Malware Analysis Report

2025-01-22 14:11

Sample ID 240225-ygzqhsag24
Target a4725ad10f9eded40604eda0966a953b
SHA256 f41df883e3af58ec2c58bab3299a6558d9b709fa91b7875694e055de0e847758
Tags
rat upx warzonerat evasion infostealer persistence
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

f41df883e3af58ec2c58bab3299a6558d9b709fa91b7875694e055de0e847758

Threat Level: Known bad

The file a4725ad10f9eded40604eda0966a953b was found to be: Known bad.

Malicious Activity Summary

rat upx warzonerat evasion infostealer persistence

Warzone RAT payload

Warzonerat family

WarzoneRat, AveMaria

Modifies visiblity of hidden/system files in Explorer

Modifies WinLogon for persistence

Warzone RAT payload

Modifies Installed Components in the registry

UPX packed file

Executes dropped EXE

Loads dropped DLL

Drops startup file

Adds Run key to start application

Suspicious use of SetThreadContext

Drops file in Windows directory

Unsigned PE

Enumerates physical storage devices

Suspicious behavior: EnumeratesProcesses

Suspicious use of WriteProcessMemory

Suspicious use of SetWindowsHookEx

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-02-25 19:46

Signatures

Warzone RAT payload

rat
Description Indicator Process Target
N/A N/A N/A N/A

Warzonerat family

warzonerat

UPX packed file

upx
Description Indicator Process Target
N/A N/A N/A N/A

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral1

Detonation Overview

Submitted

2024-02-25 19:46

Reported

2024-02-25 19:48

Platform

win7-20240221-en

Max time kernel

147s

Max time network

127s

Command Line

"C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe"

Signatures

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\explorer.exe" \??\c:\windows\system\explorer.exe N/A

Modifies visiblity of hidden/system files in Explorer

evasion
Description Indicator Process Target
Set value (int) \REGISTRY\USER\S-1-5-21-3787592910-3720486031-2929222812-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0" \??\c:\windows\system\explorer.exe N/A

WarzoneRat, AveMaria

rat infostealer warzonerat

Warzone RAT payload

rat
Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A

Modifies Installed Components in the registry

persistence
Description Indicator Process Target
Key created \REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666} \??\c:\windows\system\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "C:\\Users\\Admin\\AppData\\Roaming\\mrsys.exe MR" \??\c:\windows\system\explorer.exe N/A

Drops startup file

Description Indicator Process Target
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File created C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A

UPX packed file

upx
Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A

Adds Run key to start application

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-3787592910-3720486031-2929222812-1000\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft OneDrive = "C:\\Users\\Admin\\AppData\\Local\\Chrome\\StikyNot.exe" C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3787592910-3720486031-2929222812-1000\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft OneDrive = "C:\\Users\\Admin\\AppData\\Local\\Chrome\\StikyNot.exe" \??\c:\windows\system\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Explorer = "c:\\windows\\system\\explorer.exe RO" \??\c:\windows\system\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Svchost = "c:\\windows\\system\\svchost.exe RO" \??\c:\windows\system\explorer.exe N/A

Drops file in Windows directory

Description Indicator Process Target
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\explorer.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\explorer.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe N/A
File opened for modification \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe N/A

Enumerates physical storage devices

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 3032 wrote to memory of 2200 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\cmd.exe
PID 3032 wrote to memory of 2200 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\cmd.exe
PID 3032 wrote to memory of 2200 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\cmd.exe
PID 3032 wrote to memory of 2200 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\cmd.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 3032 wrote to memory of 2544 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 2544 wrote to memory of 2712 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 2544 wrote to memory of 2712 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 2544 wrote to memory of 2712 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 2544 wrote to memory of 2712 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 2544 wrote to memory of 2712 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 2544 wrote to memory of 2712 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 2544 wrote to memory of 2712 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 2544 wrote to memory of 2712 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 2544 wrote to memory of 2712 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 2544 wrote to memory of 2928 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\diskperf.exe
PID 2544 wrote to memory of 2928 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\diskperf.exe
PID 2544 wrote to memory of 2928 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\diskperf.exe
PID 2544 wrote to memory of 2928 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\diskperf.exe
PID 2544 wrote to memory of 2928 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\diskperf.exe
PID 2544 wrote to memory of 2928 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\diskperf.exe
PID 2712 wrote to memory of 2228 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe \??\c:\windows\system\explorer.exe
PID 2712 wrote to memory of 2228 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe \??\c:\windows\system\explorer.exe
PID 2712 wrote to memory of 2228 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe \??\c:\windows\system\explorer.exe
PID 2712 wrote to memory of 2228 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe \??\c:\windows\system\explorer.exe
PID 2228 wrote to memory of 2336 N/A \??\c:\windows\system\explorer.exe C:\Windows\SysWOW64\cmd.exe
PID 2228 wrote to memory of 2336 N/A \??\c:\windows\system\explorer.exe C:\Windows\SysWOW64\cmd.exe
PID 2228 wrote to memory of 2336 N/A \??\c:\windows\system\explorer.exe C:\Windows\SysWOW64\cmd.exe
PID 2228 wrote to memory of 2336 N/A \??\c:\windows\system\explorer.exe C:\Windows\SysWOW64\cmd.exe
PID 2228 wrote to memory of 2372 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 2228 wrote to memory of 2372 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 2228 wrote to memory of 2372 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 2228 wrote to memory of 2372 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 2228 wrote to memory of 2372 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 2228 wrote to memory of 2372 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 2228 wrote to memory of 2372 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 2228 wrote to memory of 2372 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 2228 wrote to memory of 2372 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 2228 wrote to memory of 2372 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 2228 wrote to memory of 2372 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 2228 wrote to memory of 2372 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 2228 wrote to memory of 2372 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 2228 wrote to memory of 2372 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe

Processes

C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe

"C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe

C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe

C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe

C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe

C:\Windows\SysWOW64\diskperf.exe

"C:\Windows\SysWOW64\diskperf.exe"

\??\c:\windows\system\explorer.exe

c:\windows\system\explorer.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\explorer.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\explorer.exe

c:\windows\system\explorer.exe

\??\c:\windows\system\explorer.exe

c:\windows\system\explorer.exe

C:\Windows\SysWOW64\diskperf.exe

"C:\Windows\SysWOW64\diskperf.exe"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

Network

N/A

Files

memory/3032-0-0x0000000000400000-0x0000000000446000-memory.dmp

memory/2544-2-0x0000000000300000-0x0000000000400000-memory.dmp

memory/3032-4-0x0000000000390000-0x00000000003D6000-memory.dmp

memory/2544-5-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-7-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-9-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-11-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-13-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-15-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-17-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-19-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-20-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-22-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-23-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-24-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-25-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-26-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-27-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-28-0x000000007EFDE000-0x000000007EFDF000-memory.dmp

memory/2544-30-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-33-0x0000000000400000-0x0000000001400000-memory.dmp

memory/3032-35-0x0000000000400000-0x0000000000446000-memory.dmp

memory/2544-36-0x0000000000400000-0x0000000000628000-memory.dmp

memory/2544-38-0x0000000000400000-0x0000000000628000-memory.dmp

memory/2544-39-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-40-0x0000000000400000-0x0000000000628000-memory.dmp

memory/2544-41-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-42-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-43-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-44-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-45-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-46-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-47-0x0000000000400000-0x0000000000628000-memory.dmp

memory/2544-49-0x0000000000400000-0x0000000000628000-memory.dmp

memory/2544-48-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2544-50-0x0000000000220000-0x0000000000221000-memory.dmp

memory/2544-51-0x0000000000400000-0x0000000000628000-memory.dmp

memory/2544-53-0x0000000000220000-0x0000000000221000-memory.dmp

memory/2712-56-0x0000000000400000-0x000000000043E000-memory.dmp

memory/2712-58-0x0000000000400000-0x000000000043E000-memory.dmp

memory/2544-59-0x00000000070E0000-0x0000000007126000-memory.dmp

memory/2712-61-0x0000000000400000-0x000000000043E000-memory.dmp

memory/2712-65-0x0000000000400000-0x000000000043E000-memory.dmp

memory/2712-71-0x0000000000400000-0x000000000043E000-memory.dmp

memory/2928-72-0x0000000000400000-0x0000000000412000-memory.dmp

memory/2544-85-0x0000000000400000-0x0000000000628000-memory.dmp

memory/2928-84-0x0000000000400000-0x0000000000412000-memory.dmp

C:\Windows\system\explorer.exe

MD5 556be00c0a44f87e4aef202c44ac246d
SHA1 e1be5efd3d1ea9b65836decd9c10126ed36aaf6d
SHA256 cfed1ab7cf265cf5ab419bbd0fd235416305c3d5cf34644ee408839a4323db83
SHA512 8446d2b32020042a3507db7cf96b067f6ed3a6eaef320e170c43b04623a0974dac836a7c6ebffd8f8c79c90e54a342c94063a24030a48d9c7a745ada471f332c

C:\Windows\system\explorer.exe

MD5 e3deb109c419189a759b3240fa723e94
SHA1 8402667484d7a517ebfb571a36b7a9b6732a961e
SHA256 4eee9c710137abc067b02148ce310861479f2d4133884c0e0a3f2a42883e491b
SHA512 e0fda3225d88f16c1106e6ec167f647e16a5109eaa46d379f02fe3fd4eb9741b05ce5b33d3dbeb581da834d26f15c557e1124bb09ca07fab1e2fa3f66761d1d1

memory/2712-96-0x0000000002C40000-0x0000000002C86000-memory.dmp

\Windows\system\explorer.exe

MD5 64cbb314dd4d610c0b1b295412999e82
SHA1 1acec7d14867d2ea89e6352ca0afc5f04a235ac0
SHA256 8443fde39bed41841a4dd35f527dce3ef403e1e2eff46fad9b0b6409275761c2
SHA512 d8d78c1ff73b3f6ad8018b4cdde5a01dd916594bc71d12b2290520325922eaf5ce913c53f5dbc5089d5675cbdbd7b82dca27d0e90d99094874e0509b1d7f3810

\Windows\system\explorer.exe

MD5 3cfdf2ddf2e502abaf85d91b18546efe
SHA1 6eb2f2367135a2543258051cefe5c5aee7c32201
SHA256 08b22cd89d1eecad9c21d8cf5ff3262b5475827dcca2a7a74b9eed12fd3d805a
SHA512 ee7b44cd0899ec745f452ad03edbddac133ebcce90d8f3918fd60ff343e62d77ae3b368d29d5ba20d31e7849bbb15739cb1c09a32a680d164423b16cfba61d74

\??\c:\windows\system\explorer.exe

MD5 13728994efa248a6643ed4092716786e
SHA1 8fa00628cacea76fb24eaeb2d03ee71464ecd2f0
SHA256 1b9bd631514ed4fb5a64a4ef49522f266e65a5d3da0840fc05090fe503cf876e
SHA512 902e603a8a31c1c7a7bd772f6ad4169491bd83cb7f565c294a96902787c1e66cf33928e40ffecf3eb02b0d9c97fce5c17856e36cec49e57f4581f83ca7f6815c

memory/2712-97-0x0000000002C40000-0x0000000002C86000-memory.dmp

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs

MD5 8445bfa5a278e2f068300c604a78394b
SHA1 9fb4eef5ec2606bd151f77fdaa219853d4aa0c65
SHA256 5ddf324661da70998e89da7469c0eea327faae9216b9abc15c66fe95deec379c
SHA512 8ad7d18392a15cabbfd4d30b2e8a2aad899d35aba099b5be1f6852ca39f58541fb318972299c5728a30fd311db011578c3aaf881fa8b8b42067d2a1e11c50822

memory/2228-99-0x0000000000400000-0x0000000000446000-memory.dmp

C:\Windows\system\explorer.exe

MD5 264158dc3710585e70a238bd1d8aa3bf
SHA1 5e291a99e3599dae49793889f4f9535654ff5ae8
SHA256 97bb4c54c3f86b44b3edeed069d701408d149e02b8507198b74a4810c530af76
SHA512 055c648571e401625794be267d3d872dcb47d7345498feb85cfacf0130c8e28cb3d71f7da866fe65adf8fdc0ab713104c2551399e9dc56af5c315ec3d3682715

memory/2712-140-0x0000000000400000-0x000000000043E000-memory.dmp

memory/2372-143-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2372-153-0x0000000000220000-0x0000000000221000-memory.dmp

memory/2372-157-0x0000000000400000-0x0000000001400000-memory.dmp

C:\Windows\system\explorer.exe

MD5 63a3a954864aca34f057c15c02be6590
SHA1 cf3ede97211de5a9a72bc81639fcf0eeda600bc7
SHA256 2d535fd771f6d837d4f98c4230884e25723c7b592c5c63bd76510c16d59efa04
SHA512 e295181e438faf76fed0fbf482b563ca95e9579404a6abfe97089a62a9ad270edd68058a7b7ac578c3bd156bde01564acbab0f9282e30275177a3f2b443c36af

C:\Users\Admin\AppData\Local\Chrome\StikyNot.exe

MD5 d633cf877e170d96be79c41bf0af2c8d
SHA1 08b751f2d20054dce22c1a4faa1071e55c656866
SHA256 abb0afcf3c3b8b2fcfacd79dcce67de94d4d47de96ddaf06f14d38685caba7a7
SHA512 3f702fdcb0e81abeb7b5ccbd3eb6599de9592816829267998a5cdcffaa0fd95c93e559385e4b1a0844ba3ac50f1c6286489b5a172e7d837588c78d47fc4eb373

C:\Users\Admin\AppData\Local\Temp\Disk.sys

MD5 17c31cb7ad10c27b2cea9360d6c70a2c
SHA1 a875214efaa9ff587f134210173159ea287478c0
SHA256 63308a4dfc891e04e4a6f7c56a0dd97191ee7535b129c124ccda116e3f2162d8
SHA512 d4ea3431237bc6dd1177a0ea8014e4a266aa0bf23a2114a38af21e0aee3a3d277fdcb01a9cf95b3c68ba0bc7d76b4db4afaef14fa96770124e0f364a9e81c5b4

memory/3024-190-0x0000000000400000-0x0000000000412000-memory.dmp

memory/2372-193-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2372-194-0x0000000000400000-0x0000000000628000-memory.dmp

\Windows\system\spoolsv.exe

MD5 69714d92cbcc9a70e15d85cf12d7c0e6
SHA1 c7393876f2cbccf85e76a2db6a007bdfbe3dbff4
SHA256 4adfea95e4db8d0b47a1a9b53a3205231c10dd2770d40cde8ac8aaf993b0e2f1
SHA512 f9d69c783fc455507ce8098162667aaaa0debb27c3d1d5e059ade493c4a5fc0c7a6d1594e7bbe793d0a9930eabc0ae26e3c4a23ff084116fb555163a65f8007d

memory/956-197-0x0000000002E40000-0x0000000002E86000-memory.dmp

\Windows\system\spoolsv.exe

MD5 11946a52a9247fdb9fd1ee1c53023a01
SHA1 e688301f6edaf39e96e7fe7b6acae25252b77afb
SHA256 0fbaf9f2c0ba7378a633804c2650fbf30504dbdfd5dfcce838be1dfeba22fc9d
SHA512 db87c482e6c8656a89c560553a4b796cef836fd5b1a6d435d080b5b994449b86fdd8664e9abab88c2513ea41a9d7549c3515c2372661b26ee3f698e09577e23c

C:\Windows\system\spoolsv.exe

MD5 fd99accfa25fcebf8cda4ca0f22b88fd
SHA1 51ce105a5f4dcb6b9916e3fd8680492ff59e4ae8
SHA256 30c248d12471ba7706090e7cd085107c7668a228ff5c498cde9051ee7a7beb33
SHA512 2cf50b5982966c943a4c57afbbff3260bccc5b8b603079c010b2b803a1b577356062824cfda7850198eb04541d8b5fdf6900186e60cc2848434e327ef13f9bd6

\??\c:\windows\system\spoolsv.exe

MD5 f820c364928f7aad63842633a34c1a5c
SHA1 b85f04b0c45080ad319d73064fba574dfcfaf9bc
SHA256 03b1ff9dd29675d0efceb6398dca9e960eaab66352f57fc879db9d2b878d5559
SHA512 dd25da621b54d18923c01df281104af1cd8cb93e58092dab881ead0e306e1d574a3ee5e423d2389ec9cf6fea679c987ade3758844925f45990feb8f1437272dd

memory/2828-203-0x0000000000400000-0x0000000000446000-memory.dmp

\Windows\system\spoolsv.exe

MD5 0612afb3e27451c56aaaf412088db0bc
SHA1 8913d87d487bc94c91b045dfe6f64e16a16059ca
SHA256 97ac3821b5bbf7c56fd7d5e3f4f7a99859855a72c711259f5148739c1de64168
SHA512 726fe4ada9f97ed88418086c872cd7bbb07c97c9b4f94eca72a9b583ff4cbeb013f9fb229183c51cf76d62c01965474e5486d0ddfac47230368176ad7c282f3f

C:\Windows\system\spoolsv.exe

MD5 50a557665c5bb4fa372fadbeba73303e
SHA1 df2eddc14a72381cc26c83268faa2f1806a58457
SHA256 26a053bae335fa424fb830ccbab450145b163c9d475edffa38384e3e623bcd5e
SHA512 59d16c7bad2cb69ab52caddac72a3518e81f7aed71f313c52c6b618eccbfcad5ec809503d8f0405102b8a89b1c08bcc695a01cc5b19f83dad0b07c945dae76ad

memory/792-239-0x0000000000400000-0x0000000001990000-memory.dmp

\Windows\system\spoolsv.exe

MD5 dc815de4b487814c1b0bb56bf277b796
SHA1 5bbf793a954aeecbea08bf8ddbe536433ab1f73a
SHA256 5c0a14b2f818f0b3e620fdda4e165bb6abb9252172190c64a89a86c58d09592d
SHA512 b87e2f5243e0105cae92be92ff3cae89d76e1f1dd79e36f793e38a5cd00423c7c66ad3e89f3dc1052aa128068d53ff8bbde5cec872802c680c0d310bcebd9742

memory/956-249-0x0000000002E40000-0x0000000002E86000-memory.dmp

\Windows\system\spoolsv.exe

MD5 fd6a7ae6efdd4613f387af832d4f022f
SHA1 9f2e584c3d80e9438f431cf36cadeab9bc7afdcd
SHA256 f8aaf3b2b599cc9de74fbb8691da9fe8e1749cb8452f6c8bad1ea044b5d89d7e
SHA512 605e0945196fec1848ee687b9c52d7ce942ba260de9ead7d2d3030f25b7b2e68698f7b1b0ad82ee06553004cdc6616e2c0101773087c084780d9989db8270b78

memory/2828-241-0x0000000000400000-0x0000000000446000-memory.dmp

memory/2644-251-0x0000000000400000-0x0000000000446000-memory.dmp

memory/956-247-0x0000000002E40000-0x0000000002E86000-memory.dmp

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs

MD5 13222a4bb413aaa8b92aa5b4f81d2760
SHA1 268a48f2fe84ed49bbdc1873a8009db8c7cba66a
SHA256 d170ac99460f9c1fb30717345b1003f8eb9189c26857ca26d3431590e6f0e23d
SHA512 eee47ead9bef041b510ee5e40ebe8a51abd41d8c1fe5de68191f2b996feaa6cc0b8c16ed26d644fbf1d7e4f40920d7a6db954e19f2236d9e4e3f3f984f21b140

\Windows\system\spoolsv.exe

MD5 1da9b42e228d5f1dd1d6918de8475852
SHA1 4481b9e0d6c481383f27102327f9f537a6a232ab
SHA256 d369c634127f5c98147c7d1507b708e5d1698a0f6df3a3113f62d12cf16d2bad
SHA512 caae7ee73a5b527269e061531fea07c8bee0308998719a88113f53fdc3af4cc2124c5295a3fe2ffee371aa3b6ddaf0b4010e48a030c099a2bc6623b50ae2f022

memory/2644-258-0x0000000000450000-0x0000000000496000-memory.dmp

memory/956-273-0x0000000000400000-0x000000000043E000-memory.dmp

memory/792-274-0x0000000000220000-0x0000000000221000-memory.dmp

memory/956-300-0x0000000002E40000-0x0000000002E86000-memory.dmp

\Windows\system\spoolsv.exe

MD5 7fdba6ad732dfc7dd9f3f1614656ebe3
SHA1 e44eed44ef1a26d5e63041c77c82d4b361db863c
SHA256 65feabf9137c6d1928dbc35489c2380bb90659db39207734638b5f229808c8cf
SHA512 5fde260301e8413d598116bad3b16c537513c88ebb5364af8357e111c3455aeb111520eb46c0eec12d6ba4578559fb36b11e0fe1a9f3fbf94ae62be5507bbb9d

memory/2448-302-0x0000000000400000-0x0000000000446000-memory.dmp

C:\Windows\system\spoolsv.exe

MD5 f0e948a925da0cb6836bf7e90d761ab4
SHA1 6e0ec59790a91e4c7871c61def682eb6cc31e355
SHA256 94f8dfeeb2cd793bbcfefee3e6dfd04d58148feaa8b9f9ebe16bd944ad20399c
SHA512 471505cf20ccebdfe2b9c20e96afc14487ab58f939d365f0b48b4142116fa7e1e7ea17b1b27c938ec9ebeb8614a54f312743c008c8eaf74c179485bdb6def9e6

memory/956-309-0x0000000002E40000-0x0000000002E86000-memory.dmp

memory/2448-310-0x0000000000340000-0x0000000000386000-memory.dmp

memory/2688-328-0x0000000000220000-0x0000000000221000-memory.dmp

C:\Windows\system\spoolsv.exe

MD5 e87a761b30b91597435c147f9de4ac38
SHA1 9d5a40759f3e4b427a64dd42110240f25bbcb018
SHA256 f3349f16f3c52cd68c4d996e223d8d7d94ad90275806d26f21ed7c371f44d732
SHA512 8d43e17887f8f2c61db2c308525a244bf78b86d5ef0104731fafdb078866e7961170f7903652e0d5df28172d6618f7112018530a98d5fcddcc116b3460c3a3d9

\Windows\system\spoolsv.exe

MD5 f0d17369e60714d71d8b4990e4e3dcc6
SHA1 cb7850ad40f43b770a9778b4cad1f2b86ae407f8
SHA256 5eeb9e15ee28bdc99dcb9dcc8b44257d9e1cab3bd5cae05c246b1791d84af8ea
SHA512 c486ffe8ab832f92276e1c5360ef0141cc3865348f22e9f3ee6ef6be76dbcc97187fc9d390536f0b02cf4a7501e7c1ace67f8e9ab72eba7338801ef7cf39b223

memory/956-360-0x0000000002E40000-0x0000000002E86000-memory.dmp

C:\Windows\system\spoolsv.exe

MD5 bf5874b19afa20fa3bf0e902da2302b4
SHA1 ca004c361dbe017dc97f1d423f381b30bc204b91
SHA256 5dd9a4127ced859e3cdc4eb023bffa4f677eea7721f5e499bf19efcb95d25937
SHA512 ec2d720260668f20b76937781bb5995350a63684fa9c475af512b6f06ae23d90d0fa8f34b4864924ce0bd614a447095e555262a5a3ae3ec699c8e891581cd641

\Windows\system\spoolsv.exe

MD5 627e274178dcc737622ed2be0f6f5502
SHA1 6b9babc1697a0b58b7907463eb3c5fe76eaab963
SHA256 8e52ac3bd96176dcb2589150513d955525c6ad8c909779236b24da336423db86
SHA512 141e69667a44e7f54379f0ee9c7095ea155a0de602aadcdb38a2cc9e6423c157495cadcf71661eaf6abae749b1e5904c4f569a5caa4e45495d55c81cc1b1e636

memory/956-361-0x0000000002E40000-0x0000000002E86000-memory.dmp

memory/440-363-0x0000000000400000-0x0000000000628000-memory.dmp

\Windows\system\spoolsv.exe

MD5 2bd81f8ec10438c465af48a55f7dcb5b
SHA1 a0f9aea762966ee0addf8a37f9bbb484b13eed1f
SHA256 03e7054dd4ec7cb0a2cb53fecf561c886d0ce8907e057786e840372eec93afc5
SHA512 34d47ef73b7b6d691ab776a94adf957bee93e4d39f91c8ebeff6d634ae38584967188aaa27d699decd17a1addf5872d10b0d248cdd2b11cd266ed75881e1e5ea

memory/440-373-0x0000000000400000-0x0000000001400000-memory.dmp

memory/3068-376-0x0000000000400000-0x0000000000446000-memory.dmp

memory/3068-381-0x0000000000250000-0x0000000000296000-memory.dmp

memory/440-391-0x00000000001B0000-0x00000000001B1000-memory.dmp

Analysis: behavioral2

Detonation Overview

Submitted

2024-02-25 19:46

Reported

2024-02-25 19:48

Platform

win10v2004-20240221-en

Max time kernel

150s

Max time network

119s

Command Line

"C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe"

Signatures

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\explorer.exe" \??\c:\windows\system\explorer.exe N/A

Modifies visiblity of hidden/system files in Explorer

evasion
Description Indicator Process Target
Set value (int) \REGISTRY\USER\S-1-5-21-1392040655-2056082574-619088944-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0" \??\c:\windows\system\explorer.exe N/A

WarzoneRat, AveMaria

rat infostealer warzonerat

Warzone RAT payload

rat
Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A

Modifies Installed Components in the registry

persistence
Description Indicator Process Target
Key created \REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666} \??\c:\windows\system\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "C:\\Users\\Admin\\AppData\\Roaming\\mrsys.exe MR" \??\c:\windows\system\explorer.exe N/A

Drops startup file

Description Indicator Process Target
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs \??\c:\windows\system\spoolsv.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs \??\c:\windows\system\spoolsv.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs N/A N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs \??\c:\windows\system\spoolsv.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs \??\c:\windows\system\spoolsv.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs \??\c:\windows\system\spoolsv.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs N/A N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File created C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs \??\c:\windows\system\spoolsv.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs \??\c:\windows\system\spoolsv.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs C:\Windows\SysWOW64\cmd.exe N/A

Executes dropped EXE

Description Indicator Process Target
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A C:\Windows\System32\Conhost.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A

UPX packed file

upx
Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A

Adds Run key to start application

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Explorer = "c:\\windows\\system\\explorer.exe RO" \??\c:\windows\system\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Svchost = "c:\\windows\\system\\svchost.exe RO" \??\c:\windows\system\explorer.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-1392040655-2056082574-619088944-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft OneDrive = "C:\\Users\\Admin\\AppData\\Local\\Chrome\\StikyNot.exe" C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-1392040655-2056082574-619088944-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft OneDrive = "C:\\Users\\Admin\\AppData\\Local\\Chrome\\StikyNot.exe" \??\c:\windows\system\explorer.exe N/A

Suspicious use of SetThreadContext

Description Indicator Process Target
PID 5092 set thread context of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 1860 set thread context of 532 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 1860 set thread context of 4676 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\diskperf.exe
PID 1900 set thread context of 3908 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 3908 set thread context of 3204 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 3908 set thread context of 4280 N/A \??\c:\windows\system\explorer.exe C:\Windows\SysWOW64\diskperf.exe
PID 1784 set thread context of 1056 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4924 set thread context of 4528 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 1448 set thread context of 2264 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 1292 set thread context of 3944 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 1164 set thread context of 3052 N/A C:\Windows\System32\Conhost.exe \??\c:\windows\system\spoolsv.exe
PID 1256 set thread context of 2944 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 232 set thread context of 1676 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 3440 set thread context of 1092 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4396 set thread context of 2800 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 3580 set thread context of 448 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4900 set thread context of 2072 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 2300 set thread context of 2460 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4488 set thread context of 5088 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 1792 set thread context of 4416 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 1608 set thread context of 2972 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4332 set thread context of 4988 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 888 set thread context of 1580 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 3452 set thread context of 3920 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 1900 set thread context of 1696 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4852 set thread context of 1208 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 2728 set thread context of 4992 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4916 set thread context of 1628 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4356 set thread context of 4612 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 916 set thread context of 2564 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4604 set thread context of 2052 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4432 set thread context of 4444 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 440 set thread context of 2360 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 1168 set thread context of 456 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4476 set thread context of 1240 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4548 set thread context of 3512 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4968 set thread context of 3856 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 2608 set thread context of 2232 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4616 set thread context of 1756 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 1456 set thread context of 1384 N/A \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe
PID 4548 set thread context of 4736 N/A \??\c:\windows\system\spoolsv.exe

Drops file in Windows directory

Description Indicator Process Target
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\explorer.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe N/A N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\explorer.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe N/A
File opened for modification \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe N/A N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe C:\Windows\System32\Conhost.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A
File opened for modification \??\c:\windows\system\spoolsv.exe \??\c:\windows\system\spoolsv.exe N/A

Enumerates physical storage devices

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A C:\Windows\System32\Conhost.exe N/A
N/A N/A C:\Windows\System32\Conhost.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\explorer.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A C:\Windows\System32\Conhost.exe N/A
N/A N/A C:\Windows\System32\Conhost.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A
N/A N/A \??\c:\windows\system\spoolsv.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 5092 wrote to memory of 1636 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\cmd.exe
PID 5092 wrote to memory of 1636 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\cmd.exe
PID 5092 wrote to memory of 1636 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\cmd.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 5092 wrote to memory of 1860 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 1860 wrote to memory of 532 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 1860 wrote to memory of 532 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 1860 wrote to memory of 532 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 1860 wrote to memory of 532 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 1860 wrote to memory of 532 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 1860 wrote to memory of 532 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 1860 wrote to memory of 532 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 1860 wrote to memory of 532 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe
PID 1860 wrote to memory of 4676 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\diskperf.exe
PID 1860 wrote to memory of 4676 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\diskperf.exe
PID 1860 wrote to memory of 4676 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\diskperf.exe
PID 1860 wrote to memory of 4676 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\diskperf.exe
PID 1860 wrote to memory of 4676 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe C:\Windows\SysWOW64\diskperf.exe
PID 532 wrote to memory of 1900 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe \??\c:\windows\system\explorer.exe
PID 532 wrote to memory of 1900 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe \??\c:\windows\system\explorer.exe
PID 532 wrote to memory of 1900 N/A C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe \??\c:\windows\system\explorer.exe
PID 1900 wrote to memory of 3700 N/A \??\c:\windows\system\explorer.exe C:\Windows\SysWOW64\cmd.exe
PID 1900 wrote to memory of 3700 N/A \??\c:\windows\system\explorer.exe C:\Windows\SysWOW64\cmd.exe
PID 1900 wrote to memory of 3700 N/A \??\c:\windows\system\explorer.exe C:\Windows\SysWOW64\cmd.exe
PID 1900 wrote to memory of 3908 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 1900 wrote to memory of 3908 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 1900 wrote to memory of 3908 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 1900 wrote to memory of 3908 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 1900 wrote to memory of 3908 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 1900 wrote to memory of 3908 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 1900 wrote to memory of 3908 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 1900 wrote to memory of 3908 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 1900 wrote to memory of 3908 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 1900 wrote to memory of 3908 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 1900 wrote to memory of 3908 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 1900 wrote to memory of 3908 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe
PID 1900 wrote to memory of 3908 N/A \??\c:\windows\system\explorer.exe \??\c:\windows\system\explorer.exe

Processes

C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe

"C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe

C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe

C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe

C:\Users\Admin\AppData\Local\Temp\a4725ad10f9eded40604eda0966a953b.exe

C:\Windows\SysWOW64\diskperf.exe

"C:\Windows\SysWOW64\diskperf.exe"

\??\c:\windows\system\explorer.exe

c:\windows\system\explorer.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\explorer.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\explorer.exe

c:\windows\system\explorer.exe

\??\c:\windows\system\explorer.exe

c:\windows\system\explorer.exe

C:\Windows\SysWOW64\diskperf.exe

"C:\Windows\SysWOW64\diskperf.exe"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

C:\Windows\System32\Conhost.exe

\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe SE

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "c:\windows\system\spoolsv.exe",1: >"C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

\??\c:\windows\system\spoolsv.exe

c:\windows\system\spoolsv.exe

Network

Country Destination Domain Proto
US 8.8.8.8:53 6.181.190.20.in-addr.arpa udp
US 8.8.8.8:53 9.228.82.20.in-addr.arpa udp
US 8.8.8.8:53 204.178.17.96.in-addr.arpa udp
US 8.8.8.8:53 55.36.223.20.in-addr.arpa udp
US 8.8.8.8:53 41.110.16.96.in-addr.arpa udp
US 8.8.8.8:53 50.23.12.20.in-addr.arpa udp
US 8.8.8.8:53 171.39.242.20.in-addr.arpa udp
US 8.8.8.8:53 140.71.91.104.in-addr.arpa udp
US 8.8.8.8:53 198.178.17.96.in-addr.arpa udp
US 8.8.8.8:53 189.178.17.96.in-addr.arpa udp
US 8.8.8.8:53 19.229.111.52.in-addr.arpa udp

Files

memory/5092-0-0x0000000000400000-0x0000000000446000-memory.dmp

memory/1860-2-0x0000000000400000-0x0000000001400000-memory.dmp

memory/1860-3-0x0000000000400000-0x0000000000628000-memory.dmp

memory/5092-4-0x0000000000400000-0x0000000000446000-memory.dmp

memory/1860-6-0x0000000000400000-0x0000000000628000-memory.dmp

memory/1860-7-0x0000000000400000-0x0000000000628000-memory.dmp

memory/1860-8-0x0000000000400000-0x0000000001400000-memory.dmp

memory/1860-9-0x0000000000400000-0x0000000001400000-memory.dmp

memory/1860-11-0x0000000000400000-0x0000000000628000-memory.dmp

memory/1860-10-0x0000000000400000-0x0000000001400000-memory.dmp

memory/1860-12-0x0000000000400000-0x0000000001400000-memory.dmp

memory/1860-13-0x00000000073E0000-0x00000000073E1000-memory.dmp

memory/1860-14-0x0000000000400000-0x0000000000628000-memory.dmp

memory/1860-16-0x0000000000400000-0x0000000001400000-memory.dmp

memory/532-19-0x0000000000400000-0x000000000043E000-memory.dmp

memory/532-21-0x0000000000400000-0x000000000043E000-memory.dmp

memory/4676-24-0x0000000000400000-0x0000000000412000-memory.dmp

memory/4676-28-0x0000000000400000-0x0000000000412000-memory.dmp

memory/1860-29-0x0000000000400000-0x0000000001400000-memory.dmp

memory/1860-33-0x0000000000400000-0x0000000000628000-memory.dmp

memory/4676-30-0x0000000000400000-0x0000000000412000-memory.dmp

C:\Windows\System\explorer.exe

MD5 dc8d80ad34e644ba89b81e9d6b1b526d
SHA1 fd72959d97eba43b49982fd1249c7bc30bc45855
SHA256 4b6bc0744a0e1056e0acb60eb7557346ff37e05cfed963a3ac59dee7074197de
SHA512 21c7ff57af3bf65ca2a44661539bc6c457b594721c4eae58ed39e05639b0a5067002c73a667c2324de7734a49da667917c7ec42cc3c0d49089644d2e315b680c

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs

MD5 8445bfa5a278e2f068300c604a78394b
SHA1 9fb4eef5ec2606bd151f77fdaa219853d4aa0c65
SHA256 5ddf324661da70998e89da7469c0eea327faae9216b9abc15c66fe95deec379c
SHA512 8ad7d18392a15cabbfd4d30b2e8a2aad899d35aba099b5be1f6852ca39f58541fb318972299c5728a30fd311db011578c3aaf881fa8b8b42067d2a1e11c50822

C:\Windows\System\explorer.exe

MD5 2834bc4063e7822cc4997255e0e15f2e
SHA1 340d25e447835c453aa7bc83ae8c1d90b606eab4
SHA256 13b3f43eb919ff486c3359304876ac5de3120bdc4ba865d290bf20cd1023f252
SHA512 973998a8b53ebf7b1814fd28daf27a32e819f2a08e47bf04fcaa3e056d8db936fa32f28f5be99209839962a0a9f1ef4b83bcc3c01292a653cba6cf9bc52c4a8e

memory/1900-44-0x0000000000400000-0x0000000000446000-memory.dmp

memory/3908-46-0x0000000000400000-0x0000000001990000-memory.dmp

memory/3908-47-0x0000000000400000-0x0000000001990000-memory.dmp

memory/532-45-0x0000000000400000-0x000000000043E000-memory.dmp

memory/3908-49-0x0000000000400000-0x0000000001990000-memory.dmp

memory/3908-51-0x0000000000400000-0x0000000001400000-memory.dmp

memory/3908-50-0x0000000000400000-0x0000000001400000-memory.dmp

memory/3908-52-0x0000000000400000-0x0000000001400000-memory.dmp

memory/3908-54-0x0000000000400000-0x0000000001400000-memory.dmp

memory/3908-53-0x0000000000400000-0x0000000001990000-memory.dmp

memory/3908-55-0x0000000008EB0000-0x0000000008EB1000-memory.dmp

memory/3908-56-0x0000000000400000-0x0000000001990000-memory.dmp

memory/3908-58-0x0000000000400000-0x0000000001400000-memory.dmp

memory/3908-59-0x0000000008EB0000-0x0000000008EB1000-memory.dmp

C:\Users\Admin\AppData\Local\Chrome\StikyNot.exe

MD5 69781dd2543fdf58d405ad90a51ac5c9
SHA1 928d0ddc74eb09874a70c29de92cc23d71a7908d
SHA256 a5bbf2e0624e8656faecf98f0a2dfe9215355995c05d9464b01ccea24259badf
SHA512 abe9eaadccfc4b87eadd404418ba91aa863b74ef145acc12f0a847b48541773e3171551cecb5816c47c28683c3b8161740a8160aa708f6bb8ce4d9687cee5c30

C:\Users\Admin\AppData\Local\Temp\Disk.sys

MD5 076b4f685d42310092b6e204cbd1e61a
SHA1 1a18234221ec032d48b75dad0e32f9b31622e165
SHA256 af113583e843283772d815e2d7492630cfb67774f42f08caa8c010f04f130dd7
SHA512 3bdc8642ee36f069924af0954d206f4664971ae635a5afecb7f3fd3529523e85e9037a0e2a594dcecf9dab3d18f0ecc3040bdfff478f10b8b8639a1907205ab8

C:\Windows\System\explorer.exe

MD5 4dad54f5d9fc158a86921702e127c255
SHA1 c8d9741641aa1c9eb8cc539acc1050e18ac9e25a
SHA256 c88dd153854a3fd446a4c85d17286bf425900dd71caad1f78010ebf664f8be96
SHA512 3bb106f97070e56a50eb193df1b25e12ffab20712c5a8059a15c4de708244e07e467044e06d65a00f740d26a72248d4c90d0d682d0b7f43eb06a93f0c6b4c51f

memory/3204-69-0x0000000000400000-0x000000000043E000-memory.dmp

memory/3908-73-0x0000000000400000-0x0000000001400000-memory.dmp

memory/3908-76-0x0000000000400000-0x0000000001990000-memory.dmp

memory/4280-79-0x0000000000400000-0x0000000000412000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 88123990d8bdc6a042ce01d8c67be80a
SHA1 966f003fd341f146f052350eaa594ebb077ddd05
SHA256 1d3e999f611ef02173646e6a35fbf7a9aaf0cb496af462478132ab89baab9935
SHA512 5c874fdbe1425d6346931b7e2853898979e7f635d7628ba2c89f17aae5bf8c88c0fb6b476137af9200ea396f358b2b5b262c0f2ce0f8077f55f3891746bbc042

\??\c:\windows\system\spoolsv.exe

MD5 6c6f84a4d956ccd4090701fe43f521c7
SHA1 fde28b68ec074e313b2a3533642b2e39342d3fce
SHA256 7d0cae6e75cb809117ebfcdeb1d1f8ece4967fca2065ddfb9cc207640160775d
SHA512 7b515ea1ab4eb644556166bca0e77eaeaf6a82bab63c5b435a9a806323732d60d6ba75463dbb08b7ab8af949539fab17f0a4593f4079833f7dbc07976c1c90f2

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs

MD5 13222a4bb413aaa8b92aa5b4f81d2760
SHA1 268a48f2fe84ed49bbdc1873a8009db8c7cba66a
SHA256 d170ac99460f9c1fb30717345b1003f8eb9189c26857ca26d3431590e6f0e23d
SHA512 eee47ead9bef041b510ee5e40ebe8a51abd41d8c1fe5de68191f2b996feaa6cc0b8c16ed26d644fbf1d7e4f40920d7a6db954e19f2236d9e4e3f3f984f21b140

C:\Windows\System\spoolsv.exe

MD5 3cfdf2ddf2e502abaf85d91b18546efe
SHA1 6eb2f2367135a2543258051cefe5c5aee7c32201
SHA256 08b22cd89d1eecad9c21d8cf5ff3262b5475827dcca2a7a74b9eed12fd3d805a
SHA512 ee7b44cd0899ec745f452ad03edbddac133ebcce90d8f3918fd60ff343e62d77ae3b368d29d5ba20d31e7849bbb15739cb1c09a32a680d164423b16cfba61d74

memory/1784-92-0x0000000000400000-0x0000000000446000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 c667cee2f2d1ab7d07868ed6260b9618
SHA1 30a9417187059c37a8ed9726a39311080accbc23
SHA256 da3998514f90aad565cdc2492d6e62005c6132588a61ab8b6b06976d384a48af
SHA512 d3b67056e3b5887bc6ab2b87fb96d928126473e32f339c3e8c5ddd201c32b70829affaa51cedfa6e2d63ec774442fa1bb77f7559fe5be21cb435982f6063eea7

memory/1056-94-0x0000000000400000-0x0000000000628000-memory.dmp

memory/1056-98-0x0000000000400000-0x0000000001400000-memory.dmp

memory/1056-96-0x0000000000400000-0x0000000001400000-memory.dmp

memory/1056-99-0x0000000000400000-0x0000000000628000-memory.dmp

memory/4924-100-0x0000000000400000-0x0000000000446000-memory.dmp

memory/1056-97-0x0000000000400000-0x0000000001400000-memory.dmp

memory/1056-101-0x0000000000400000-0x0000000001400000-memory.dmp

memory/1056-102-0x00000000072A0000-0x00000000072A1000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 ccced316f2160d7ad42e15b6fb67a9ec
SHA1 5bb27d186591c48f63f944bdcfda6e4b8b27b6e8
SHA256 0d662ba4e5ca2583970cdb464f5dc5ecd15413db6a3ba79961991997b3593b30
SHA512 9e47312b710380a1d0a565a4abfb9df339c659ab2361581c4dee66a787913ee0162006d46649f1ab8e5e02c57ad928a2b104330cf38ccb3ff14ec944b94f646f

C:\Windows\System\spoolsv.exe

MD5 627e274178dcc737622ed2be0f6f5502
SHA1 6b9babc1697a0b58b7907463eb3c5fe76eaab963
SHA256 8e52ac3bd96176dcb2589150513d955525c6ad8c909779236b24da336423db86
SHA512 141e69667a44e7f54379f0ee9c7095ea155a0de602aadcdb38a2cc9e6423c157495cadcf71661eaf6abae749b1e5904c4f569a5caa4e45495d55c81cc1b1e636

memory/1448-111-0x0000000000400000-0x0000000000446000-memory.dmp

memory/4528-110-0x0000000000400000-0x0000000000628000-memory.dmp

memory/4528-112-0x0000000000400000-0x0000000001400000-memory.dmp

memory/4528-113-0x0000000000400000-0x0000000001400000-memory.dmp

memory/4528-115-0x0000000000400000-0x0000000000628000-memory.dmp

memory/4528-114-0x0000000000400000-0x0000000001400000-memory.dmp

memory/4528-116-0x0000000000400000-0x0000000001400000-memory.dmp

memory/4528-118-0x00000000074A0000-0x00000000074A1000-memory.dmp

memory/3204-120-0x0000000000400000-0x000000000043E000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 ce2f5b26ab560439558b299bd55d6d5c
SHA1 45ea0ec3e40402007fd92265707cd6aa76ce16eb
SHA256 5291e7f781394f161aa24313986d5df85a0154439ae324347b6fe55ca5430b29
SHA512 992a8ddf55644f1e3c004ec0d2d707165c5685b3ae569eaf510991315d7f6366a1cce5ee9dad7144111c0b06ad0169534271a34189f97520452b832640a4fa8a

C:\Windows\System\spoolsv.exe

MD5 9bb7dda4cb8331bf0ae1d897b4df3af2
SHA1 337e01d0cdbaca3be4650569706e681ad543d45e
SHA256 e43abfd9c2a6265239bbd492866af790d9608ba2f3198062680873ddc25f5729
SHA512 3a283ae597408fbcb3164272e89aea903877fb6a9d8a025fda5cc636a8cd57a126332178c1958d58e2052429fb56a96d49ec9e4eac972f6ebd33e35d5d335496

memory/2264-131-0x0000000007100000-0x0000000007101000-memory.dmp

memory/1292-132-0x0000000000400000-0x0000000000446000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 f159a86c74581bd23d72c406d9c99376
SHA1 eb5eb84be222c5a8aa19b2b3c43782a3ae5c397f
SHA256 3216ba84187978b8685680564d4bffb29a3d9a49f95e09ce232d71947cc79361
SHA512 4658d72ce3befafefd118fdc6c01bac884a8ed71445a569f30220ddb33152cafdeab5d4c250b1999fd218642826fbdfea2ad46c66e5fb80263903cb2c320e4cc

C:\Windows\System\spoolsv.exe

MD5 5132a41535fa8fa6eb41b01f4fd4988f
SHA1 1b2b166555fffa865acbf79afbc18c5cbc5ce690
SHA256 14d09cf51b9e64558bcfc362d8877ecf41bcca89801248623bc894cbcebfa611
SHA512 f23d6fbf7c0416182d58a0764b898eba33b51b867577c3ece861e34241c0376885f2399a33aa0080e43e097308ccce199f335597627f9d9f4e800a2620ed2407

memory/1056-137-0x0000000000400000-0x0000000001400000-memory.dmp

memory/3944-141-0x0000000000400000-0x0000000000628000-memory.dmp

memory/1164-145-0x0000000000400000-0x0000000000446000-memory.dmp

memory/3944-148-0x00000000072A0000-0x00000000072A1000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 6b3159725f8ded76b9d763714c81fec4
SHA1 acac0941e662fb6d380f170d641a7c877817b8b1
SHA256 770c9920adec258ed83f717e263313b498a36b332ab9e7e55258a0c6f80d97a0
SHA512 68a33d8d3fd6e89d00826473b23468b7d8babad6398df1f3e933ffe94d8926dbcc26aa8fffcd7c3df316b326fe1b79c8e6ca9f593035a67c9d2628e6fc2384b8

memory/1056-152-0x00000000072A0000-0x00000000072A1000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 f3bb7cea0a8bda49763d6b84812698fb
SHA1 b6c1cd2e12389e3147997a51d68f8fc2b53c6f00
SHA256 bd7e7b8157c880e05945c4ac2e5adb776c63257fb9eb7b0246eb614d2a7d93cc
SHA512 50464864faec4297210a1dc0eb73093e26fbe6bbf43a47e32326b9b586c4cbe0bb1560f8832218fc5f737c2313c2193dceb6b328e78fd4ad617e33df4c43445b

memory/3052-158-0x0000000000400000-0x0000000000628000-memory.dmp

memory/4528-156-0x0000000000400000-0x0000000001400000-memory.dmp

memory/3052-164-0x0000000000400000-0x0000000001400000-memory.dmp

memory/1256-165-0x0000000000400000-0x0000000000446000-memory.dmp

memory/3052-166-0x0000000007190000-0x0000000007191000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 eca438d05a3bc4e5a4c21de7bd7e7bb6
SHA1 03daae405cc75d24ad595c47ae6a0d65eff74300
SHA256 e254c68442423ac8d1bba1f8c6e07badac923775dd590c362b64e3df211de448
SHA512 b209b827bb274e90c54d464710b1ebcc48c746e202ecc805903b996616bbf361b1f4523d299f5db4a145600f2a49a7b1483c352593d5af37fe16b26ac454a2a3

C:\Windows\System\spoolsv.exe

MD5 2ee10f4d048a660616024644dfa6dd58
SHA1 718c3398d20773d07cb7fdb95aec079691f7606c
SHA256 7d885995257bc460632def82cb9e81508f1c5b6d82e604d6fcaae6d43a4c9321
SHA512 af3a451ad68ad9bd8c66bc6e0be3fb7668fe6fc78307093df655c95030620ad52ffc5d574c32b2c02d207c924999c4ccde0db36346112d5a1aee7443ad2e52ca

memory/2264-174-0x0000000000400000-0x0000000001400000-memory.dmp

memory/232-177-0x0000000000400000-0x0000000000446000-memory.dmp

memory/2944-181-0x0000000007030000-0x0000000007031000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 70bc62701728b8dde3f8d4c855e55c13
SHA1 474df37584033002bef71bf2f46c1c9b1c81ad59
SHA256 4d57bbf267c71118d134274e3a82b38e801f207d9de2fccade82229294eea922
SHA512 f3e938754dbb03de2b13cbee7f38a8c75fe00cb9a2e38e5a93c96f40c34e5cd9c4420c3f37bae1b20f7bd11e6358faaf9bc600105a4b1ba363af16ec34c0f77f

C:\Windows\System\spoolsv.exe

MD5 245a6038a9ae9f5bb2ae52867c6d29e1
SHA1 b00f7d1d0bba37ffb287337bb6282af84ac96a2e
SHA256 fb76391a14244ed15d7c0460f2df57cb43be70085a0ce5486173587ae4c6810e
SHA512 8404bd5e7cb273f94080e286c182e827253765efd22047e6a74bd7cd63cd9729d2acd22bdef0a07146530fefedcf79c637c029fce40029227df5c93e648f5c1c

memory/1676-186-0x0000000000400000-0x0000000000628000-memory.dmp

memory/3440-193-0x0000000000400000-0x0000000000446000-memory.dmp

memory/3944-194-0x0000000000400000-0x0000000001400000-memory.dmp

memory/1676-197-0x00000000071B0000-0x00000000071B1000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 1d27a0650f011f51f149c861e7894949
SHA1 721e72b17bf09adc45ee9cf8c60a76e900dcf763
SHA256 b49f4dc56ac4551c2d523868e40bf050b76d2c142f9cc00a493e82f8b5c377b4
SHA512 bb2209911ba5eaff160c661be8ad86d59c1f893789bbcc0b6b88b1f2f0f645d5294e7c8a800bf6292443818c931c9037437654e3e9a3b3ef999816587d05bf27

C:\Windows\System\spoolsv.exe

MD5 f496eca40a814782d8e612cfe5755c25
SHA1 55b40e5fc828d4fda273e195f234b4f2dc328720
SHA256 f8e359f41b79c182147e0c4d89ed55a3cdd82c69e6020707919c6ca4084ac9bc
SHA512 ab130f9b49e998d328f51f694e8e467a2ad4b09c924f530566b39d01960fb22e20234f19cc77ca281bc8aa2fd5c3c4aa6d0d754c30cb2dac3335f43d8d79f282

memory/3052-206-0x0000000000400000-0x0000000001400000-memory.dmp

memory/4396-210-0x0000000000400000-0x0000000000446000-memory.dmp

memory/1092-214-0x0000000008D80000-0x0000000008D81000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 612bb1de8514787a6ad368543d82dcee
SHA1 a7a607500fb19db258e82c75bfc00f8a4d765129
SHA256 70267161c4e670e0ab1942723ad8e2279bd309eef6c137ffeec6f64c61db76b6
SHA512 c3d6cb73ce66835a2e6a9abe48fd72f0b98bb8b41b080512a148beeba8dee76bb112251b37ed5d6ea72751c6d45f019b0c8263a49787bb1a8db6758ed09985c6

C:\Windows\System\spoolsv.exe

MD5 a7c28b7bc590e2311fd2699229b9bd1b
SHA1 773ac77b8a727e08cdd21baf001d414341d43c47
SHA256 e05117e8492d53429ebf207f0bae0df5580ec253a8bce570c6d49137b4ee3c61
SHA512 f6609a0a7ad7244280a5367e5b552c20da61a538ae241aa9312089d41461433ef28bd83fcf5c0e3336622e246244f2baece30e0685f6e7599915b82ed1e6e1a1

memory/2800-222-0x0000000000400000-0x0000000000628000-memory.dmp

memory/2944-220-0x0000000000400000-0x0000000001400000-memory.dmp

memory/2800-226-0x0000000000400000-0x0000000001400000-memory.dmp

memory/3580-228-0x0000000000400000-0x0000000000446000-memory.dmp

memory/2800-231-0x0000000007390000-0x0000000007391000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 80471b27fb404bba56c4ccabbafb5009
SHA1 42247d3e64a3f4632a659161910cb3b98326167b
SHA256 be7dcaa189c0386eee856a91d9cd02d54d67c4eb1c2ad3e05b282225f9070978
SHA512 6c7b8d8629dd42d94c6605fb480be9e3ea2c4e1e6ceca5b95ecd303babe91bfe633411f1e5a2949c6ef6425299b5fc91abbba344a5ec991b5f2fd3e3f822c296

C:\Windows\System\spoolsv.exe

MD5 c4c1cf3ebc5b9145304d90a343765e01
SHA1 73ce3a32f2a17a625b04e40699837c8da64fe3ac
SHA256 8d7caf757f9d9a921d5e706de3e9c817870e8d71ad4922079f217f101d29099f
SHA512 b365ec722be5415631a0abac7536366cf48fb685d79ceef113b6831fd08f4d1a523a44c0db628c2b2884a553c989a4ea8d8c50f02f9d2741229a677e3aea87b7

memory/1676-237-0x0000000000400000-0x0000000001400000-memory.dmp

memory/4900-244-0x0000000000400000-0x0000000000446000-memory.dmp

memory/1092-246-0x0000000000400000-0x0000000001400000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 6d8836071d9fcfb9542df65549b3b44f
SHA1 c408ee23f9f08f1a0e919e414ae089911db23379
SHA256 f7e62b0585eebf5c7174ad6b868921032baa4aca590e2cd8bbe654f398cf38a8
SHA512 a115a89c00da626da172a6de9113441861e40d7ad412b1fa39423a1d06ae7caf0c370b8463cf558d6acee856a9a5efe9db6530e66dc360bbe43349027e576e36

memory/448-249-0x0000000007070000-0x0000000007071000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 01506aaaff66f9374c96cbb07d570de2
SHA1 3758b072808c7e377b59ccfbd1f4eb5b4fcaa4df
SHA256 c1ea15e3063946ea8fa9f2d50fcda0a75aac22de950de0ef5d54b52cda6002c2
SHA512 50d45aab38434c54f83eb42f9770ec048bae5c70ef12f2309d70682935c22dbf5c4057440836ecd471411281f300d20a9b44c8be714afa82b40e080564496d55

memory/2300-253-0x0000000000400000-0x0000000000446000-memory.dmp

memory/2072-258-0x0000000000400000-0x0000000001400000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 e1a3c9e8f3c519c5c6eed4a6805c6af7
SHA1 73763e763c8c214670eac7e7e9ca3d24e99e0f52
SHA256 eee050be1d379d45f307e9c5918b7df407f762a82376eba748d22cd8e82c2a6e
SHA512 3f1a8689b8ed53e7e66d4692a319e5b9e503c1ab9b3de73b87addda4ac7a0a7a7da3daedd00cd0d1db48c13506c0e7914226ceecaa990cde176e72fd035c19ef

memory/2072-261-0x0000000008B40000-0x0000000008B41000-memory.dmp

memory/2800-267-0x0000000000400000-0x0000000001400000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 c39a35f38496b3570c5a51feffb30198
SHA1 d820898651f5c30e789ab6c2593236f05bb755b6
SHA256 49bbb09d39177396f4aee1484db3589d85d4a9b0b4a23df08fce971a0ac194c4
SHA512 e54c87440fc5d8db79b321297062f48ac328b329bb3b595a07e43e2ec9edcc720387abf8d04c6246e510a2cdc3cc64e7125e6a0da8230f28b93e1cf029e14fde

memory/2460-271-0x0000000000400000-0x0000000000628000-memory.dmp

memory/4488-276-0x0000000000400000-0x0000000000446000-memory.dmp

memory/2460-279-0x0000000007260000-0x0000000007261000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 4fea82aa71fb47a9d5fd403db449d9ac
SHA1 39508a3bdc149a6084063716d22a42d038724c85
SHA256 59d180eacb06a540621076ffbbbc4286a4217cb75dd171f86fbd6ae8d890574a
SHA512 7d7c87a775d09b8f7905e0f5fb19e0ccdf5528385d3bde059756761234150f9bd767a87ff7e4c01cc724701b7107edbd8f2f78b2f7c242f43beebf39f7f43aac

C:\Windows\System\spoolsv.exe

MD5 53998e94facb8b09554c9a57b7807ca7
SHA1 5f1b068a230230c26946ab2dc271f3bc53151f60
SHA256 2a0bec70f16140a77b00430e33af1361696321309057738388b44d225eebb4e4
SHA512 fd435f21ba41605a28bd94fc883f629fde8705d3f27a7f88da51b564261adbf51ca1654cb231bb37b7a48f254c377803782b62c6ee1ac567f9933f6e10c8f114

memory/5088-284-0x0000000000400000-0x0000000000628000-memory.dmp

memory/1792-290-0x0000000000400000-0x0000000000446000-memory.dmp

memory/448-294-0x0000000000400000-0x0000000001400000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 32fe37619115759a71972a07945ac39c
SHA1 74ed3c1141107b176e16b305ae69acfc5e331d5f
SHA256 d0004415d433a52ebdcfbc9354090682466e26dcf99ef436605101088e702986
SHA512 ff7a873583843fc5bdc21dbf0373478dc7d7323d9e5920f715238a57194df7845d7d44f93e7dbb24fbe049712b8795acedbb9f4d708dc5375f976c7b3bfea76d

C:\Windows\System\spoolsv.exe

MD5 ebef98446e7bcdb0b6aa9a46afed5947
SHA1 f62172a964727da76c7bcb23675313feed0e09d0
SHA256 5b33f960fc437fa082522188684942c4b3b96aeff7badb0e61a1fd47d981ec07
SHA512 aa9bfe8c9d686757af91f944153a2a0d22c7d9a26a6e4952713918445ae86a2f3626e3a0dbb47ddceccb2c23f4b71f4b131497ae918c7e540de57cfe68211e3d

memory/5088-299-0x0000000007190000-0x0000000007191000-memory.dmp

C:\Windows\System\spoolsv.exe

MD5 25be229ce4b8f7fa29af9d7223ac23df
SHA1 10e0a9031acdeeda2a5bddcb06f497d8f22168f5
SHA256 f359084c0a44c042ba9916f431f9860f1a36b44ebd6ffbe839c2de2345b20bd1
SHA512 4b9ea49b55fe5f43c5dd36ac9ed60622a9af7e234baeb67114f1d1707bf5ae062d4e03d53aab7806e8fa88a218f479a2f3fb4eeab00e6b3745d58e91b8bb4e4a

C:\Windows\System\spoolsv.exe

MD5 ab95a316f8ba64fca99ba44e4d3abf0f
SHA1 c9890e2f02abb5d21f85e84238220af7726f1a21
SHA256 6672ea69e1bd8d9a0c3df15a1ee275afa76907bb02ef350d9891b0bdf435ff86
SHA512 5edbaa6912d272c43e5bb6fd016bd5846ca5f2164085eabe82eb0aa94943d4be1a0c119f1114e312dca3b3833acf0b83d8cee52edf263f4fef0984351e8bbe54

C:\Windows\System\spoolsv.exe

MD5 e56802b4b329b64e4ab3c531ca595588
SHA1 4fb691dcf2aa710e04961e50572250404d79614e
SHA256 0bede54ae8ad2bfc2cad2e019e740a26316cbb3525d9631904237815cd2026d0
SHA512 352e60bdade7573a4992312dd914e346a0f7470cbb7c17c2ce277a35017d43ec1612e85f8915a75420cd6dfee5a3d69d7869268ed8966218c443ba5201a9e062

C:\Windows\System\spoolsv.exe

MD5 70cef9f51ac7384ed829d094fd97e16a
SHA1 4586f0422b788e116c6ee57de99c1e197a13e6fd
SHA256 87dbff72b045cc279707e486093b926b9b02cfdfe8219f0697d1b9bc6c25db62
SHA512 b6784d64eedbc92c7e023e8f4294245aa4f297f170484dbad0b166513f7cf7a87c25d0611d83a12a34918cbf4c413717386955aaa26af3d7fca78e50990ac644

C:\Windows\System\spoolsv.exe

MD5 4ea961e4946b22e77f2f64ad9a19dcb2
SHA1 918ebb28cfbcfb2cf8995d179dbfb824647156ea
SHA256 5d910c693d15265a6a65c6964124ec47a9b524650e754407399f5773d189bf63
SHA512 bd3dc8cfbb84e43293d2fe85b5434f31ba848f1c16d354bfad873ff732a91e9421c26eb3971e0b1ed3aa842a097f984faacb6595785a7c31c9615795d4b368f8

C:\Windows\System\spoolsv.exe

MD5 8f2e95d661386692d82b3874101822f2
SHA1 f8007d9a8f68dc7b72ff317ca35bd66792515d73
SHA256 252455c555a643cc1ebcd3463b74b29221a75e4fd1b52fc1644f1a207e11ee1d
SHA512 a99a23211f260b7bacc291dabd6df481fbbb6d235355ad409eba1d8161a20efb0e7c937c93d64d8d47a15de3734cd116b55a9805c0760f34895aba5087151be8

C:\Windows\System\spoolsv.exe

MD5 da8d4ab0b4a0e5f5a89d529b21439903
SHA1 511022bb38605aa511c6b0ef3268535316b961c0
SHA256 f9a1468830a81c3c8ed59e2b44edcd83a921adf2d174d55c4c51b236d2d011b0
SHA512 aa9102ea72c14dec38c69797b9b6032c436b3800f852c2c7058b84d3f9ef3cad7006b0a5f42959c57407149c8a72881446d7b2166c1e0274a83c6f1398f5486c

C:\Windows\System\spoolsv.exe

MD5 7235bc0f82ea029c2ca25a9035587fe3
SHA1 ae7a11c97e4afed470e62b83b0eb07744149c86c
SHA256 534c1b6ba6d31bb31c39ae1902a50a369adb1c519e831e83b2264e4c138ac227
SHA512 9ba1f575bec9517a4d067701b232398d0bff66017b158bf769a6e8aca8b22bedfb8872129bf180a313bf91cf22dd3c3a2704ba62fa0f2e6cd7110e426287313a

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs

MD5 d41d8cd98f00b204e9800998ecf8427e
SHA1 da39a3ee5e6b4b0d3255bfef95601890afd80709
SHA256 e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
SHA512 cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e

C:\Windows\System\spoolsv.exe

MD5 7d7252c208b9b8d8976133408b93a1a9
SHA1 bff6a864d8c5abcd0b032b314641bd52207f41df
SHA256 3aab36a7b3716a6b75fc6e8bb1f673f7dd9925cb56c745a46de8c579b8bb2134
SHA512 6550361e95a05684a6a55f2b07b63af35a5142dae46990bba55d58bb795f887896a90be9cafdff8fc0b35515c9ad592499cb42de9f9b7b883813f7de1b37d31f

C:\Windows\System\spoolsv.exe

MD5 2e85217c6cef1ca20b8941c055edce08
SHA1 45d93898eeb70ac302265d2c21aadbc5f3d07d68
SHA256 689679c9bbe0fa9f41fa6b0db64a6cfde394699e2a0693439a58da45b5e10253
SHA512 a99026843b011cdb77cbd28f7cb7c123da0214255828cf232052bd3ab7688bf481d99625d757110a44424616864c074675aff5ad32748e6760b5606aed14c06a

C:\Windows\System\spoolsv.exe

MD5 fd22270b545c558b54a7a15c01311bb8
SHA1 a4c937601d0e5eae45936885ffafa0a641be2895
SHA256 42216beb255119cbb290d8fd5c2a4cc7adae2768d967bc94bb17a00cf0529e27
SHA512 5076079ce0fcd66ec4df95bf55689b9ddc0b7153df9209c62835db87c8973560e877c0cdeabe00944c9311286c7559a6b7e00e2e7fc11b5493bbc7b3ca0683b5

C:\Windows\System\spoolsv.exe

MD5 c7756f304817b6a497b2535316b4cefa
SHA1 26f799ccfa6b7716fc5999efc91b88d5215fe9c6
SHA256 792d685ec50d02939405cc8abde2be812a21ca1c8ea9af39112615e85c4b3b1f
SHA512 d49423de3480fbc60df0417bc743e6b34827fe95f312f2f2a8e0f7354b04d49ef3bb97b5775fdb385850f5be1b5512d90b2945bbe1c38cce895dd2de74d70f6c