nanocore | 79216525955a188f2a55f94514cfe9b9c0c1ce1e116d930cd9c5600dfb46ddfd

Analysis

max time kernel
138s
max time network
152s
platform
windows10-2004_x64
resource
win10v2004-20240226-en
resource tags

arch:x64arch:x86image:win10v2004-20240226-enlocale:en-usos:windows10-2004-x64system
submitted
27-03-2024 01:06

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

RECHNUNGEN MIT IBAN.exe
Size

683KB
MD5

62737dc772d7ab223bbc1785a0b9e540
SHA1

b53bab1a6c131032d28e4259d05be33634af62ad
SHA256

79216525955a188f2a55f94514cfe9b9c0c1ce1e116d930cd9c5600dfb46ddfd
SHA512

8ddb107301aa5c05aa298a5def90c5fac642c26b441d83f832dd4b7cb4a8e81d59df8fa174160326532d43521425fae25f87ad302ac5f3212b434dec2c8ab600
SSDEEP

12288:3AoO3myQx0xjsWjRr0xRXrTXF2O7+7Yte+iRR3TuK7ktBH/2Yba04x:3Smx0TRr4XHF2tU8337kt0v04

Score

10^/10

nanocore evasion keylogger persistence spyware stealer trojan

Malware Config

Extracted

Family

nanocore

Version

1.2.2.0

194.147.140.158:2323

Mutex

a988db37-80f7-4d81-b262-bd14326766b3

Attributes

activate_away_mode
true
backup_connection_host
194.147.140.158
backup_dns_server
8.8.4.4
buffer_size
65535
build_time
2023-12-23T03:20:22.055277036Z
bypass_user_account_control
false
bypass_user_account_control_data
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
clear_access_control
true
clear_zone_identifier
false
connect_delay
4000
connection_port
2323
default_group
image
enable_debug_mode
true
gc_threshold
1.048576e+07
keep_alive_timeout
30000
keyboard_logging
false
lan_timeout
2500
max_packet_size
1.048576e+07
mutex
a988db37-80f7-4d81-b262-bd14326766b3
mutex_timeout
5000
prevent_system_sleep
false
primary_connection_host
194.147.140.158
primary_dns_server
8.8.8.8
request_elevation
true
restart_delay
5000
run_delay
0
run_on_startup
false
set_critical_process
true
timeout_interval
5000
use_custom_dns_server
false
version
1.2.2.0
wan_timeout
8000

Signatures

NanoCore
NanoCore is a remote access tool (RAT) with a variety of capabilities.
keylogger trojan stealer spyware nanocore

Checks computer location settings 2 TTPs 1 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

Processes:

RECHNUNGEN MIT IBAN.exe

description	ioc	process
Key value queried	\REGISTRY\USER\S-1-5-21-275798769-4264537674-1142822080-1000\Control Panel\International\Geo\Nation	RECHNUNGEN MIT IBAN.exe

Uses the VBS compiler for execution 1 TTPs

Scripting
T1064

Adds Run key to start application 2 TTPs 1 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

RECHNUNGEN MIT IBAN.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\PCI Service = "C:\\Program Files (x86)\\PCI Service\\pcisvc.exe"	RECHNUNGEN MIT IBAN.exe

Checks whether UAC is enabled 1 TTPs 1 IoCs
evasion trojan

System Information Discovery
T1082

Processes:

RECHNUNGEN MIT IBAN.exe

description ioc process

Key value queried \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA RECHNUNGEN MIT IBAN.exe
Suspicious use of SetThreadContext 1 IoCs

Processes:

RECHNUNGEN MIT IBAN.exe

description pid process target process

PID 1952 set thread context of 2260 1952 RECHNUNGEN MIT IBAN.exe RECHNUNGEN MIT IBAN.exe

description	ioc	process
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	RECHNUNGEN MIT IBAN.exe

description	pid	process	target process
PID 1952 set thread context of 2260	1952	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe

Drops file in Program Files directory 2 IoCs

Processes:

RECHNUNGEN MIT IBAN.exe

description	ioc	process
File created	C:\Program Files (x86)\PCI Service\pcisvc.exe	RECHNUNGEN MIT IBAN.exe
File opened for modification	C:\Program Files (x86)\PCI Service\pcisvc.exe	RECHNUNGEN MIT IBAN.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082
Creates scheduled task(s) 1 TTPs 3 IoCs
Schtasks is often used by malware for persistence or to perform post-infection execution.
persistence

Scheduled Task/Job
T1053

Processes:

schtasks.exeschtasks.exeschtasks.exe

pid process

1572 schtasks.exe
5028 schtasks.exe
4320 schtasks.exe

pid	process
1572	schtasks.exe
5028	schtasks.exe
4320	schtasks.exe

Suspicious behavior: EnumeratesProcesses 41 IoCs

Processes:

RECHNUNGEN MIT IBAN.exepowershell.exepowershell.exeRECHNUNGEN MIT IBAN.exe

pid	process
1952	RECHNUNGEN MIT IBAN.exe
1952	RECHNUNGEN MIT IBAN.exe
1952	RECHNUNGEN MIT IBAN.exe
1952	RECHNUNGEN MIT IBAN.exe
1952	RECHNUNGEN MIT IBAN.exe
1952	RECHNUNGEN MIT IBAN.exe
1952	RECHNUNGEN MIT IBAN.exe
3364	powershell.exe
3364	powershell.exe
1128	powershell.exe
1128	powershell.exe
1952	RECHNUNGEN MIT IBAN.exe
3364	powershell.exe
1128	powershell.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe
2260	RECHNUNGEN MIT IBAN.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

Processes:

RECHNUNGEN MIT IBAN.exe

pid process

2260 RECHNUNGEN MIT IBAN.exe

pid	process
2260	RECHNUNGEN MIT IBAN.exe

Suspicious use of AdjustPrivilegeToken 4 IoCs

Processes:

RECHNUNGEN MIT IBAN.exepowershell.exepowershell.exeRECHNUNGEN MIT IBAN.exe

description	pid	process
Token: SeDebugPrivilege	1952	RECHNUNGEN MIT IBAN.exe
Token: SeDebugPrivilege	3364	powershell.exe
Token: SeDebugPrivilege	1128	powershell.exe
Token: SeDebugPrivilege	2260	RECHNUNGEN MIT IBAN.exe

Suspicious use of WriteProcessMemory 53 IoCs

Processes:

RECHNUNGEN MIT IBAN.exeRECHNUNGEN MIT IBAN.exe

description	pid	process	target process
PID 1952 wrote to memory of 3364	1952	RECHNUNGEN MIT IBAN.exe	powershell.exe
PID 1952 wrote to memory of 3364	1952	RECHNUNGEN MIT IBAN.exe	powershell.exe
PID 1952 wrote to memory of 3364	1952	RECHNUNGEN MIT IBAN.exe	powershell.exe
PID 1952 wrote to memory of 1128	1952	RECHNUNGEN MIT IBAN.exe	powershell.exe
PID 1952 wrote to memory of 1128	1952	RECHNUNGEN MIT IBAN.exe	powershell.exe
PID 1952 wrote to memory of 1128	1952	RECHNUNGEN MIT IBAN.exe	powershell.exe
PID 1952 wrote to memory of 1572	1952	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 1952 wrote to memory of 1572	1952	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 1952 wrote to memory of 1572	1952	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 1952 wrote to memory of 2260	1952	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 1952 wrote to memory of 2260	1952	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 1952 wrote to memory of 2260	1952	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 1952 wrote to memory of 2260	1952	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 1952 wrote to memory of 2260	1952	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 1952 wrote to memory of 2260	1952	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 1952 wrote to memory of 2260	1952	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 1952 wrote to memory of 2260	1952	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 2260 wrote to memory of 5028	2260	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 2260 wrote to memory of 5028	2260	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 2260 wrote to memory of 5028	2260	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 2260 wrote to memory of 4320	2260	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 2260 wrote to memory of 4320	2260	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 2260 wrote to memory of 4320	2260	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 2260 wrote to memory of 4320	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 4320	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 4320	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 4748	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 4748	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 4748	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 3764	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 3764	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 3764	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 2600	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 2600	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 2600	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 760	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 760	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 760	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 5092	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 5092	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 5092	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 1528	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 1528	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 1528	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 3844	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 3844	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 3844	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 3080	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 3080	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 3080	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 2856	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 2856	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 2260 wrote to memory of 2856	2260	RECHNUNGEN MIT IBAN.exe	vbc.exe

C:\Users\Admin\AppData\Local\Temp\RECHNUNGEN MIT IBAN.exe
"C:\Users\Admin\AppData\Local\Temp\RECHNUNGEN MIT IBAN.exe"
1⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1952

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Add-MpPreference -ExclusionPath "C:\Users\Admin\AppData\Local\Temp\RECHNUNGEN MIT IBAN.exe"
2⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:3364

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Add-MpPreference -ExclusionPath "C:\Users\Admin\AppData\Roaming\QSiydtxApqxOny.exe"
2⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:1128

C:\Windows\SysWOW64\schtasks.exe
"C:\Windows\System32\schtasks.exe" /Create /TN "Updates\QSiydtxApqxOny" /XML "C:\Users\Admin\AppData\Local\Temp\tmp84B1.tmp"
2⤵
- Creates scheduled task(s)
PID:1572

C:\Users\Admin\AppData\Local\Temp\RECHNUNGEN MIT IBAN.exe
"C:\Users\Admin\AppData\Local\Temp\RECHNUNGEN MIT IBAN.exe"
2⤵
- Adds Run key to start application
- Checks whether UAC is enabled
- Drops file in Program Files directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2260

C:\Windows\SysWOW64\schtasks.exe
"schtasks.exe" /create /f /tn "PCI Service" /xml "C:\Users\Admin\AppData\Local\Temp\tmp8879.tmp"
3⤵
- Creates scheduled task(s)
PID:5028

C:\Windows\SysWOW64\schtasks.exe
"schtasks.exe" /create /f /tn "PCI Service Task" /xml "C:\Users\Admin\AppData\Local\Temp\tmp89C2.tmp"
3⤵
- Creates scheduled task(s)
PID:4320

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\bid4b03b.gox"
3⤵
PID:4320

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\bid4b03b.gox"
3⤵
PID:4748

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\bid4b03b.gox"
3⤵
PID:3764

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\bid4b03b.gox"
3⤵
PID:2600

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\bid4b03b.gox"
3⤵
PID:760

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\1zwnw3fa.sbz"
3⤵
PID:5092

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\1zwnw3fa.sbz"
3⤵
PID:1528

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\1zwnw3fa.sbz"
3⤵
PID:3844

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\1zwnw3fa.sbz"
3⤵
PID:3080

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\1zwnw3fa.sbz"
3⤵
PID:2856

Network

MITRE ATT&CK Matrix ATT&CK v13

Initial Access

Execution

Scripting

T1064

Scheduled Task/Job

T1053

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Scheduled Task/Job

T1053

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Scheduled Task/Job

T1053

Defense Evasion

Scripting

T1064

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Resource Development

Reconnaissance

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\RECHNUNGEN MIT IBAN.exe.log
Filesize
1KB

MD5
7cad59aef5a93f093b6ba494f13f796f

SHA1
3cef97b77939bfc06dfd3946fc1a8cd159f67100

SHA256
1e1b444fe2d8772f6709b22b94bb5b0aa7fa590f6a693705d9bf1f2f71267a55

SHA512
8cedd03efec34c6226a01fd6b4831a689be16545ea6b849cd96f775e0722bfefd4b47f3dd8401d2080d341d4319f75995ece60de44352a1f86a2e5dc01e6210b

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\powershell.exe.log
MD5
d41d8cd98f00b204e9800998ecf8427e

SHA1
da39a3ee5e6b4b0d3255bfef95601890afd80709

SHA256
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

SHA512
cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive
Filesize
18KB

MD5
b92682467345bb149fcc9405f7c3a175

SHA1
a617b584b99d583929c33830da131063fc7fc24c

SHA256
081fe9e151f027d0b1c5848a4a9c71ab5fb17178f1e9cf06c7e594535134768f

SHA512
2cc9cf33ab94217c9a05abbc188de573bc7e6413774666d7f3bfb2b6071f3d4c084de643e7d4fed6ae4016d7c6b10aa12738378a487bc9003fd22fb31bf90510

Download Submit
C:\Users\Admin\AppData\Local\Temp\__PSScriptPolicyTest_01drtu40.gla.ps1
Filesize
60B

MD5
d17fe0a3f47be24a6453e9ef58c94641

SHA1
6ab83620379fc69f80c0242105ddffd7d98d5d9d

SHA256
96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7

SHA512
5b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82

Download Submit
C:\Users\Admin\AppData\Local\Temp\tmp84B1.tmp
Filesize
1KB

MD5
d34d92b3be55a175a15c744a059523ae

SHA1
11a8f8dc40026e9a66984415eccb6732bc6e8d0e

SHA256
5bde054af26254327243607bc46d401b05b5f178415b23001a9f035901be81ae

SHA512
7ce8429eeaa241114bad152af0f002714cae59f40b22e608b175c3addcd25d17372c243a9042055f453e0aa090cf175f25ebb1adb158b87e6102441b0fc7c3b1

Download Submit
C:\Users\Admin\AppData\Local\Temp\tmp8879.tmp
Filesize
1KB

MD5
f26a8ddabc8f08262b745c27a7d7d677

SHA1
7026e58863c9393454116a32a1e68a787a0343b2

SHA256
39e8909622f6f0da87f42525aa4b0a648f965df5a15fa16a6ba9475b05fa245f

SHA512
2ff198dc05404c1bd0de0ff561d4eb25e3f0034367f0e5098dc760c864fb7c5c86dbae6270cc1f518074bbd39a2f9ce34949c25e0904a1921d36cec185e267cf

Download Submit
C:\Users\Admin\AppData\Local\Temp\tmp89C2.tmp
Filesize
1KB

MD5
a4f6fa4537e2dcf0d3e2802c0f070a4d

SHA1
03545095bfeddd7656b5b8547ab84a810324a94f

SHA256
192ac26e1895b267149bde35c55327f4a441693495239da5899062924d45bd11

SHA512
a4293123d718b0511a8301a7f536e403cecf8bc89f25f9dc4692b293eb8a554a8eb67993a26fe0e96792b6eb3573b34e9b270777cafe95c2383268da6d40fd2e

Download Submit
memory/1128-93-0x00000000077E0000-0x00000000077EA000-memory.dmp

Filesize
40KB

Download
memory/1128-94-0x00000000079F0000-0x0000000007A86000-memory.dmp

Filesize
600KB

Download
memory/1128-22-0x0000000074930000-0x00000000750E0000-memory.dmp

Filesize
7.7MB

Download
memory/1128-26-0x0000000005530000-0x0000000005596000-memory.dmp

Filesize
408KB

Download
memory/1128-67-0x0000000070C80000-0x0000000070CCC000-memory.dmp

Filesize
304KB

Download
memory/1128-82-0x00000000073B0000-0x00000000073CE000-memory.dmp

Filesize
120KB

Download
memory/1128-91-0x0000000007DC0000-0x000000000843A000-memory.dmp

Filesize
6.5MB

Download
memory/1128-107-0x0000000074930000-0x00000000750E0000-memory.dmp

Filesize
7.7MB

Download
memory/1128-96-0x00000000079A0000-0x00000000079AE000-memory.dmp

Filesize
56KB

Download
memory/1128-23-0x0000000005060000-0x0000000005070000-memory.dmp

Filesize
64KB

Download
memory/1128-66-0x000000007F350000-0x000000007F360000-memory.dmp

Filesize
64KB

Download
memory/1952-8-0x0000000008800000-0x0000000008812000-memory.dmp

Filesize
72KB

Download
memory/1952-19-0x0000000005740000-0x0000000005750000-memory.dmp

Filesize
64KB

Download
memory/1952-16-0x0000000074930000-0x00000000750E0000-memory.dmp

Filesize
7.7MB

Download
memory/1952-10-0x0000000007050000-0x00000000070CA000-memory.dmp

Filesize
488KB

Download
memory/1952-9-0x0000000006D50000-0x0000000006D5C000-memory.dmp

Filesize
48KB

Download
memory/1952-7-0x0000000008870000-0x000000000890C000-memory.dmp

Filesize
624KB

Download
memory/1952-6-0x0000000005D30000-0x0000000005D3A000-memory.dmp

Filesize
40KB

Download
memory/1952-5-0x0000000005740000-0x0000000005750000-memory.dmp

Filesize
64KB

Download
memory/1952-50-0x0000000074930000-0x00000000750E0000-memory.dmp

Filesize
7.7MB

Download
memory/1952-4-0x0000000005870000-0x0000000005BC4000-memory.dmp

Filesize
3.3MB

Download
memory/1952-3-0x00000000057D0000-0x0000000005862000-memory.dmp

Filesize
584KB

Download
memory/1952-2-0x0000000005D80000-0x0000000006324000-memory.dmp

Filesize
5.6MB

Download
memory/1952-0-0x0000000000D80000-0x0000000000E30000-memory.dmp

Filesize
704KB

Download
memory/1952-1-0x0000000074930000-0x00000000750E0000-memory.dmp

Filesize
7.7MB

Download
memory/2260-63-0x0000000005FC0000-0x0000000005FCA000-memory.dmp

Filesize
40KB

Download
memory/2260-111-0x00000000066F0000-0x000000000670A000-memory.dmp

Filesize
104KB

Download
memory/2260-62-0x0000000005F90000-0x0000000005FAE000-memory.dmp

Filesize
120KB

Download
memory/2260-128-0x0000000074930000-0x00000000750E0000-memory.dmp

Filesize
7.7MB

Download
memory/2260-110-0x00000000066E0000-0x00000000066F2000-memory.dmp

Filesize
72KB

Download
memory/2260-112-0x0000000006720000-0x000000000672E000-memory.dmp

Filesize
56KB

Download
memory/2260-113-0x0000000006730000-0x0000000006742000-memory.dmp

Filesize
72KB

Download
memory/2260-114-0x0000000006740000-0x000000000674C000-memory.dmp

Filesize
48KB

Download
memory/2260-115-0x0000000006750000-0x000000000675E000-memory.dmp

Filesize
56KB

Download
memory/2260-116-0x0000000006760000-0x0000000006774000-memory.dmp

Filesize
80KB

Download
memory/2260-61-0x0000000005040000-0x000000000504A000-memory.dmp

Filesize
40KB

Download
memory/2260-51-0x0000000005060000-0x0000000005070000-memory.dmp

Filesize
64KB

Download
memory/2260-49-0x0000000074930000-0x00000000750E0000-memory.dmp

Filesize
7.7MB

Download
memory/2260-46-0x0000000000400000-0x0000000000438000-memory.dmp

Filesize
224KB

Download
memory/2260-117-0x0000000006770000-0x0000000006780000-memory.dmp

Filesize
64KB

Download
memory/2260-118-0x0000000006790000-0x00000000067A4000-memory.dmp

Filesize
80KB

Download
memory/2260-119-0x00000000067B0000-0x00000000067BE000-memory.dmp

Filesize
56KB

Download
memory/2260-120-0x00000000067C0000-0x00000000067EE000-memory.dmp

Filesize
184KB

Download
memory/2260-121-0x00000000067F0000-0x0000000006804000-memory.dmp

Filesize
80KB

Download
memory/3364-92-0x00000000078F0000-0x000000000790A000-memory.dmp

Filesize
104KB

Download
memory/3364-95-0x0000000007AF0000-0x0000000007B01000-memory.dmp

Filesize
68KB

Download
memory/3364-99-0x0000000007C10000-0x0000000007C18000-memory.dmp

Filesize
32KB

Download
memory/3364-97-0x0000000007B30000-0x0000000007B44000-memory.dmp

Filesize
80KB

Download
memory/3364-108-0x0000000074930000-0x00000000750E0000-memory.dmp

Filesize
7.7MB

Download
memory/3364-18-0x0000000005100000-0x0000000005110000-memory.dmp

Filesize
64KB

Download
memory/3364-17-0x0000000074930000-0x00000000750E0000-memory.dmp

Filesize
7.7MB

Download
memory/3364-15-0x0000000004FF0000-0x0000000005026000-memory.dmp

Filesize
216KB

Download
memory/3364-20-0x0000000005100000-0x0000000005110000-memory.dmp

Filesize
64KB

Download
memory/3364-21-0x0000000005740000-0x0000000005D68000-memory.dmp

Filesize
6.2MB

Download
memory/3364-24-0x0000000005700000-0x0000000005722000-memory.dmp

Filesize
136KB

Download
memory/3364-98-0x0000000007C30000-0x0000000007C4A000-memory.dmp

Filesize
104KB

Download
memory/3364-27-0x0000000005F50000-0x0000000005FB6000-memory.dmp

Filesize
408KB

Download
memory/3364-68-0x0000000070C80000-0x0000000070CCC000-memory.dmp

Filesize
304KB

Download
memory/3364-89-0x0000000005100000-0x0000000005110000-memory.dmp

Filesize
64KB

Download
memory/3364-90-0x00000000077D0000-0x0000000007873000-memory.dmp

Filesize
652KB

Download
memory/3364-87-0x0000000005100000-0x0000000005110000-memory.dmp

Filesize
64KB

Download
memory/3364-65-0x0000000007770000-0x00000000077A2000-memory.dmp

Filesize
200KB

Download
memory/3364-64-0x000000007FB20000-0x000000007FB30000-memory.dmp

Filesize
64KB

Download
memory/3364-52-0x00000000065D0000-0x00000000065EE000-memory.dmp

Filesize
120KB

Download
memory/3364-56-0x0000000006660000-0x00000000066AC000-memory.dmp

Filesize
304KB

Download