.exe File opened for modification \??\c:\windows\system\explorer.exe 9bcee627a1e4caf0ce3fd76712c3a3d6.exe File opened for modification \??\c:\windows\system\spoolsv.exe spoolsv.exe File opened for modification \??\c:\windows\system\spoolsv.exe spoolsv.exe File opened for modification \??\c:\windows\system\explorer.exe explorer.exe File opened for modification \??\c:\windows\system\spoolsv.exe spoolsv.exe File opened for modification \??\c:\windows\system\spoolsv.exe spoolsv.exe File opened for modification \??\c:\windows\system\spoolsv.exe spoolsv.exe File opened for modification \??\c:\windows\system\spoolsv.exe spoolsv.exe File opened for modification \??\c:\windows\system\spoolsv.exe explorer.exe File opened for modification \??\c:\windows\system\spoolsv.exe spoolsv.exe -
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
Program crash 4 IoCs
pid pid_target Process procid_target 964 4360 WerFault.exe 199 2276 3316 WerFault.exe 444 1348 1552 WerFault.exe 492 4864 2524 WerFault.exe 490 -
Suspicious behavior: EnumeratesProcesses 56 IoCs
pid Process 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 4088 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 4088 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 1784 explorer.exe 1784 explorer.exe 2748 spoolsv.exe 2748 spoolsv.exe 528 explorer.exe 528 explorer.exe 528 explorer.exe 528 explorer.exe 4400 spoolsv.exe 4400 spoolsv.exe 528 explorer.exe 528 explorer.exe 2912 spoolsv.exe 2912 spoolsv.exe 528 explorer.exe 528 explorer.exe 4520 spoolsv.exe 4520 spoolsv.exe 528 explorer.exe 528 explorer.exe 800 spoolsv.exe 800 spoolsv.exe 528 explorer.exe 528 explorer.exe 2028 spoolsv.exe 2028 spoolsv.exe 528 explorer.exe 528 explorer.exe 4004 spoolsv.exe 4004 spoolsv.exe 528 explorer.exe 528 explorer.exe 3468 spoolsv.exe 3468 spoolsv.exe 528 explorer.exe 528 explorer.exe 3760 spoolsv.exe 3760 spoolsv.exe 528 explorer.exe 528 explorer.exe 4300 spoolsv.exe 4300 spoolsv.exe 528 explorer.exe 528 explorer.exe 3568 spoolsv.exe 3568 spoolsv.exe 528 explorer.exe 528 explorer.exe 3224 spoolsv.exe 3224 spoolsv.exe 528 explorer.exe 528 explorer.exe -
Suspicious use of SetWindowsHookEx 34 IoCs
pid Process 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 4088 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 4088 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 1784 explorer.exe 1784 explorer.exe 528 explorer.exe 528 explorer.exe 2748 spoolsv.exe 2748 spoolsv.exe 528 explorer.exe 528 explorer.exe 4400 spoolsv.exe 4400 spoolsv.exe 2912 spoolsv.exe 2912 spoolsv.exe 4520 spoolsv.exe 4520 spoolsv.exe 800 spoolsv.exe 800 spoolsv.exe 2028 spoolsv.exe 2028 spoolsv.exe 4004 spoolsv.exe 4004 spoolsv.exe 3468 spoolsv.exe 3468 spoolsv.exe 3760 spoolsv.exe 3760 spoolsv.exe 4300 spoolsv.exe 4300 spoolsv.exe 3568 spoolsv.exe 3568 spoolsv.exe 3224 spoolsv.exe 3224 spoolsv.exe -
Suspicious use of WriteProcessMemory 64 IoCs
description pid Process procid_target PID 3820 wrote to memory of 4692 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 83 PID 3820 wrote to memory of 4692 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 83 PID 3820 wrote to memory of 4692 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 83 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 3820 wrote to memory of 2996 3820 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 85 PID 2996 wrote to memory of 4088 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 94 PID 2996 wrote to memory of 4088 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 94 PID 2996 wrote to memory of 4088 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 94 PID 2996 wrote to memory of 4088 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 94 PID 2996 wrote to memory of 4088 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 94 PID 2996 wrote to memory of 4088 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 94 PID 2996 wrote to memory of 4088 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 94 PID 2996 wrote to memory of 4088 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 94 PID 2996 wrote to memory of 4580 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 95 PID 2996 wrote to memory of 4580 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 95 PID 2996 wrote to memory of 4580 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 95 PID 2996 wrote to memory of 4580 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 95 PID 2996 wrote to memory of 4580 2996 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 95 PID 4088 wrote to memory of 1784 4088 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 96 PID 4088 wrote to memory of 1784 4088 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 96 PID 4088 wrote to memory of 1784 4088 9bcee627a1e4caf0ce3fd76712c3a3d6.exe 96 PID 1784 wrote to memory of 1460 1784 explorer.exe 98 PID 1784 wrote to memory of 1460 1784 explorer.exe 98 PID 1784 wrote to memory of 1460 1784 explorer.exe 98 PID 1784 wrote to memory of 3788 1784 explorer.exe 99 PID 1784 wrote to memory of 3788 1784 explorer.exe 99 PID 1784 wrote to memory of 3788 1784 explorer.exe 99 PID 1784 wrote to memory of 3788 1784 explorer.exe 99 PID 1784 wrote to memory of 3788 1784 explorer.exe 99 PID 1784 wrote to memory of 3788 1784 explorer.exe 99 PID 1784 wrote to memory of 3788 1784 explorer.exe 99 PID 1784 wrote to memory of 3788 1784 explorer.exe 99 PID 1784 wrote to memory of 3788 1784 explorer.exe 99 PID 1784 wrote to memory of 3788 1784 explorer.exe 99 PID 1784 wrote to memory of 3788 1784 explorer.exe 99 PID 1784 wrote to memory of 3788 1784 explorer.exe 99 PID 1784 wrote to memory of 3788 1784 explorer.exe 99
Processes
-
C:\Users\Admin\AppData\Local\Temp\9bcee627a1e4caf0ce3fd76712c3a3d6.exe"C:\Users\Admin\AppData\Local\Temp\9bcee627a1e4caf0ce3fd76712c3a3d6.exe"1⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:3820 -
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "C:\Users\Admin\AppData\Local\Temp\9bcee627a1e4caf0ce3fd76712c3a3d6.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"2⤵
- Drops startup file
PID:4692
-
-
C:\Users\Admin\AppData\Local\Temp\9bcee627a1e4caf0ce3fd76712c3a3d6.exeC:\Users\Admin\AppData\Local\Temp\9bcee627a1e4caf0ce3fd76712c3a3d6.exe2⤵
- Adds Run key to start application
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:2996 -
C:\Users\Admin\AppData\Local\Temp\9bcee627a1e4caf0ce3fd76712c3a3d6.exeC:\Users\Admin\AppData\Local\Temp\9bcee627a1e4caf0ce3fd76712c3a3d6.exe3⤵
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:4088 -
\??\c:\windows\system\explorer.exec:\windows\system\explorer.exe4⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1784 -
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\explorer.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"5⤵
- Drops startup file
PID:1460
-
-
\??\c:\windows\system\explorer.exec:\windows\system\explorer.exe5⤵
- Executes dropped EXE
- Adds Run key to start application
- Suspicious use of SetThreadContext
PID:3788 -
\??\c:\windows\system\explorer.exec:\windows\system\explorer.exe6⤵
- Modifies WinLogon for persistence
- Modifies visiblity of hidden/system files in Explorer
- Modifies Installed Components in the registry
- Executes dropped EXE
- Adds Run key to start application
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:528 -
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:2748 -
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:2376
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
PID:3080 -
C:\Windows\SysWOW64\diskperf.exe"C:\Windows\SysWOW64\diskperf.exe"9⤵PID:5044
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1536
-
\??\c:\windows\system\explorer.exec:\windows\system\explorer.exe10⤵PID:3316
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3316 -s 58011⤵
- Program crash
PID:2276
-
-
-
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:4400 -
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵
- Drops startup file
PID:3960
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
PID:5012 -
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2212
-
-
C:\Windows\SysWOW64\diskperf.exe"C:\Windows\SysWOW64\diskperf.exe"9⤵PID:860
-
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:2912 -
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵
- Drops startup file
PID:4884
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
PID:1904 -
C:\Windows\SysWOW64\diskperf.exe"C:\Windows\SysWOW64\diskperf.exe"9⤵PID:3760
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4204
-
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:4520 -
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:2416
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
PID:3084
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵
- Executes dropped EXE
PID:800 -
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:2888
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
PID:4464
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:2028 -
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:412
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
PID:672
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:4004
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:3216
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
PID:4540
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:3468
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:2252
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
PID:2500
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:3760
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
PID:4060
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:4300
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:2788
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
PID:452
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:3568 -
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:936
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
PID:1764
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:3224
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:2924
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
PID:2380
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:3756
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:2344
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:732
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:2340
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:3252
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3012
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3596
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3032
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:5064
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:860
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2856
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4592
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:976
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4184
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3204
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4064
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2968
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:316
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2832
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3524
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5024
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3120
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2256
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:4300
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2788
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5112
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1116
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1468
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4424
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2440
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:388
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4084
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:840
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4076
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4380
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5036
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1436
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3412
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1676
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1940
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1472
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1672
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4396
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1784
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3576
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:3468
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2408
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3364
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2252
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4716
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1300
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4684
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2916
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1616
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2388
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1608
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3164
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2080
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3216
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3008
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4480
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3704
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1092
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:724
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Drops startup file
PID:412
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:964
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4988
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3560
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3232
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1768
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1660
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Suspicious use of SetThreadContext
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:800
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1944
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3052
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5076
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5004
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1736
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2964
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3196
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1368
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1372
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4324
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3348
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:948
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1232
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4884
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2664
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:228
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2872
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:4360
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4360 -s 5048⤵
- Program crash
PID:964
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:3008
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:4764
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5048
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:4304
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:716
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1976
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:4196
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:4796
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Drops startup file
PID:2924
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:4700
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:5116
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:2240
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1368
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1516
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3212
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2708
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2264
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3260
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4688
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4468
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5056
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2892
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2072
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1872
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3272
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1460
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3624
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3664
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4676
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2904
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1668
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4436
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4956
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:5016
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:4796
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1744
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3752
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4728
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4264
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3224
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1460
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5044
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3664
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4388
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1668
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4436
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1280
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2100
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1712
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4524
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3052
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2968
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:412
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2232
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3756
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3168
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3324
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3860
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2664
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:228
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2212
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4004
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:832
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3612
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4724
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4144
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4376
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4072
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4908
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3264
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2340
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3816
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2376
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1536
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3836
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3128
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2344
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4536
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:744
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4552
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1368
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2572
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3520
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:512
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2644
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1284
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5096
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3108
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1816
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2140
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:716
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4776
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:3760
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3700
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3492
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1244
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4560
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1348
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3604
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1628
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5104
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1936
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2196
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3984
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5100
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4040
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4204
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1020
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3348
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3480
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:448
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3256
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4320
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2868
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3744
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:4304
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:4236
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3484
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:216
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:1840
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:640
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:2660
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:2872
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3728
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5104
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1628
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2112
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1448
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4908
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4900
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:4004
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2276
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4468
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1464
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4236
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3716
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3736
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1372
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2568
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:964
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3552
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2336
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2892
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3368
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1948
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:888
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2032
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4328
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4280
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3276
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3664
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4676
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5044
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:936
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1924
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4692
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3040
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2968
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1092
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3704
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2020
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2664
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4872
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3320
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3856
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2340
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3816
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4528
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3128
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1664
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4536
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2948
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4552
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4592
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:512
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2644
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5096
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3108
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2140
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3476
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4776
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2080
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1944
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4728
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:908
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3984
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4292
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:912
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3360
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3480
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4180
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3348
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4544
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4796
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3744
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1872
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3488
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1580
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3624
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4360
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4988
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4700
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3508
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:2316
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:4488
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3756
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5056
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3252
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2572
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4820
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3320
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1956
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2172
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4236
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5116
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3368
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4400
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1948
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2308
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1464
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3276
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3664
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4388
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:936
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2100
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3040
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2276
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:412
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2664
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4324
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4900
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4908
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2376
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3124
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1664
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:744
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:512
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2024
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3452
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3476
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4776
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2112
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1244
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1628
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:1372
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:2164
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3492
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:3204
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:1136
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4692
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1512
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4272
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2344
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1884
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1232
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4180
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1628
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3476
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:880
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2868
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3764
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4964
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3888
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:8
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2352
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4588
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1524
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3596
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:964
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4236
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2892
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4400
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2524
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1464
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2072
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4388
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2904
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1956
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1924
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:412
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3860
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3320
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4376
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2376
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4820
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3128
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:744
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4884
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2024
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3760
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2080
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3932
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3752
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1744
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:912
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1872
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1580
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3488
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2484
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4000
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:828
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3272
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:976
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:228
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4172
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3052
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4072
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1684
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3548
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:1516
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:3988
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3864
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4032
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4796
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3728
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5056
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:4348
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4844
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:3700
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4820
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:744
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3320
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2100
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3108
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1244
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4292
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5100
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4544
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2484
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4848
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2432
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2304
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:1552
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1552 -s 5568⤵
- Program crash
PID:1348
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:4988
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4536
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4264
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4360
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3324
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3128
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2664
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3596
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1972
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3280
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:180
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4328
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3240
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3168
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2708
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4120
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1712
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3628
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4724
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4528
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4400
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2736
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2316
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2604
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1588
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3008
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3260
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1816
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3204
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:624
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:440
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2016
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3620
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3500
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4876
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4844
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2568
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3552
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3564
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3240
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2020
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4872
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1148
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4536
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1068
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2140
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4264
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4728
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:908
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1228
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3764
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3212
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1344
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4236
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5092
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3320
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:744
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3476
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4292
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4544
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4108
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2432
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:624
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1884
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4388
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:440
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:412
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4368
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2108
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4884
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3932
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3488
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3508
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2948
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:228
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:828
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2912
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:832
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2168
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3256
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2196
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:436
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4348
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2348
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3012
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1136
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4692
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1020
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1716
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3716
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4752
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4308
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2020
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1000
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:320
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3916
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:908
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2460
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4928
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2928
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3704
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:3500
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:3272
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4876
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3052
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:716
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3508
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4368
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:936
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2432
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2484
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2344
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4544
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4280
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:964
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3224
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4964
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1944
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1228
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3764
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1524
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2604
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2316
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3604
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:5104
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4784
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4292
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4204
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:5100
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4180
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4796
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4320
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1872
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4108
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1580
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3864
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3508
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2432
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4032
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:64
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4256
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2304
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4372
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4196
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1668
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1280
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3324
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3688
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:832
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2496
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3836
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4984
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3520
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2192
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:3224
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3700
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4512
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1936
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2016
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"10⤵PID:3520
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:384
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1164
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1208
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1076
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:856
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1816
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:2392
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3836
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:8
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1192
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5116
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1512
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4872
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4304
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:2764
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4832
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:908
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1216
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:2308
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3012
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4468
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4984
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4784
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:2196
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3052
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5104
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1280
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:228
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3932
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:2904
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:2080
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4460
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:624
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:2664
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4236
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4544
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:964
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3008
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3744
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:2164
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3260
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3596
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3360
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3624
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3280
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1712
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4372
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:2708
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:180
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5000
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1744
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1928
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1152
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:2596
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:912
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:832
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3040
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:2304
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4596
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1168
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4892
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1000
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4760
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:936
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4324
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3816
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:2240
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1344
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:548
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1276
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5032
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4608
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:696
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:2736
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3324
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:4728
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:2416
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5128
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:1136
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:3552
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5140
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5152
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5160
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5168
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5180
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5188
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5196
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5204
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5212
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5220
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5228
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5260
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe10⤵PID:5284
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3620
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4272
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:5060
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4956
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:724
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3228
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4400
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3744
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3792
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1884
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3128
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2112
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3820
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:948
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3136
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:228
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:828
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1108
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:436
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3996
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2348
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4784
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1068
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1716
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4264
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2308
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4468
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3552
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3816
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3916
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1216
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:908
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4832
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2764
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:4552
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1304
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1512
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:212
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1092
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2416
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:5116
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1280
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1924
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1712
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4692
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3864
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4360
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1956
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:724
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:412
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1092
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4988
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2432
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵
- Executes dropped EXE
PID:3756
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2276
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3324
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2020
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1232
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2664
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:228
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1004
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3688
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2212
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:832
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:432
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3444
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4724
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4900
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3136
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4376
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4908
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1148
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4844
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4820
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:928
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2340
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1684
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4460
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2376
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1664
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2164
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3836
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3572
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2344
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4984
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2864
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:744
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3548
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2872
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4592
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1068
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2692
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2024
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1828
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:512
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:4696
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2192
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:2316
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:3108
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe9⤵PID:1716
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:1552
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2240
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:2868
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe8⤵PID:3924
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:2016
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe SE7⤵PID:5464
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"8⤵PID:5504
-
-
-
-
C:\Windows\SysWOW64\diskperf.exe"C:\Windows\SysWOW64\diskperf.exe"6⤵PID:868
-
-
-
-
-
C:\Windows\SysWOW64\diskperf.exe"C:\Windows\SysWOW64\diskperf.exe"3⤵PID:4580
-
-
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"1⤵PID:3536
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:1020
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4780
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4984
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4032
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4204
-
\??\c:\windows\system\explorer.exec:\windows\system\explorer.exe2⤵PID:2524
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2524 -s 5683⤵
- Program crash
PID:4864
-
-
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:1516
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:1840
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:3836
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:2164
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4248
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:1536
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:2376
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:1684
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:3596
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4488
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:912
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4820
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:2496
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4908
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:432
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:3444
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:832
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:1884
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4588
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4004
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:1372
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:3552
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:2020
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 444 -p 4360 -ip 43601⤵PID:4364
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:1232
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:3508
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:2664
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:1004
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:5104
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:2212
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:1936
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4728
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:3212
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:908
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4784
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4724
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4900
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:3136
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4376
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:1148
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:2016
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:1352
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:4528
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:1744
-
\??\c:\windows\system\spoolsv.exec:\windows\system\spoolsv.exe1⤵PID:2108
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"1⤵PID:3316
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 3316 -ip 33161⤵PID:2644
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"1⤵PID:3444
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"1⤵PID:3224
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 1552 -ip 15521⤵PID:2352
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 2524 -ip 25241⤵PID:1228
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"1⤵PID:2764
-
C:\Windows\system32\dwm.exe"dwm.exe"1⤵PID:512
-
C:\Windows\system32\dwm.exe"dwm.exe"1⤵PID:4552
-
C:\Windows\system32\dwm.exe"dwm.exe"1⤵PID:5328
Network
MITRE ATT&CK Enterprise v15
Persistence
Boot or Logon Autostart Execution
3Registry Run Keys / Startup Folder
2Winlogon Helper DLL
1Privilege Escalation
Boot or Logon Autostart Execution
3Registry Run Keys / Startup Folder
2Winlogon Helper DLL
1Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
9.4MB
MD5bd5b19fd647476355dea52a80d2a5bb0
SHA120c07c1c0aa2aa7e1367c7cb16933ab84e04bc73
SHA256d7a5c7b01455f23c2135d46e490e54c595c67628ea62213daac901ff7facff5e
SHA512d147aeffdbca62635985992aff12744a129c116c562ca3fb0c4ae88e5cb7f01e64d60d3cb9319daa00fd85345f47e20a3a187775b144e41d56ec30ff518e71a4
-
Filesize
10.1MB
MD5eaee85b7341d03d64f6df65fe77a15ac
SHA14670c6caf4a06f1208d48edbaac918054efab64b
SHA25691336082c6ff98cc83ecddb09a7e27dfac94f0e514dd14c443d6d2c064b4e320
SHA512c824a0e079aac52d0950210612258306537eda42c9ac777fff0f930d01c8b28e0fde7e4a446db7909503ad3fcfd557211bf4f330acbf1eb211d4c6ffb80190ca
-
Filesize
92B
MD513222a4bb413aaa8b92aa5b4f81d2760
SHA1268a48f2fe84ed49bbdc1873a8009db8c7cba66a
SHA256d170ac99460f9c1fb30717345b1003f8eb9189c26857ca26d3431590e6f0e23d
SHA512eee47ead9bef041b510ee5e40ebe8a51abd41d8c1fe5de68191f2b996feaa6cc0b8c16ed26d644fbf1d7e4f40920d7a6db954e19f2236d9e4e3f3f984f21b140
-
Filesize
93B
MD58445bfa5a278e2f068300c604a78394b
SHA19fb4eef5ec2606bd151f77fdaa219853d4aa0c65
SHA2565ddf324661da70998e89da7469c0eea327faae9216b9abc15c66fe95deec379c
SHA5128ad7d18392a15cabbfd4d30b2e8a2aad899d35aba099b5be1f6852ca39f58541fb318972299c5728a30fd311db011578c3aaf881fa8b8b42067d2a1e11c50822
-
Filesize
1.0MB
MD5ec6adb808006fb0660bd42bf08a3194a
SHA1a3360feaeca9e9f32a008d70064c5dcb30de1fe7
SHA2563b82fbfa51ec7bbf79c652b92297d47398d359926b7b4fbf9a2bf1769ab022f8
SHA5121c555d10896eccbd2f8cdd3995a7b4f2bd9cdbbd390f0d68a3316ca3fa153f6060c30f07dbad6930778a9e1206fbb815b127d6f3533e8650bde7dc7727a975fd
-
Filesize
7.6MB
MD5f7f5a7b850635e960778269eceae36ed
SHA1588d3d9533630d643dc5f6be1c6df1db8a2ea1ab
SHA25670f7d6cabf05dd521f8eb90f21197693fc321cf4c7f0949653610fa2028fb693
SHA5124f2859c60c5e9f94cd6a45d9d723f04f11f3049e3f7a761a362f32d2a966da3d628db42afe488230023a7d7211490dcce1fe65c04f1a114e51669656bbc77851
-
Filesize
3.6MB
MD52106728edf3b5ffade51a96645878ea7
SHA1dc0e5dc3f5e6b57eeee28515f68d84daee8743c6
SHA256fcf4b713ea2e0a604864c187a993a75daa3a2c805ef3f9065e34bd75ab3b8d0b
SHA5127c9a89e7f776e6b7d89fa5cd7299d5c421f2ce59bea96eeaf065aa2dd5c55cfe17f3e008103b7e07c2dcae343a6fc45f5710a2b1f3b8d21c96b6dfc858793473
-
Filesize
11.9MB
MD5dd0efae47513c446142946f549e3f889
SHA124f0542127e55a42d12b87555c69ebd12379bd98
SHA256646f52ffb733d2f0aa36eb6d302e904d3ed6e9071f45d6764d9e54ab0ef2aead
SHA512df5f78a308e9dc01c790ea9770e9692ff214ddb9d92efc2f38f28c2584d2936d4e76f2f489f5f900bca86f39cb99066e1cb33d05b41f97883a1c8ef2d5ff5329
-
Filesize
3.0MB
MD52dda9be27a9c18d3f5b674099b811bd3
SHA1ef96177c49a830120f76fee77aa5315bab5814fb
SHA2560a432f2bf8e1277fc7a3b2136fa515e885c9afea76af04a0f86ac32213482809
SHA512429858db5e5b0b8681080b49c3bc5baf8b17f599597be5fbabd33c8e60b1c6ed73f7eabae27915ca58c100f248a39f521db47168ae4f23c302fa5385fa911131
-
Filesize
2.8MB
MD571103e754e8f6a51e030d97ffd9711ed
SHA12e2535601f88baa120adadc2a150c521f80ff2f9
SHA256f7d33a87dd500616d1412460b86ed54dbe08dc6879ac0e08d8664f2d3680442a
SHA512ef0b3d408b6087cbce87465620aada96f818ac72df63d20dd152ac7a8801781af525b9805d5f52dc84a7ef2e0fefa7fe0f390e261d1acda42ab468b5083878a1
-
Filesize
3.4MB
MD539e3a576359583419ca289eff51b6dd1
SHA1d6a2bd290e2749464def747bc160a286b3cca088
SHA256d66e8c5c3dbedac22322b601ad46e515dab16d6c144fe41d8986d030de024bba
SHA51282eef930c75cff9a8bc47c44a7e2ee430b006a1ed738153db2af5aebbda5a7f835fe16ec9a9605070011f84718a1cced767014d18000ea38a1289ffce89155f5
-
Filesize
1.8MB
MD5d64579985be59941da25529f147aab92
SHA147d17d23ee66de97c5ca876ae4cf11059f22e07a
SHA256a5af8e8c59c1ccaf9c261c755ba4c896d70fb982275fa3754fcfdb26f024cd3b
SHA512ce3e40096ade4afa69d4e19f9bc2105e1f9bb2e05d83d783620092440c4e0dfdc22781a76df2c47798758693871babaf3e46784ecfb9df4ffdc5a8ce03fd252f
-
Filesize
768KB
MD563a3a954864aca34f057c15c02be6590
SHA1cf3ede97211de5a9a72bc81639fcf0eeda600bc7
SHA2562d535fd771f6d837d4f98c4230884e25723c7b592c5c63bd76510c16d59efa04
SHA512e295181e438faf76fed0fbf482b563ca95e9579404a6abfe97089a62a9ad270edd68058a7b7ac578c3bd156bde01564acbab0f9282e30275177a3f2b443c36af
-
Filesize
1.9MB
MD5b0e1590486c4453ce8ac30a70d612d62
SHA1c7e2722d8688c72d50e4fcada31cc502639a15e1
SHA256a050f5a6e047c09e323bfc084947573e3887ed46e6d91adb51cd05cb90438b03
SHA51260d3316064e8a4f89650a9a62fb98aa4b2e79626f29c65fb199ab1424ddd4a347fbe24aeb1a584d10249228b70ba648fd8fa4707bba1446d9e64cb27bb3c944c
-
Filesize
1024KB
MD5113183def317d6bebc3e747da8642b3f
SHA17fcfb6215e2a4e5c1f5d30237237df873e22e033
SHA25657719d6e40152a7042b8b7896ce8f821ebe01198ec01f19572d575eaad8e28d5
SHA5121013f3095f6e1434253f49aaf17de41e892e79d6d610e6bfdfd44037559fefe1cbbb3698dd29b77c24f9ba07e8ea859bfd6035a7d2bcb64edbdd849f5e7431b2
-
Filesize
1.2MB
MD5dc815de4b487814c1b0bb56bf277b796
SHA15bbf793a954aeecbea08bf8ddbe536433ab1f73a
SHA2565c0a14b2f818f0b3e620fdda4e165bb6abb9252172190c64a89a86c58d09592d
SHA512b87e2f5243e0105cae92be92ff3cae89d76e1f1dd79e36f793e38a5cd00423c7c66ad3e89f3dc1052aa128068d53ff8bbde5cec872802c680c0d310bcebd9742
-
Filesize
1.4MB
MD59dcbcf11e81986399dd071284b517ad0
SHA1f7b87968f329b71f24704e33e0a622c34153e359
SHA2565d0843a451c07ff70dec99dabfb374689497fb25c4dadb5d45143f48343b3875
SHA512dabfd46670b670e3dbc2270ec016d16657000429b2c92fc3338e6fe2c6c5078a2b814e3aa7f29cc3242729e5352593da4d3dc8a07f682508519e580375da2241
-
Filesize
1.5MB
MD5ce2f5b26ab560439558b299bd55d6d5c
SHA145ea0ec3e40402007fd92265707cd6aa76ce16eb
SHA2565291e7f781394f161aa24313986d5df85a0154439ae324347b6fe55ca5430b29
SHA512992a8ddf55644f1e3c004ec0d2d707165c5685b3ae569eaf510991315d7f6366a1cce5ee9dad7144111c0b06ad0169534271a34189f97520452b832640a4fa8a
-
Filesize
2.0MB
MD5d56c4265b79ac55551d9be733e758e75
SHA13ee6dcc2322deb1ad10cfe885b917aafab5469b0
SHA2569a71c6608cf4af2f9c1267803744b9d998dcffc14a77001e565648a3302f718e
SHA512064e8d8bf2d31a3284b08283c0a19f207cbfcb09f2789c80b98b293452c367855f02aa3b56918e97709a3576cbc579e8bc6cebaabe5b238aee17c77491ce4925
-
Filesize
192KB
MD59047901f6be1841c6be69b587f9a9bef
SHA1225663bfbb66f7d3bf47aacd3aeaf8d36419d4bc
SHA256463bb774f64935229fd7657449f2dc4e2f50899a4497edf1b5cbae31b1fe016f
SHA5127978402b9265ec861fe73df7d31cb7a7b8c6c2287e7661a28dfb036e22f283ae101bde13a4a4dcf975634ac76b4753fdbd474607d966ad380b05be87b696a20b
-
Filesize
1.3MB
MD5110d1852eca5e01976a6af67391b6505
SHA1d5949f7c4bcfb8302df8c641744e4de8ceeeedd2
SHA25648f208df1cad1a92fb45975af94cc21abe3b7f5a933d94f9cbf05d39e4565900
SHA5127477b7e28533181ca693b43e43e79705f39c0b546a8a448eed457d6690a15e72b1f451f0a8ec1a104d3665e0b5eebe20a41e215c6069670ceb87174f1b638d1d
-
Filesize
1.6MB
MD5679ed6a4fc978b0a367ff37c9255c658
SHA1dafceeab1f436049df898cb331c55ce758dc73f3
SHA256a5e4fff1944b643b8b2a6709a36099df97381498e23636e974d63dbb3486f28c
SHA512c403dd519e866ebcd6c3ff952b22eaa8bb7fe9b215e3221c0bca514ef1cdee9cc4809a3483113c9fce8e0eac5eb22da29ea439e2b794e6ce69abbb573ea0b2c1
-
Filesize
704KB
MD51dfb8c9373e65d8f3885359015c7cf54
SHA13554302584f899733f6f99f27ac15fb51dfd7183
SHA25657102bcbbd53a489c697f3429cc4036160398e857001128d570e13cb0f21f593
SHA51298ccc28bc6cbcb96121a61b14927d10a33d4f5b29a19bd950087bf8752505732d744769cd7b3f3ab85c5d6564342069071564692f9d222618fe81804af8214b8
-
Filesize
2.1MB
MD53f3aa9b577c080c4b6ad1ddfc7b74e8b
SHA1a3ec913d60fe1acf12fe2fb111fb8d89d2adedd2
SHA256cb222f786bbe152e090ba62773c0b89570c4483ced6b0a2eb27b794d13355f85
SHA512c845e74c72ce3727a0da910435a71a0969f6c128f73b56a309961f5fc2cb463d5acc090a65a51f463b4dda9f589b41970c15abd35726517ccd2626b77e40c09b
-
Filesize
1.3MB
MD5ed54936ca172bfbf9ceac431749758f4
SHA137295d6fd8f5a9ef06cf669ddbfac4b7461a3c7c
SHA256ba28a68a803a4b2a7501b56b74a6bb6ee34274afa5d5e4c53733d5cf129ef949
SHA512917d7f62f615b5add8c8506ef38f4e70890e8d226001524214166601e7409b7750b3ed0447a310c6469e81e6c146792a4766e36e75e3397ca4c296cf37f4d202
-
Filesize
459KB
MD586fa18f466804de9724d84a34f2d31ce
SHA1df356c7cd217a1472152f6c457e0de87810bfab9
SHA25603689da60498d8abcafb10c45670f3e35c7c6943e29a52736eb410ff653b284c
SHA512a962f40fa902110749f39851bd16f8d2f1a83cc98d3d9fabcaaee02d23efa3b31ea8b83d86234666b106fc0aee26ded78d42d0d5e491b1e8b5b6de73e1915ed3
-
Filesize
106KB
MD52e58e494c026b213e6853d4325da8d80
SHA1801f71379672036725993e466f713be5d8075162
SHA256191ffb41a39eb030570b928424a397f12aa8c6f5283e655afc827be14f861c1f
SHA51261087a913822c375be87e2ed392a35c4063b6c753213d363c343c83c11c26608446d91b5a2dc3536d4fce070d98ed2aaa2a7c5abc3fbf06cc77433af5438255f
-
Filesize
54KB
MD586655d237b733e457f2d800c047377e7
SHA1b1e501d7ee4874f121b7a9eb1bf22ad9478159f0
SHA256988a599c295415b436806f6bdf38bc16dd947d78b749e4a60aaed45ef7ab404c
SHA512aa6a274679c9ceaa976f244479195e0fbfb002d190c3c01c295198a39299b5de6c1ae3a6aed54e51f77eec01aac781ab085e04d155edad3d6d1fb6b5feb3aaa5
-
Filesize
20KB
MD51244d6e88a75a3394b875278d8de8a4d
SHA19117282e939b9845a0fe2d06661bcc24455fcd0a
SHA2562052525be98a2f344c42be99fd0f2ba770066586023a2d1410f24751bb916baf
SHA5126b7793a2a2ca59c58ccbf8fba6639c1f54c3b3451b4a76c44d81e57a0898127b35663bf2ae048dd76a51cab67ecf340d2dcf021206ea622b78a1a980d085533c
-
Filesize
574KB
MD5c5d72c28536baacde20b70968727e131
SHA1fc3c4be1566cfa22720ac743566e2500f0cb5553
SHA256b0c21af6eea9919144bc6b66b2af17e7edff6beace61c25bd57da2724d96a9e0
SHA5125e1fa7a82383ad3ee87e1d3f881593a92119fd26f6aaf9cfe6265f419b6acaf67b20229c10c0231fd728ff62444fcff9bd008c4c7e531b601a8fc15f29b37f76
-
Filesize
92KB
MD50d0a88bb5c196bfc0ed21daad31b6fcb
SHA11dbdd584dba079414296dd00412108829893f035
SHA256c488fc0d364f0050d5aaa83b0e2b98a0b422d6dae57a8fc8f4c15516e7aa5436
SHA5128b455ab147f1917e4ae3fedc62df9388175899b058ac7113a57eb33fb7373bea1dde1e81c3f5bd0382feb75198b4b3031326d7acb2e7f7afafb501d9684e05c9
-
Filesize
176KB
MD5274568f9e98573e73c22f68910fbf4c7
SHA1e8d0ad885a6e7d9e10c94ec8098178db6db2c9a5
SHA2560ecfffa0af6bf48b3b6b1d40ca52fc43edf8bed5217b0855fc11bde771086bdb
SHA51226ca4cc3f2ebc76de80d096e15a910fd48bf6f11a802ddc5039f898782f815cc7401464e75efe60d9274896300f927e8a51ea9971e5425ac7e18684424593f2e
-
Filesize
68KB
MD52819a3291caf8d27b2f14d35c74df9f2
SHA11c67ee5e5f5280b27e63c4c52427ab40b94f1046
SHA2566beafd5991720975b4834341fd8ae061257de3664b27713b58ab69543bee102e
SHA5121b46dac0645545bf7664c7138f0570ab62929b9f4bc3a5716dd362c3854cced181fd9234e1b1622bbcde1e9971746b0f317b7eb03f56df37cf72c7af0beb41af
-
Filesize
247KB
MD5bbfb6af6f900c82f18199d61a225d7af
SHA1a2df9185268702471311bf53207db23edc736ca1
SHA256191fbbd6f9dab025d5be3565daa597e7df855c21520f9d3aaabc3bca4f8cd500
SHA51293e30600a6684db26a21886d9e8ce5ff783904dfabfba7745c5203c26ac0d4b1cda7cb548852858f275c91af867f2259c83a5f56abef0d5324b5dccdeb99a878
-
Filesize
110KB
MD5c7ef59a0b18806495f37c9e6a0fefe80
SHA14b7bf483e151bc378810b0df191f6604ca6f6f2b
SHA256997f33de59707207b774a629124b71866bc66ac83333fd6a4a58ee68fc1c41c2
SHA5126da391a14e5666343865619b017a1e2e2741ccd97bfa0c784a82920c4a8f380b41d532b4a4a6eb01a040e04db7af3cd45a2732467b10594ff35b6ddbb560395c
-
Filesize
122KB
MD5c1b5726190203157d840539691537197
SHA149e7c485585b1e48738835360e8ced90d921d96c
SHA256c087c2c631c13da74e1ebaa5465f130cd3fa4948464ff45283b617a029aac96e
SHA512dea861e995624ab5b195a2cfbd2931114ac19c790b892e050ba1280b01944cc0427e9593049ffe1f89dd71252fa57880da20a883a5901843e32c21076fbfbced
-
Filesize
256KB
MD59acfca49b330159a59ce6521cff1098a
SHA1681f0ca0ec2b76c4ce362db6232db47dc1a09ae1
SHA2565eef7d637a1f7ad46222c6a1c8a28a2afe590cc4936b7cdfd3ddb7046d0ce1a4
SHA512d7500fb301ba492ee3453211eda41c1ab7382f136fb2490ccef9c01fa2b3a606470986d43d744810fa8b50e18b4b091d42ff25f3854912d668f46bfd323a6b21
-
Filesize
46KB
MD5d8ef626f54a88d32a4d59c769fcfeca7
SHA12119b7f1c3a7234d6507a8451b6102ac78f5d333
SHA2562d27e3badc7ee644e6e14453b05673aaaba6ed7251906e8bbbf79d4fc7adb4f0
SHA5123d1b7a4267708ebbc091211d3f22f754600097136a6894856760931879f93e32811644b16dff2d523fc7ac8e2e385e954ce9e7d5892554a5e7e8ca94dd3e1c4e
-
Filesize
81KB
MD520ff1090235823ac206b87b8ac731061
SHA1264c054cc8dddbb00c27b4ef0d946818c0c3bbb3
SHA2569bce67318f3de955164578b20a81bbcef5f77b3d8dedb39ba7fd35c29694ff8b
SHA5128b07e07b40e39e9efef3e7d42ca0f3223b1034fdb63137a0131385fff6ff5d6b62e0840c02a55b2c29d2e85b66c5abf1a278c07a1f00167c7449b47885468bc3
-
Filesize
13.0MB
MD5e301cca219b97af337bd64ba4a1ba905
SHA1d90ebfd4a3926b43cfb9d77bd1aaf6522971db06
SHA256a4f479c146803a8de17af96ce6e2261752ef5658f0fd6f363053676f57cd5fa8
SHA5120fd98e87c32d0579d760841c780f9774841d5cd726778747523a28e71216e3af940f6fe159ee116874b8eee36c708b78eafef8957af76584e51351ccf87083e7
-
Filesize
1KB
MD55409186198e750e6829f723380c92f22
SHA1708e2a4ba1cf4c722fdbe34cf61b8378bcae4a8c
SHA256ba70e2ac454155d9e45cb59c7fb75d00c7ebcae2457c5bb61980977bbb05d440
SHA51202fedf7bbd43bf0168cf849aa6e76fc28b4877c8f93051a736dac3677d04b82ea476068272a7628e2cd391cca8b5fd9a55a6ffec44ea9da9751d620fbe0eda8d
-
Filesize
3.2MB
MD5f17f06712f31ceb6377c4edadfb88dc3
SHA110a507e21e428514a8b595e17a138ad0a5949fe1
SHA256f1c2401692200dbb2f4d52f0a8814ebeddc9ec2cd4e04e29973e9d8f7ceaebad
SHA51272e73e8ff9e7f9f3b930606b926655add2dd4c9e3568b0626b4209cf88fe97728251139daa429b756b92ce5cdedb46dec1a41873e6d2a35fa8b57ebe00b91dfa
-
Filesize
2.4MB
MD5e3deb109c419189a759b3240fa723e94
SHA18402667484d7a517ebfb571a36b7a9b6732a961e
SHA2564eee9c710137abc067b02148ce310861479f2d4133884c0e0a3f2a42883e491b
SHA512e0fda3225d88f16c1106e6ec167f647e16a5109eaa46d379f02fe3fd4eb9741b05ce5b33d3dbeb581da834d26f15c557e1124bb09ca07fab1e2fa3f66761d1d1
-
Filesize
1.7MB
MD567a965e20c4f6f7875a0bd59cef3f072
SHA163b5531a8bd5c1c657ebc391f673cf8d2d2d3002
SHA256ee97b476510eee782287725e0aefff7a14d21d75b51beddabecd06c70caf3bfe
SHA5124755214fabe424f54f8bd82dda9840f3cf0cc2109feaf58f21265aad452ebaebfc4ae5d51c0c3e0c1cff714af9faaecd338e40ff7eeda2cfd03901866ce9227c
-
Filesize
9.4MB
MD5fc02368cd4b760076bff254a0f579e45
SHA11844b96a117644cfbe52b692183bf077fa2ad4c4
SHA25603d72368e74c42dc851cf9458702f5fa41b6cc92fb51f2a0445c59f460d144c7
SHA51269daea7bec375b8a6e4556ba19e518edf907f640c08bb1f2b0ed41d99785cfca4b691b7fdd473f76c314061ff73caf4ed0ec71e8ae48a879500357cfc81937dd
-
Filesize
2.9MB
MD5f0d17369e60714d71d8b4990e4e3dcc6
SHA1cb7850ad40f43b770a9778b4cad1f2b86ae407f8
SHA2565eeb9e15ee28bdc99dcb9dcc8b44257d9e1cab3bd5cae05c246b1791d84af8ea
SHA512c486ffe8ab832f92276e1c5360ef0141cc3865348f22e9f3ee6ef6be76dbcc97187fc9d390536f0b02cf4a7501e7c1ace67f8e9ab72eba7338801ef7cf39b223