af34b699b6aa750e58a68516b97b4f8c2f08bd03453a6059f6869847cc63a7bf

Resubmissions

23/02/2024, 15:14

240223-smc6tabh28 7

23/02/2024, 15:12

240223-slfkjscg6w 7

23/02/2024, 15:03

240223-sfh4gsbf66 7

Analysis

max time kernel
1795s
max time network
1806s
platform
windows7_x64
resource
win7-20240221-en
resource tags

arch:x64arch:x86image:win7-20240221-enlocale:en-usos:windows7-x64system
submitted
23/02/2024, 15:12

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

New Client.exe
Size

396KB
MD5

9b5f12b10b471e0a359bc11e50af28db
SHA1

5e42890b6b4a299cd954bf8dabaf75b38522c0b0
SHA256

af34b699b6aa750e58a68516b97b4f8c2f08bd03453a6059f6869847cc63a7bf
SHA512

1fbf71b9121cb141a617a2e14e466fead22da7cc7c672a8e5f79cab929e10a4f578edba06e8340d40d23f51852b33816a67351b6cecf5a5f72410c1bc0d5b773
SSDEEP

12288:+WSeotlIH682B+64kQHam2dNREz9FdOZMJwGuE4QyZom8exsrPR5TE7D0XuDTT:+WSmpL

Score

7^/10

persistence upx

Malware Config

Signatures

Drops startup file 3 IoCs

description	ioc	Process
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Client.exe	New Client.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Client.exe	New Client.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Client.url	New Client.exe

Executes dropped EXE 1 IoCs

pid	Process
2728	fb0ad1192cb54af8a076da5dc70e31a7.exe

Loads dropped DLL 2 IoCs

pid	Process
300	New Client.exe
300	New Client.exe

UPX packed file 3 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral1/files/0x0007000000017076-27.dat	upx
behavioral1/memory/2728-35-0x0000000000400000-0x000000000041E000-memory.dmp	upx
behavioral1/memory/2728-41-0x0000000000400000-0x000000000041E000-memory.dmp	upx

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-406356229-2805545415-1236085040-1000\Software\Microsoft\Windows\CurrentVersion\Run\Client.exe = "\"C:\\Users\\Admin\\AppData\\Local\\Temp\\New Client.exe\" .."	New Client.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Client.exe = "\"C:\\Users\\Admin\\AppData\\Local\\Temp\\New Client.exe\" .."	New Client.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Kills process with taskkill 3 IoCs

evasion

pid	Process
2396	TASKKILL.exe
2232	TASKKILL.exe
2952	taskkill.exe

Suspicious behavior: EnumeratesProcesses 6 IoCs

pid	Process
300	New Client.exe
300	New Client.exe
300	New Client.exe
300	New Client.exe
300	New Client.exe
300	New Client.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

pid	Process
300	New Client.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeDebugPrivilege	300	New Client.exe
Token: SeDebugPrivilege	2396	TASKKILL.exe
Token: SeDebugPrivilege	2232	TASKKILL.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe
Token: SeIncBasePriorityPrivilege	300	New Client.exe
Token: 33	300	New Client.exe

Suspicious use of FindShellTrayWindow 1 IoCs

pid	Process
588	DllHost.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 300 wrote to memory of 2396	300	New Client.exe	28
PID 300 wrote to memory of 2396	300	New Client.exe	28
PID 300 wrote to memory of 2396	300	New Client.exe	28
PID 300 wrote to memory of 2396	300	New Client.exe	28
PID 300 wrote to memory of 2232	300	New Client.exe	30
PID 300 wrote to memory of 2232	300	New Client.exe	30
PID 300 wrote to memory of 2232	300	New Client.exe	30
PID 300 wrote to memory of 2232	300	New Client.exe	30
PID 300 wrote to memory of 2952	300	New Client.exe	33
PID 300 wrote to memory of 2952	300	New Client.exe	33
PID 300 wrote to memory of 2952	300	New Client.exe	33
PID 300 wrote to memory of 2952	300	New Client.exe	33
PID 300 wrote to memory of 2728	300	New Client.exe	38
PID 300 wrote to memory of 2728	300	New Client.exe	38
PID 300 wrote to memory of 2728	300	New Client.exe	38
PID 300 wrote to memory of 2728	300	New Client.exe	38
PID 2728 wrote to memory of 2356	2728	fb0ad1192cb54af8a076da5dc70e31a7.exe	39
PID 2728 wrote to memory of 2356	2728	fb0ad1192cb54af8a076da5dc70e31a7.exe	39
PID 2728 wrote to memory of 2356	2728	fb0ad1192cb54af8a076da5dc70e31a7.exe	39
PID 2728 wrote to memory of 2356	2728	fb0ad1192cb54af8a076da5dc70e31a7.exe	39
PID 2356 wrote to memory of 2180	2356	cmd.exe	112
PID 2356 wrote to memory of 2180	2356	cmd.exe	112
PID 2356 wrote to memory of 2180	2356	cmd.exe	112
PID 2356 wrote to memory of 2460	2356	cmd.exe	111
PID 2356 wrote to memory of 2460	2356	cmd.exe	111
PID 2356 wrote to memory of 2460	2356	cmd.exe	111
PID 2356 wrote to memory of 2864	2356	cmd.exe	110
PID 2356 wrote to memory of 2864	2356	cmd.exe	110
PID 2356 wrote to memory of 2864	2356	cmd.exe	110
PID 2356 wrote to memory of 2796	2356	cmd.exe	109
PID 2356 wrote to memory of 2796	2356	cmd.exe	109
PID 2356 wrote to memory of 2796	2356	cmd.exe	109
PID 2356 wrote to memory of 2252	2356	cmd.exe	108
PID 2356 wrote to memory of 2252	2356	cmd.exe	108
PID 2356 wrote to memory of 2252	2356	cmd.exe	108
PID 2356 wrote to memory of 1200	2356	cmd.exe	107
PID 2356 wrote to memory of 1200	2356	cmd.exe	107
PID 2356 wrote to memory of 1200	2356	cmd.exe	107
PID 2356 wrote to memory of 2880	2356	cmd.exe	106
PID 2356 wrote to memory of 2880	2356	cmd.exe	106
PID 2356 wrote to memory of 2880	2356	cmd.exe	106
PID 2356 wrote to memory of 2704	2356	cmd.exe	105
PID 2356 wrote to memory of 2704	2356	cmd.exe	105
PID 2356 wrote to memory of 2704	2356	cmd.exe	105
PID 2356 wrote to memory of 2740	2356	cmd.exe	104
PID 2356 wrote to memory of 2740	2356	cmd.exe	104
PID 2356 wrote to memory of 2740	2356	cmd.exe	104
PID 2356 wrote to memory of 2456	2356	cmd.exe	103
PID 2356 wrote to memory of 2456	2356	cmd.exe	103
PID 2356 wrote to memory of 2456	2356	cmd.exe	103
PID 2356 wrote to memory of 2548	2356	cmd.exe	102
PID 2356 wrote to memory of 2548	2356	cmd.exe	102
PID 2356 wrote to memory of 2548	2356	cmd.exe	102
PID 2356 wrote to memory of 2736	2356	cmd.exe	100
PID 2356 wrote to memory of 2736	2356	cmd.exe	100
PID 2356 wrote to memory of 2736	2356	cmd.exe	100
PID 2356 wrote to memory of 2132	2356	cmd.exe	97
PID 2356 wrote to memory of 2132	2356	cmd.exe	97
PID 2356 wrote to memory of 2132	2356	cmd.exe	97
PID 2356 wrote to memory of 1400	2356	cmd.exe	96
PID 2356 wrote to memory of 1400	2356	cmd.exe	96
PID 2356 wrote to memory of 1400	2356	cmd.exe	96
PID 2356 wrote to memory of 1748	2356	cmd.exe	95
PID 2356 wrote to memory of 1748	2356	cmd.exe	95

C:\Users\Admin\AppData\Local\Temp\New Client.exe
"C:\Users\Admin\AppData\Local\Temp\New Client.exe"
1⤵
- Drops startup file
- Loads dropped DLL
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:300
- C:\Windows\SysWOW64\TASKKILL.exe
  TASKKILL /F /IM wscript.exe
  2⤵
  - Kills process with taskkill
  - Suspicious use of AdjustPrivilegeToken
  PID:2396
- C:\Windows\SysWOW64\TASKKILL.exe
  TASKKILL /F /IM cmd.exe
  2⤵
  - Kills process with taskkill
  - Suspicious use of AdjustPrivilegeToken
  PID:2232
- C:\Windows\SysWOW64\taskkill.exe
  taskkill /f im explorer.exe
  2⤵
  - Kills process with taskkill
  PID:2952
- C:\Users\Admin\AppData\Local\Temp\fb0ad1192cb54af8a076da5dc70e31a7.exe
  "C:\Users\Admin\AppData\Local\Temp\fb0ad1192cb54af8a076da5dc70e31a7.exe"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:2728
- - C:\Windows\system32\cmd.exe
    "C:\Windows\sysnative\cmd.exe" /c "C:\Users\Admin\AppData\Local\Temp\C350.tmp\C351.tmp\C352.bat C:\Users\Admin\AppData\Local\Temp\fb0ad1192cb54af8a076da5dc70e31a7.exe"
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:2356
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2308
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2688
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2616
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1908
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:996
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2372
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2820
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1808
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1776
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1560
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2300
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:268
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2808
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1488
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2568
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2348
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1188
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1208
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3040
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3020
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2064
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3032
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2708
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2420
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1092
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1088
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:112
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:872
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1628
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1056
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1196
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:760
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2800
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2024
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1748
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1400
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2132
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2736
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2548
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2456
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2740
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2704
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2880
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1200
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2252
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2796
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2864
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2460
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2180
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1292
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2080
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:344
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2932
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1692
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1216
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2648
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2852
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:944
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2036
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:304
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2536
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1588
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1920
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2764
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2268
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:636
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:928
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2208
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1960
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1800
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2904
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2632
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2988
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1160
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2144
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2108
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1656
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1364
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:868
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1968
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1284
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1732
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2792
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1704
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3092
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3108
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3168
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3208
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3244
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3292
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3332
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3364
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3384
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3420
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3440
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3464
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3484
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3524
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3548
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3564
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3592
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3612
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3628
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3652
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3696
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3672
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3720
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3744
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3764
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3788
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3816
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3832
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3872
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3892
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3912
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3932
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3952
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3972
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4008
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4032
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4068
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4092
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1668
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2908
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3180
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3380
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3576
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3668
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3828
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3944
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4108
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4124
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4152
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4176
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4204
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4228
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4248
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4276
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4292
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4324
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4348
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4368
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4396
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4424
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4448
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4468
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4492
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4516
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4540
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4568
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4588
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4616
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4632
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4660
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4684
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4708
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4732
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4756
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4776
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4804
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4832
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4852
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4868
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4896
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4920
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4944
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4972
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4996
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5016
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5040
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5068
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5092
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5112
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1580
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:3732
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4216
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4340
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4488
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4628
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4744
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4908
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5128
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5156
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5176
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5196
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5224
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5248
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5272
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5292
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5320
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5344
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5372
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5396
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5416
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5444
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5464
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5496
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5512
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5536
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5568
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5584
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5612
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5632
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5660
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5692
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5708
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5724
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5756
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5780
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5804
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5832
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5852
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5876
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5900
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5924
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5948
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5972
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5996
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6024
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6044
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6068
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6088
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6116
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6140
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4048
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:4816
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5304
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5388
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5508
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5672
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5816
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5936
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6156
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6176
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6200
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6228
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6244
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6272
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6300
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6316
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6344
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6364
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6388
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6416
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6440
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6468
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6488
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6512
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6536
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6560
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6584
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6612
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6632
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6668
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6688
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6712
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6740
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6756
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6784
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6804
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6832
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6852
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6876
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6900
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6928
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6948
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6976
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7004
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7024
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7048
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7068
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7092
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7116
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7140
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6056
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5168
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:5888
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6284
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6376
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6548
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6664
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6844
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6988
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7180
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7204
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7228
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7248
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7272
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7300
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7320
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7352
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7372
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7392
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7416
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7448
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7468
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7496
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7528
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7544
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7564
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7584
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7620
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7636
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7656
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7680
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7708
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7736
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7756
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7780
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7804
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7832
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7852
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7876
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7896
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7928
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7948
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7972
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7996
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8032
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8044
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8072
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8100
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8124
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8144
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8176
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7104
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6360
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7216
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:6484
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7428
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7596
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7748
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7888
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8024
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8204
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8224
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8432
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8460
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8484
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8520
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8532
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8560
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8580
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8604
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8624
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8648
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8680
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8708
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8724
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8752
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8776
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8812
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8836
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8860
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8884
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8904
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8928
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8956
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8980
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9008
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9024
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9048
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9088
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9108
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9132
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9152
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9180
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9200
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8160
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:7284
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8236
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8548
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8692
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8764
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:8996
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9224
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9236
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9272
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9284
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9320
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9336
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9364
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9384
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9412
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9432
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9468
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9480
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9516
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9532
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9556
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9576
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9608
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9624
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9652
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9688
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9704
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9728
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9756
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9780
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9804
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9820
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9848
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9880
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9892
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9920
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9936
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9968
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10000
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10020
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10040
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10064
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10092
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10116
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10136
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10164
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10196
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10208
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10232
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9192
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9004
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9268
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9396
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9512
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9680
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9836
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9952
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10128
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10264
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10284
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10308
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10332
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10356
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10372
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10412
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10432
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10452
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10476
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10492
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10520
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10548
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10572
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10596
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10620
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10652
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10676
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10696
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10728
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10760
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10768
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10796
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10820
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10852
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10864
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10892
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10924
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10940
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10960
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10992
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11008
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11032
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11056
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11092
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11112
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11140
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11156
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11192
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11212
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11236
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11256
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9168
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:9768
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10296
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10444
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10636
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10740
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10880
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11104
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11136
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11296
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11324
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11340
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11360
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11384
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11412
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11440
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11460
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11488
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11504
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11536
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11556
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11576
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11604
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11632
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11648
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11672
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11704
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11724
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11748
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11768
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11792
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11824
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11848
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11868
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11888
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11916
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11944
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11968
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11988
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12016
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12036
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12068
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12096
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12112
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12136
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12164
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12192
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12208
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12232
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12264
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12284
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:10952
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11068
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11424
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11520
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11664
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11960
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11928
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12240
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12176
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12324
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12336
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12360
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12388
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12408
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12432
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12456
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12480
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12504
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12528
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12552
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12576
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12604
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12628
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12656
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12676
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12704
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12724
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12748
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12772
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12796
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12820
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12844
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12872
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12900
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12924
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12956
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12964
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12992
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13012
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13044
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13060
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13092
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13112
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13144
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13164
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13192
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13216
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13240
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13272
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13280
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12220
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:11320
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12004
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12400
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12564
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12688
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12808
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13008
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13104
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1376
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13328
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13364
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13376
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13408
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13440
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13464
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13476
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13500
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13524
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13552
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13572
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13600
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13624
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13644
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13672
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13700
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13720
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13752
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13772
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13792
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13816
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13836
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13864
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13896
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13928
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13940
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13968
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13988
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14012
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14040
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14056
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14084
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14108
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14136
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14164
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14192
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14212
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14228
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14256
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14276
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14304
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14328
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1592
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12884
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13392
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13512
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13656
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13784
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:13924
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14072
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14188
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14352
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14372
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14396
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14424
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14448
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14476
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14504
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14532
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14556
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14576
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14600
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14624
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14648
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14672
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14696
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14728
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14752
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14772
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14796
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14820
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14844
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14872
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14892
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14924
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14944
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14972
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14996
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15016
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15040
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15060
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15092
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15116
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15140
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15164
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15188
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15212
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15236
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15260
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15284
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15312
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15336
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14288
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:12468
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14520
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14436
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14636
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14724
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14832
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14956
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:2220
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:1492
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:14388
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15152
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15324
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15368
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15396
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15416
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15448
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15468
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15496
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15524
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15548
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15568
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15592
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15612
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15648
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15668
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15688
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15724
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15740
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15764
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15792
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15816
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15836
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15864
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15892
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15920
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15944
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15964
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:15992
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:16016
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:16044
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:16064
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:16084
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:16116
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:16136
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:16164
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:16180
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:16212
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:16236
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:16260
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:16288
  - - C:\Windows\system32\cmd.exe
      cmd.exe
      4⤵
      PID:16308

C:\Windows\SysWOW64\DllHost.exe
C:\Windows\SysWOW64\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503}
1⤵
- Suspicious use of FindShellTrayWindow
PID:588

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\6f96be4cf738437ca5514e4010bd9e3f.png

Filesize
39KB

MD5
2a801dbd22a79636b9f34635c79ccb8f

SHA1
5a40990c64ced4330cf06af7b2e2a4a8ccdd3cba

SHA256
96487209d8bd5d5c8b92b2cef8d8ac27211a422717c2e819e68a3eec5b324ff3

SHA512
bee135856c35c4b1b70e4c56280d7932f264bf887d3860cfc6cd7ad7f46a8f5a43ca6318a0bfa67e4b08192e10a538e747df03c13b1d3aaad5bfb7239aa5c7ef

Download Submit
C:\Users\Admin\AppData\Local\Temp\C350.tmp\C351.tmp\C352.bat

Filesize
55B

MD5
ffd56af09cccdfcd1ec0af66e795cadc

SHA1
c4895604d04e4a15cd09c15fce732cdeaf87cb7e

SHA256
ddbcc794f000d1ffe0cfa36e9b3f87edfb3a5adb477b1597f35f4d786d7ef787

SHA512
a03509f07b714647acb7f66909ac96fb4a3927d3f4927343ab65e3735ba7824b410f13306e8430b0a85e53598517d54ccb7f0dddeba6460528d7faa45a48ff7b

Download Submit
\Users\Admin\AppData\Local\Temp\fb0ad1192cb54af8a076da5dc70e31a7.exe

Filesize
44KB

MD5
26eacb0c38f1dcea74aad8f8b4fc3800

SHA1
947224d73036008dcb6593811e6211c2a2c82f55

SHA256
4ff6abcd8168f723111c09b863ead5dc9b7f3980555ead7d2a90784cbbaf348c

SHA512
672c5a6d76177fd24e36153261396bd0535e13beb811e6fb825678eb0fea751edf346639efdc0ccc98ea1c0bc24269a6c194743f1cedaf8532784116bf667f4b

Download Submit
memory/300-36-0x000000000F920000-0x000000000F93E000-memory.dmp

Filesize
120KB

Download
memory/300-2-0x00000000009A0000-0x00000000009E0000-memory.dmp

Filesize
256KB

Download
memory/300-17-0x00000000009A0000-0x00000000009E0000-memory.dmp

Filesize
256KB

Download
memory/300-18-0x00000000009A0000-0x00000000009E0000-memory.dmp

Filesize
256KB

Download
memory/300-19-0x00000000009A0000-0x00000000009E0000-memory.dmp

Filesize
256KB

Download
memory/300-21-0x0000000004BC0000-0x0000000004BC2000-memory.dmp

Filesize
8KB

Download
memory/300-42-0x000000000F920000-0x000000000F93E000-memory.dmp

Filesize
120KB

Download
memory/300-40-0x000000000F920000-0x000000000F93E000-memory.dmp

Filesize
120KB

Download
memory/300-15-0x0000000074DC0000-0x000000007536B000-memory.dmp

Filesize
5.7MB

Download
memory/300-16-0x0000000074DC0000-0x000000007536B000-memory.dmp

Filesize
5.7MB

Download
memory/300-33-0x000000000F920000-0x000000000F93E000-memory.dmp

Filesize
120KB

Download
memory/300-1-0x0000000074DC0000-0x000000007536B000-memory.dmp

Filesize
5.7MB

Download
memory/300-0-0x0000000074DC0000-0x000000007536B000-memory.dmp

Filesize
5.7MB

Download
memory/588-39-0x0000000000770000-0x0000000000771000-memory.dmp

Filesize
4KB

Download
memory/588-23-0x0000000000770000-0x0000000000771000-memory.dmp

Filesize
4KB

Download
memory/588-22-0x00000000001A0000-0x00000000001A2000-memory.dmp

Filesize
8KB

Download
memory/2728-35-0x0000000000400000-0x000000000041E000-memory.dmp

Filesize
120KB

Download
memory/2728-41-0x0000000000400000-0x000000000041E000-memory.dmp

Filesize
120KB

Download