Analysis
-
max time kernel
59s -
max time network
122s -
platform
windows7_x64 -
resource
win7-20240221-en -
resource tags
arch:x64arch:x86image:win7-20240221-enlocale:en-usos:windows7-x64system -
submitted
07-04-2024 23:29
Behavioral task
behavioral1
Sample
e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe
Resource
win7-20240221-en
Behavioral task
behavioral2
Sample
e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe
Resource
win10v2004-20240226-en
General
-
Target
e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe
-
Size
811KB
-
MD5
e61cda6fec845a5b8bd19e4217276187
-
SHA1
ad75178e1715467ff19261eb1f060861e4a6b4df
-
SHA256
2596b134f104421950acca2c6add33a38b092be75508d35227436e5e8aab8afd
-
SHA512
ba95e932483859df3cf80d41f38ec67ac3a7b941b441c176e9d478672429589fb13b04abafc205517a70b69e58e89509723eeb51b089d1f1e79c333ae13804a5
-
SSDEEP
24576:YttgPb0IRBC7EBsReTDK+yA3A43IvMbMy:YtC0I/RBsRCDKE3ABMA
Malware Config
Signatures
-
NirSoft MailPassView 2 IoCs
Password recovery tool for various email clients
Processes:
resource yara_rule behavioral1/memory/1916-71-0x0000000000400000-0x000000000041F000-memory.dmp MailPassView behavioral1/memory/1916-120-0x0000000000400000-0x000000000041F000-memory.dmp MailPassView -
Nirsoft 8 IoCs
Processes:
resource yara_rule behavioral1/memory/1756-70-0x0000000000400000-0x0000000000419000-memory.dmp Nirsoft behavioral1/memory/1916-71-0x0000000000400000-0x000000000041F000-memory.dmp Nirsoft behavioral1/memory/2492-75-0x0000000000400000-0x000000000041B000-memory.dmp Nirsoft behavioral1/memory/2940-73-0x0000000000400000-0x0000000000419000-memory.dmp Nirsoft behavioral1/memory/2488-56-0x0000000000400000-0x0000000000425000-memory.dmp Nirsoft behavioral1/memory/2492-115-0x0000000000400000-0x000000000041B000-memory.dmp Nirsoft behavioral1/memory/2940-119-0x0000000000400000-0x0000000000419000-memory.dmp Nirsoft behavioral1/memory/1916-120-0x0000000000400000-0x000000000041F000-memory.dmp Nirsoft -
Executes dropped EXE 8 IoCs
Processes:
keylogger.exexdx.exeflash.exeiex.exemsn.exeff.exeopr.exemail.exepid process 2556 keylogger.exe 2464 xdx.exe 2936 flash.exe 2492 iex.exe 2488 msn.exe 2940 ff.exe 1756 opr.exe 1916 mail.exe -
Loads dropped DLL 13 IoCs
Processes:
cmd.exepid process 2060 cmd.exe 2060 cmd.exe 2060 cmd.exe 2060 cmd.exe 2060 cmd.exe 2060 cmd.exe 2060 cmd.exe 2060 cmd.exe 2060 cmd.exe 2060 cmd.exe 2060 cmd.exe 2060 cmd.exe 2060 cmd.exe -
Reads user/profile data of web browsers 2 TTPs
Infostealers often target stored browser data, which can include saved credentials etc.
-
Processes:
resource yara_rule behavioral1/memory/2624-0-0x0000000000400000-0x0000000000553000-memory.dmp upx \Users\Admin\AppData\Local\Temp\keylogger.exe upx C:\Users\Admin\AppData\Local\Temp\xdx.exe upx C:\Users\Admin\AppData\Local\Temp\flash.exe upx behavioral1/memory/2060-31-0x0000000001D10000-0x0000000001DFC000-memory.dmp upx C:\Users\Admin\AppData\Local\Temp\iex.exe upx C:\Users\Admin\AppData\Local\Temp\msn.exe upx C:\Users\Admin\AppData\Local\Temp\ff.exe upx C:\Users\Admin\AppData\Local\Temp\opr.exe upx behavioral1/memory/2624-66-0x0000000000400000-0x0000000000553000-memory.dmp upx behavioral1/memory/2464-58-0x0000000000400000-0x0000000000448000-memory.dmp upx C:\Users\Admin\AppData\Local\Temp\mail.exe upx behavioral1/memory/1756-70-0x0000000000400000-0x0000000000419000-memory.dmp upx behavioral1/memory/1916-71-0x0000000000400000-0x000000000041F000-memory.dmp upx behavioral1/memory/2556-74-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral1/memory/2492-75-0x0000000000400000-0x000000000041B000-memory.dmp upx behavioral1/memory/2940-73-0x0000000000400000-0x0000000000419000-memory.dmp upx behavioral1/memory/2936-72-0x0000000000400000-0x0000000000448000-memory.dmp upx behavioral1/memory/2488-56-0x0000000000400000-0x0000000000425000-memory.dmp upx behavioral1/memory/2492-115-0x0000000000400000-0x000000000041B000-memory.dmp upx behavioral1/memory/2940-119-0x0000000000400000-0x0000000000419000-memory.dmp upx behavioral1/memory/1916-120-0x0000000000400000-0x000000000041F000-memory.dmp upx behavioral1/memory/2556-121-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral1/memory/2556-128-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral1/memory/2556-131-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral1/memory/2556-136-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral1/memory/2556-141-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral1/memory/2556-146-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral1/memory/2556-153-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral1/memory/2556-170-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral1/memory/2556-175-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral1/memory/2556-180-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral1/memory/2556-196-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral1/memory/2556-203-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral1/memory/2556-210-0x0000000000400000-0x00000000004EC000-memory.dmp upx -
Accesses Microsoft Outlook accounts 1 TTPs 1 IoCs
Processes:
mail.exedescription ioc process Key opened \REGISTRY\USER\S-1-5-21-406356229-2805545415-1236085040-1000\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts mail.exe -
AutoIT Executable 13 IoCs
AutoIT scripts compiled to PE executables.
Processes:
resource yara_rule behavioral1/memory/2556-121-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral1/memory/2556-128-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral1/memory/2556-131-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral1/memory/2556-136-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral1/memory/2556-141-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral1/memory/2556-146-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral1/memory/2556-153-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral1/memory/2556-170-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral1/memory/2556-175-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral1/memory/2556-180-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral1/memory/2556-196-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral1/memory/2556-203-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral1/memory/2556-210-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe -
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
Enumerates system info in registry 2 TTPs 64 IoCs
Processes:
xcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exedescription ioc process Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier -
Suspicious use of AdjustPrivilegeToken 4 IoCs
Processes:
iex.exemsn.exedescription pid process Token: SeDebugPrivilege 2492 iex.exe Token: SeRestorePrivilege 2492 iex.exe Token: SeBackupPrivilege 2492 iex.exe Token: SeDebugPrivilege 2488 msn.exe -
Suspicious use of FindShellTrayWindow 64 IoCs
Processes:
keylogger.exepid process 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe -
Suspicious use of SendNotifyMessage 64 IoCs
Processes:
keylogger.exepid process 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe 2556 keylogger.exe -
Suspicious use of WriteProcessMemory 64 IoCs
Processes:
e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.execmd.exeflash.exexdx.execmd.execmd.exedescription pid process target process PID 2624 wrote to memory of 2060 2624 e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe cmd.exe PID 2624 wrote to memory of 2060 2624 e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe cmd.exe PID 2624 wrote to memory of 2060 2624 e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe cmd.exe PID 2624 wrote to memory of 2060 2624 e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe cmd.exe PID 2060 wrote to memory of 2556 2060 cmd.exe keylogger.exe PID 2060 wrote to memory of 2556 2060 cmd.exe keylogger.exe PID 2060 wrote to memory of 2556 2060 cmd.exe keylogger.exe PID 2060 wrote to memory of 2556 2060 cmd.exe keylogger.exe PID 2060 wrote to memory of 2464 2060 cmd.exe xdx.exe PID 2060 wrote to memory of 2464 2060 cmd.exe xdx.exe PID 2060 wrote to memory of 2464 2060 cmd.exe xdx.exe PID 2060 wrote to memory of 2464 2060 cmd.exe xdx.exe PID 2060 wrote to memory of 2936 2060 cmd.exe flash.exe PID 2060 wrote to memory of 2936 2060 cmd.exe flash.exe PID 2060 wrote to memory of 2936 2060 cmd.exe flash.exe PID 2060 wrote to memory of 2936 2060 cmd.exe flash.exe PID 2060 wrote to memory of 2492 2060 cmd.exe iex.exe PID 2060 wrote to memory of 2492 2060 cmd.exe iex.exe PID 2060 wrote to memory of 2492 2060 cmd.exe iex.exe PID 2060 wrote to memory of 2492 2060 cmd.exe iex.exe PID 2060 wrote to memory of 2488 2060 cmd.exe msn.exe PID 2060 wrote to memory of 2488 2060 cmd.exe msn.exe PID 2060 wrote to memory of 2488 2060 cmd.exe msn.exe PID 2060 wrote to memory of 2488 2060 cmd.exe msn.exe PID 2060 wrote to memory of 2940 2060 cmd.exe ff.exe PID 2060 wrote to memory of 2940 2060 cmd.exe ff.exe PID 2060 wrote to memory of 2940 2060 cmd.exe ff.exe PID 2060 wrote to memory of 2940 2060 cmd.exe ff.exe PID 2060 wrote to memory of 1756 2060 cmd.exe opr.exe PID 2060 wrote to memory of 1756 2060 cmd.exe opr.exe PID 2060 wrote to memory of 1756 2060 cmd.exe opr.exe PID 2060 wrote to memory of 1756 2060 cmd.exe opr.exe PID 2060 wrote to memory of 1916 2060 cmd.exe mail.exe PID 2060 wrote to memory of 1916 2060 cmd.exe mail.exe PID 2060 wrote to memory of 1916 2060 cmd.exe mail.exe PID 2060 wrote to memory of 1916 2060 cmd.exe mail.exe PID 2936 wrote to memory of 572 2936 flash.exe cmd.exe PID 2936 wrote to memory of 572 2936 flash.exe cmd.exe PID 2936 wrote to memory of 572 2936 flash.exe cmd.exe PID 2936 wrote to memory of 572 2936 flash.exe cmd.exe PID 2464 wrote to memory of 3032 2464 xdx.exe cmd.exe PID 2464 wrote to memory of 3032 2464 xdx.exe cmd.exe PID 2464 wrote to memory of 3032 2464 xdx.exe cmd.exe PID 2464 wrote to memory of 3032 2464 xdx.exe cmd.exe PID 572 wrote to memory of 1548 572 cmd.exe xcopy.exe PID 572 wrote to memory of 1548 572 cmd.exe xcopy.exe PID 572 wrote to memory of 1548 572 cmd.exe xcopy.exe PID 572 wrote to memory of 1548 572 cmd.exe xcopy.exe PID 3032 wrote to memory of 1920 3032 cmd.exe xcopy.exe PID 3032 wrote to memory of 1920 3032 cmd.exe xcopy.exe PID 3032 wrote to memory of 1920 3032 cmd.exe xcopy.exe PID 3032 wrote to memory of 1920 3032 cmd.exe xcopy.exe PID 572 wrote to memory of 292 572 cmd.exe xcopy.exe PID 572 wrote to memory of 292 572 cmd.exe xcopy.exe PID 572 wrote to memory of 292 572 cmd.exe xcopy.exe PID 572 wrote to memory of 292 572 cmd.exe xcopy.exe PID 3032 wrote to memory of 1788 3032 cmd.exe xcopy.exe PID 3032 wrote to memory of 1788 3032 cmd.exe xcopy.exe PID 3032 wrote to memory of 1788 3032 cmd.exe xcopy.exe PID 3032 wrote to memory of 1788 3032 cmd.exe xcopy.exe PID 572 wrote to memory of 2012 572 cmd.exe xcopy.exe PID 572 wrote to memory of 2012 572 cmd.exe xcopy.exe PID 572 wrote to memory of 2012 572 cmd.exe xcopy.exe PID 572 wrote to memory of 2012 572 cmd.exe xcopy.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe"C:\Users\Admin\AppData\Local\Temp\e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe"1⤵
- Suspicious use of WriteProcessMemory
PID:2624 -
C:\Windows\SysWOW64\cmd.execmd /c ""C:\Users\Admin\AppData\Local\Temp\710B.tmp\steal.bat""2⤵
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2060 -
C:\Users\Admin\AppData\Local\Temp\keylogger.exekeylogger.exe3⤵
- Executes dropped EXE
- Suspicious use of FindShellTrayWindow
- Suspicious use of SendNotifyMessage
PID:2556
-
-
C:\Users\Admin\AppData\Local\Temp\xdx.exexdx.exe3⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2464 -
C:\Windows\SysWOW64\cmd.execmd /c ""C:\Users\Admin\AppData\Local\Temp\7272.tmp\xdx.bat" "4⤵
- Suspicious use of WriteProcessMemory
PID:3032 -
C:\Windows\SysWOW64\xcopy.exexcopy c:/sys/Update.exe C:\Windows5⤵PID:1920
-
-
C:\Windows\SysWOW64\xcopy.exexcopy c:/sys/Update.exe C:\Users\Admin\AppData\Local\Temp5⤵PID:1788
-
-
C:\Windows\SysWOW64\xcopy.exexcopy c:/sys/Update.exe5⤵PID:1144
-
-
C:\Windows\SysWOW64\xcopy.exexcopy c:/sys/Autorun.inf C:\Users\Admin\AppData\Local\Temp5⤵PID:2424
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:856
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2724
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2772
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1780
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1504
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1676
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2120
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1120
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵
- Enumerates system info in registry
PID:1476
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1228
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2300
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵
- Enumerates system info in registry
PID:652
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1108
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:804
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1060
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1752
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1912
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1708
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1988
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1576
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1196
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1640
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:944
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1868
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2280
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2188
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2084
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1124
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3020
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2228
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1132
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2040
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1712
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1980
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1600
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1744
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2008
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1156
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2988
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2652
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2676
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2592
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2696
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2584
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵
- Enumerates system info in registry
PID:2604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2460
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2436
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2608
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2072
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2060
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2420
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2368
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:584
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2416
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2488
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2768
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1208
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2792
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2812
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2780
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:780
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1680
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2500
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵
- Enumerates system info in registry
PID:460
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2348
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1548
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1920
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1788
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1924
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1472
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:856
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2756
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2720
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1716
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1724
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2856
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵
- Enumerates system info in registry
PID:1676
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2120
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2284
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1356
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1268
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1488
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2980
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2092
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:400
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:640
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1512
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1856
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1696
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1404
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1160
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1176
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:956
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2248
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2412
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1868
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:620
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2280
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1748
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1184
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2880
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1796
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2256
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1460
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1168
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1540
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:988
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2184
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1620
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2212
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1744
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2008
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2252
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2544
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2652
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2676
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2696
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2736
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2444
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2576
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2528
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2440
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵
- Enumerates system info in registry
PID:2516
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2144
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2504
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2932
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:324
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:584
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:268
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:712
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:728
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1484
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1384
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2784
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2800
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2896
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2508
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1172
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:376
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1860
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1148
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:924
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1824
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1812
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2424
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:856
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2724
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2720
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1780
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1504
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1720
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1908
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1228
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2860
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1492
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:652
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1568
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1108
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2844
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:804
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1332
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1752
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1912
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1000
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2316
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1196
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:960
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:768
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:824
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1480
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1976
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2088
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2868
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1508
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1748
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3020
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1528
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1132
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1112
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1712
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1980
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:892
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1632
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2212
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2008
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2252
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1156
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2988
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2632
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2840
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1588
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2696
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2572
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2700
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1088
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2460
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2436
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2608
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2144
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2072
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2908
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2420
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2344
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:552
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:268
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:712
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:684
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1428
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1384
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2784
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵
- Enumerates system info in registry
PID:2808
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2924
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1736
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2024
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2296
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:376
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2044
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:924
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1684
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵
- Enumerates system info in registry
PID:1472
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2424
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2616
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1716
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1608
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1908
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2788
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1228
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1492
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1556
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2980
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2092
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1048
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1992
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1696
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2920
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:840
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1160
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1136
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:956
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1940
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:944
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:824
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1868
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2904
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2868
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1508
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1184
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2340
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1132
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:904
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1712
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2532
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:892
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1620
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3028
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2520
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2588
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2032
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2544
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2652
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2840
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2676
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2696
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2572
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2740
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1088
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2692
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2460
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2512
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2376
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2288
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2344
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵
- Enumerates system info in registry
PID:592
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:268
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:596
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2488
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2768
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2748
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:888
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2792
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2896
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2220
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2728
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2024
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1364
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1148
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:924
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1660
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1812
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:856
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2724
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2616
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2720
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1504
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1740
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2684
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1496
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵
- Enumerates system info in registry
PID:1476
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2788
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1356
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2324
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:912
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2956
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3008
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:804
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1512
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2716
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1856
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2704
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2316
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1404
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:960
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1176
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2276
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:824
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1960
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2904
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2088
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2868
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2280
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1508
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1748
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1124
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2340
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2228
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3000
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1540
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1704
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2184
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1600
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1180
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2000
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1996
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2852
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2988
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2596
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2548
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2696
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1988
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2700
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2740
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2692
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2608
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2376
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2496
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2504
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2932
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1756
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2344
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:268
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:712
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:684
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2776
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵
- Enumerates system info in registry
PID:576
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2784
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2792
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2780
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1736
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2728
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1172
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1844
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1920
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1924
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1764
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2552
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2984
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1852
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2712
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2772
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵
- Enumerates system info in registry
PID:1200
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:528
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1720
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1608
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1120
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1228
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2860
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵
- Enumerates system info in registry
PID:1492
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1488
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2996
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2844
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1060
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1332
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1708
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2920
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:768
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:548
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1968
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2752
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2336
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1976
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:620
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2372
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:864
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:792
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1796
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2016
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1460
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3020
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1132
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2192
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵
- Enumerates system info in registry
PID:3000
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1540
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1704
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2184
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1552
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1600
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1180
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2008
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1996
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2032
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2644
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2596
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1928
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1988
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2700
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2836
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2692
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2820
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2460
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2436
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2376
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2504
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2420
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2368
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2344
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:476
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1936
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1428
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2768
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1668
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\flash.exeflash.exe3⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2936 -
C:\Windows\SysWOW64\cmd.execmd /c ""C:\Users\Admin\AppData\Local\Temp\72CF.tmp\flash.bat" "4⤵
- Suspicious use of WriteProcessMemory
PID:572 -
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1548
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2012
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1924
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1472
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2540
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2616
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2668
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1740
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2684
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2868
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2788
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2860
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1492
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:1076
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1568
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3008
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2844
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1332
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:688
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2716
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2316
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:960
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:768
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2276
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1968
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2336
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:620
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:1508
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1748
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1184
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2340
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1528
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1112
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:904
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:892
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1552
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:876
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1688
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:1624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2252
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2544
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2632
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2664
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2636
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1588
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:2736
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2444
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2732
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:2692
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2432
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2512
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2560
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2928
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2908
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1732
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2344
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:528
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:928
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:596
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1936
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1668
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1384
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:576
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2808
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2924
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1736
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1728
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1984
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1844
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:784
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2012
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1144
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2424
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2540
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2712
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2772
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1360
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1740
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2684
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1496
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1192
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2864
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2764
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2324
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2956
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1556
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2996
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1048
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1992
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1164
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1000
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1376
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1136
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:548
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2752
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1864
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1968
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2336
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1508
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2188
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2084
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2828
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2380
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2128
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2192
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3000
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2992
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:1704
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2532
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2208
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1632
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:2520
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1156
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2988
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2632
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2660
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1588
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2592
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2732
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2472
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2820
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2480
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2140
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2376
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2496
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2288
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1756
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:552
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:476
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2912
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:684
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1428
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2776
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:888
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2804
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2708
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2824
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2220
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2024
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1364
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2296
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2044
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1660
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1684
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1472
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2616
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2668
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1608
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2848
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1120
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1476
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2172
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2788
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2300
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2176
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1076
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3008
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1060
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:688
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2716
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2704
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2492
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1376
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1576
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:548
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2276
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:944
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1960
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1944
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2904
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1068
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2280
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2188
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1184
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1124
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2340
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2228
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:904
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2040
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:876
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1600
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2152
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2032
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2544
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2652
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2660
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2676
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1988
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2740
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2836
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2692
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2432
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2512
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2560
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2928
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2060
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1732
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2368
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:584
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:476
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2912
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:728
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1484
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2776
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1208
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2804
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2800
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2780
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2220
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2728
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1172
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1364
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1860
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1148
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1824
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1660
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1812
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:856
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2724
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2668
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2720
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1780
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1720
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2848
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1120
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2172
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2860
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2300
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2176
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:652
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2996
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:400
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:640
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1512
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1164
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1856
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1708
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1404
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1640
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1176
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2276
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1480
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1960
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1944
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2088
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1068
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2280
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2188
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1748
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1124
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3020
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1528
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2228
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1112
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1980
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2040
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1688
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2152
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2212
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1156
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2644
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2632
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2940
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2660
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1588
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1988
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2700
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2836
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:2432
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2436
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2608
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2496
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2504
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:2932
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1756
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2416
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1936
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1668
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:576
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2812
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:2744
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2800
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2780
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1736
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1172
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2296
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2348
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1860
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2044
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1824
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1684
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1472
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2424
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2668
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1724
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2856
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:1676
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2120
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1192
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:2284
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2764
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1268
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2176
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1568
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1108
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2844
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1060
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1332
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1752
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1912
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1000
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2492
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1196
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1136
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:956
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1940
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:944
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1480
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1868
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1068
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2188
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1184
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2128
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1528
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1076
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2992
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:988
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:876
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2208
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1552
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1632
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2588
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2672
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2568
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2636
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2640
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2664
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1928
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:2572
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2836
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1088
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2432
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2460
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2436
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:2512
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2288
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:584
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:592
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2912
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:728
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1484
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:888
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2812
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2800
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2896
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2220
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2024
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:376
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1548
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:784
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1788
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2012
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1144
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:708
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2540
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2756
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1360
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1716
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1780
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2848
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1908
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2864
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2172
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2300
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:652
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1556
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2824
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3008
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:804
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1512
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1752
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1696
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:840
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1576
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1160
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1640
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2248
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1864
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2412
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1944
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2036
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1644
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3060
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2828
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2380
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2880
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1168
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2340
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1596
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2992
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:988
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:876
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2208
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1632
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:1624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2588
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2672
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2852
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2632
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2640
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2664
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2548
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2696
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2572
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2740
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1088
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2608
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2512
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2496
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2288
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1756
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:584
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2912
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:2488
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2748
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\iex.exeiex.exe /stext "iexplore.txt"3⤵
- Executes dropped EXE
- Suspicious use of AdjustPrivilegeToken
PID:2492
-
-
C:\Users\Admin\AppData\Local\Temp\msn.exemsn.exe /stext "msn.txt"3⤵
- Executes dropped EXE
- Suspicious use of AdjustPrivilegeToken
PID:2488
-
-
C:\Users\Admin\AppData\Local\Temp\ff.exeff.exe /stext "firefox.txt"3⤵
- Executes dropped EXE
PID:2940
-
-
C:\Users\Admin\AppData\Local\Temp\opr.exeopr.exe /stext "opera.txt"3⤵
- Executes dropped EXE
PID:1756
-
-
C:\Users\Admin\AppData\Local\Temp\mail.exemail.exe /stext "mail.txt"3⤵
- Executes dropped EXE
- Accesses Microsoft Outlook accounts
PID:1916
-
-
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
244B
MD516c135b0647301f1c1768b10b217fd0c
SHA18a827aaf7faf86e5217493d1a718c7bafe3df0a4
SHA25603375d08b896f258dc0d55e552ed4606b5d04b3621dfc302c5d5a99091a2d5ac
SHA51267cefe443dbefd5fd570da0dabaa177afcc9ff762ee73a30f399e5c610d9f7ebe2672e8ca6b95d5f0ccc20b486a4a6e07a4db432b1b6b26b1d799aa45010780c
-
Filesize
316B
MD59e2a418c9293ca64190509c667a82b36
SHA1bc8e0cbd4e22156f7a8e4116e69f779187774d66
SHA2568a707ec29a474e4035e9b754d83ea0d554abc25e32ff3005db7d52a4f0aed155
SHA512abb79653ae063faffc5fa24f85497b4ccce36c773056d937b34f69a40671bb2ec3a603c640899d441c2a42473b953d4d9a223f50ee717f42b3c7c67ed186c7a0
-
Filesize
137B
MD5ac2faa2279aaefdb644e551db46c10aa
SHA135ea5996063b6da65c807cf4a750f5b77d8304ef
SHA2568bac0e2d33738e959f8081c09340b446d21b19bd554a18f28047f1731eea26ab
SHA512c1a7c3877ba0224a9e284d9971cfc0bee19c41e7bfa71624a14c3d7dca331e32564710c30b4ceb6429bf0f6fe3397281edb439a0c796beb9280c0329c7dcc12c
-
Filesize
621B
MD531115d3b90cbe05fb485c24486586e48
SHA1ce3085327fbaff2e83f5bc79eba2220736c4272a
SHA2568b3ddc28f2b40de5fdacce4f1decd827a39e76d02f1d82e883056aa1e4ed24f8
SHA51212f5c59e959280567acaf8124ea30bb48b39b23fb1e79bb066ccf49805dbdebdae8d58897239f1f20a6defa82da49f03a0af6f12a9ad8b0d5d4ede8d407a3ccb
-
Filesize
37KB
MD5ac5808334832032b0e7df1a2351e207f
SHA187495f44ac0828110d187234c95bf2e20bc1ba37
SHA256c5aefbe09133790c51f91400603232dc688e2ec2d469f27b4991511d360838d5
SHA512b4b73061880df78cf7e9e0654ce8d0c989b7b7144114b577e36271bbb0a94ed022fe2c4844a71627b67118b7f7b93c854564c9b1ce3d80aa600a528fedeec1da
-
Filesize
134KB
MD5cb9c16a161db1629249e9f672eeeaab0
SHA1b2badaff9a804e3db7e02a8e74220210f0618336
SHA2560607270170c6c9bc347378c3a71b2a27a8629b7a8621b0dfc542bace5fb4fd8c
SHA512e47352eda9d893254aada5aefa7c2f3491bbf68c61b403abb1bbe83b11d797b00f69480705df9edc8052d81fe42d546ee4b3dc553070a2503c4a1b9571cb20a0
-
Filesize
43KB
MD521e55f6bbe6bd753faf348dc12e38353
SHA190b34cefc60951685217dfeeeccf838ea38ce6e7
SHA256b64d3ba3c7493dedb16acd6fb19efb45c16db9d888ed6dbe026420f410e8c242
SHA51208ccfb88c6f50ef5638a68058ae4f58bca9120fe67cefde23f5005c82184af2e024d72ea645d87d3bbadb89b46770c9ed760634ee1770eb7703bbd4ecfbd8765
-
Filesize
50KB
MD560e5a03029eac3972550507e96ee4b83
SHA1f445dd6d55b63f39c68a5a09a6faff76fe2d9415
SHA25601d602e84ace9c9e264b8a2bd9a7393852c70a10abfb2993b38e9ceab5126650
SHA51217df593ce492135ac07f7951fa8f58142ca1bd91c451f5d9fd16990ebc1e08e4c4e711f3f7f68d07783955dc0b1188c94c43c82e6adc5e7b7f4fe75ed63a8d25
-
Filesize
64KB
MD54b0f8add6c696cefe2746b6372a09034
SHA1d6fbd08793d456f1b776833b6d0e802928e599d9
SHA2561e62cd6f3b7e5c653833d4216b14e92d45f8330dcca7ecbdb981e3e2c2692942
SHA5122a06b038e6cae52482577dd16af9f7a4d20142116480b4359dfc303a0ef94999138944d77fabbec503a62627f1b12ccf9fca48c42a46d15048ec3a57e3805795
-
Filesize
38KB
MD537a89021ab1fbe5668c3974abc794bd4
SHA18ccaa4406f907a5a938fbb2db9d5af27092b811d
SHA2562cb9a3d9587f79a6b1cfa95020b81d7d0d3cf9aa6ebf992f3b5e4ecf19bca8a8
SHA5126eaef2c2c29eb5363a0193489dc989527e4087c61fe926efbbd8a0e3cc8b9675285a94d392ee0a906dfc109566cc144ab07166fd5b3defbfc8afd66d3fe8d1b8
-
Filesize
134KB
MD5693e1f03aff7d72044f4782ddf088217
SHA11e2d92d909090288051f094ef8bdf382f120638a
SHA2560de9f83876e1c927966740e4d799e61ad02e33160afa9c2681abec9868b13d86
SHA512c471eb75b57b3e9f8f9658e2c78d30ce382ad51477c58fbb475153cea27df05f261ea32630986158fb7587aa90ac4777a424d71b673cce524f131d5c39fbef54
-
Filesize
386KB
MD567f4d41d76efd0f5b4e98adc50a4c106
SHA1eaf223672d9f7cd37146327fe4be4942ac3331d4
SHA256cf4466ce4dfe7c52cb1c37a1c369d44ebf7e5ef5185eeb1033807b1d1ce38317
SHA5125088cd715b1d1b52742a139d55aa5405e9a661a80693336fea23b38cc6a7545c873e62113cea8cc9712a52c12361387961d42bdf503833f00eb44795930c9ecf