Analysis
-
max time kernel
30s -
max time network
160s -
platform
windows10-2004_x64 -
resource
win10v2004-20240226-en -
resource tags
arch:x64arch:x86image:win10v2004-20240226-enlocale:en-usos:windows10-2004-x64system -
submitted
07-04-2024 23:29
Behavioral task
behavioral1
Sample
e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe
Resource
win7-20240221-en
Behavioral task
behavioral2
Sample
e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe
Resource
win10v2004-20240226-en
General
-
Target
e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe
-
Size
811KB
-
MD5
e61cda6fec845a5b8bd19e4217276187
-
SHA1
ad75178e1715467ff19261eb1f060861e4a6b4df
-
SHA256
2596b134f104421950acca2c6add33a38b092be75508d35227436e5e8aab8afd
-
SHA512
ba95e932483859df3cf80d41f38ec67ac3a7b941b441c176e9d478672429589fb13b04abafc205517a70b69e58e89509723eeb51b089d1f1e79c333ae13804a5
-
SSDEEP
24576:YttgPb0IRBC7EBsReTDK+yA3A43IvMbMy:YtC0I/RBsRCDKE3ABMA
Malware Config
Signatures
-
NirSoft MailPassView 1 IoCs
Password recovery tool for various email clients
Processes:
resource yara_rule behavioral2/memory/4232-67-0x0000000000400000-0x000000000041F000-memory.dmp MailPassView -
Nirsoft 5 IoCs
Processes:
resource yara_rule behavioral2/memory/2724-63-0x0000000000400000-0x0000000000419000-memory.dmp Nirsoft behavioral2/memory/4064-64-0x0000000000400000-0x000000000041B000-memory.dmp Nirsoft behavioral2/memory/3248-68-0x0000000000400000-0x0000000000425000-memory.dmp Nirsoft behavioral2/memory/4232-67-0x0000000000400000-0x000000000041F000-memory.dmp Nirsoft behavioral2/memory/4240-86-0x0000000000400000-0x0000000000419000-memory.dmp Nirsoft -
Checks computer location settings 2 TTPs 2 IoCs
Looks up country code configured in the registry, likely geofence.
Processes:
xdx.exeflash.exedescription ioc process Key value queried \REGISTRY\USER\S-1-5-21-557049126-2506969350-2798870634-1000\Control Panel\International\Geo\Nation xdx.exe Key value queried \REGISTRY\USER\S-1-5-21-557049126-2506969350-2798870634-1000\Control Panel\International\Geo\Nation flash.exe -
Executes dropped EXE 8 IoCs
Processes:
keylogger.exexdx.exeflash.exeiex.exemsn.exeff.exeopr.exemail.exepid process 468 keylogger.exe 2320 xdx.exe 3348 flash.exe 4064 iex.exe 3248 msn.exe 4240 ff.exe 2724 opr.exe 4232 mail.exe -
Reads user/profile data of web browsers 2 TTPs
Infostealers often target stored browser data, which can include saved credentials etc.
-
Processes:
resource yara_rule behavioral2/memory/3756-0-0x0000000000400000-0x0000000000553000-memory.dmp upx C:\Users\Admin\AppData\Local\Temp\keylogger.exe upx behavioral2/memory/468-27-0x0000000000400000-0x00000000004EC000-memory.dmp upx C:\Users\Admin\AppData\Local\Temp\xdx.exe upx behavioral2/memory/2320-31-0x0000000000400000-0x0000000000448000-memory.dmp upx C:\Users\Admin\AppData\Local\Temp\flash.exe upx behavioral2/memory/3348-39-0x0000000000400000-0x0000000000448000-memory.dmp upx C:\Users\Admin\AppData\Local\Temp\iex.exe upx behavioral2/memory/4064-41-0x0000000000400000-0x000000000041B000-memory.dmp upx behavioral2/memory/3248-44-0x0000000000400000-0x0000000000425000-memory.dmp upx C:\Users\Admin\AppData\Local\Temp\msn.exe upx C:\Users\Admin\AppData\Local\Temp\ff.exe upx C:\Users\Admin\AppData\Local\Temp\opr.exe upx behavioral2/memory/2724-53-0x0000000000400000-0x0000000000419000-memory.dmp upx behavioral2/memory/4240-48-0x0000000000400000-0x0000000000419000-memory.dmp upx C:\Users\Admin\AppData\Local\Temp\mail.exe upx behavioral2/memory/4232-57-0x0000000000400000-0x000000000041F000-memory.dmp upx behavioral2/memory/2724-63-0x0000000000400000-0x0000000000419000-memory.dmp upx behavioral2/memory/4064-64-0x0000000000400000-0x000000000041B000-memory.dmp upx behavioral2/memory/3756-65-0x0000000000400000-0x0000000000553000-memory.dmp upx behavioral2/memory/3248-68-0x0000000000400000-0x0000000000425000-memory.dmp upx behavioral2/memory/4232-67-0x0000000000400000-0x000000000041F000-memory.dmp upx behavioral2/memory/4240-86-0x0000000000400000-0x0000000000419000-memory.dmp upx behavioral2/memory/468-87-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral2/memory/468-88-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral2/memory/2320-89-0x0000000000400000-0x0000000000448000-memory.dmp upx behavioral2/memory/3348-90-0x0000000000400000-0x0000000000448000-memory.dmp upx behavioral2/memory/468-91-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral2/memory/468-94-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral2/memory/468-97-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral2/memory/468-100-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral2/memory/468-103-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral2/memory/468-106-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral2/memory/468-109-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral2/memory/468-112-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral2/memory/468-115-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral2/memory/468-118-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral2/memory/468-121-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral2/memory/468-124-0x0000000000400000-0x00000000004EC000-memory.dmp upx behavioral2/memory/468-127-0x0000000000400000-0x00000000004EC000-memory.dmp upx -
Accesses Microsoft Outlook accounts 1 TTPs 1 IoCs
Processes:
mail.exedescription ioc process Key opened \REGISTRY\USER\S-1-5-21-557049126-2506969350-2798870634-1000\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts mail.exe -
AutoIT Executable 15 IoCs
AutoIT scripts compiled to PE executables.
Processes:
resource yara_rule behavioral2/memory/468-87-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral2/memory/468-88-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral2/memory/468-91-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral2/memory/468-94-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral2/memory/468-97-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral2/memory/468-100-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral2/memory/468-103-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral2/memory/468-106-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral2/memory/468-109-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral2/memory/468-112-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral2/memory/468-115-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral2/memory/468-118-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral2/memory/468-121-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral2/memory/468-124-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe behavioral2/memory/468-127-0x0000000000400000-0x00000000004EC000-memory.dmp autoit_exe -
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
Enumerates system info in registry 2 TTPs 64 IoCs
Processes:
xcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exexcopy.exedescription ioc process Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier xcopy.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier -
Suspicious behavior: EnumeratesProcesses 2 IoCs
Processes:
msn.exepid process 3248 msn.exe 3248 msn.exe -
Suspicious use of AdjustPrivilegeToken 4 IoCs
Processes:
iex.exemsn.exedescription pid process Token: SeDebugPrivilege 4064 iex.exe Token: SeRestorePrivilege 4064 iex.exe Token: SeBackupPrivilege 4064 iex.exe Token: SeDebugPrivilege 3248 msn.exe -
Suspicious use of FindShellTrayWindow 26 IoCs
Processes:
keylogger.exepid process 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe -
Suspicious use of SendNotifyMessage 26 IoCs
Processes:
keylogger.exepid process 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe 468 keylogger.exe -
Suspicious use of WriteProcessMemory 64 IoCs
Processes:
e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.execmd.exexdx.exeflash.execmd.execmd.exedescription pid process target process PID 3756 wrote to memory of 2552 3756 e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe cmd.exe PID 3756 wrote to memory of 2552 3756 e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe cmd.exe PID 3756 wrote to memory of 2552 3756 e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe cmd.exe PID 2552 wrote to memory of 468 2552 cmd.exe keylogger.exe PID 2552 wrote to memory of 468 2552 cmd.exe keylogger.exe PID 2552 wrote to memory of 468 2552 cmd.exe keylogger.exe PID 2552 wrote to memory of 2320 2552 cmd.exe xdx.exe PID 2552 wrote to memory of 2320 2552 cmd.exe xdx.exe PID 2552 wrote to memory of 2320 2552 cmd.exe xdx.exe PID 2552 wrote to memory of 3348 2552 cmd.exe flash.exe PID 2552 wrote to memory of 3348 2552 cmd.exe flash.exe PID 2552 wrote to memory of 3348 2552 cmd.exe flash.exe PID 2552 wrote to memory of 4064 2552 cmd.exe iex.exe PID 2552 wrote to memory of 4064 2552 cmd.exe iex.exe PID 2552 wrote to memory of 4064 2552 cmd.exe iex.exe PID 2552 wrote to memory of 3248 2552 cmd.exe msn.exe PID 2552 wrote to memory of 3248 2552 cmd.exe msn.exe PID 2552 wrote to memory of 3248 2552 cmd.exe msn.exe PID 2552 wrote to memory of 4240 2552 cmd.exe ff.exe PID 2552 wrote to memory of 4240 2552 cmd.exe ff.exe PID 2552 wrote to memory of 4240 2552 cmd.exe ff.exe PID 2552 wrote to memory of 2724 2552 cmd.exe opr.exe PID 2552 wrote to memory of 2724 2552 cmd.exe opr.exe PID 2552 wrote to memory of 2724 2552 cmd.exe opr.exe PID 2552 wrote to memory of 4232 2552 cmd.exe mail.exe PID 2552 wrote to memory of 4232 2552 cmd.exe mail.exe PID 2552 wrote to memory of 4232 2552 cmd.exe mail.exe PID 2320 wrote to memory of 2040 2320 xdx.exe cmd.exe PID 2320 wrote to memory of 2040 2320 xdx.exe cmd.exe PID 2320 wrote to memory of 2040 2320 xdx.exe cmd.exe PID 3348 wrote to memory of 1852 3348 flash.exe cmd.exe PID 3348 wrote to memory of 1852 3348 flash.exe cmd.exe PID 3348 wrote to memory of 1852 3348 flash.exe cmd.exe PID 1852 wrote to memory of 1004 1852 cmd.exe xcopy.exe PID 1852 wrote to memory of 1004 1852 cmd.exe xcopy.exe PID 1852 wrote to memory of 1004 1852 cmd.exe xcopy.exe PID 2040 wrote to memory of 3468 2040 cmd.exe xcopy.exe PID 2040 wrote to memory of 3468 2040 cmd.exe xcopy.exe PID 2040 wrote to memory of 3468 2040 cmd.exe xcopy.exe PID 1852 wrote to memory of 2084 1852 cmd.exe xcopy.exe PID 1852 wrote to memory of 2084 1852 cmd.exe xcopy.exe PID 1852 wrote to memory of 2084 1852 cmd.exe xcopy.exe PID 2040 wrote to memory of 4008 2040 cmd.exe xcopy.exe PID 2040 wrote to memory of 4008 2040 cmd.exe xcopy.exe PID 2040 wrote to memory of 4008 2040 cmd.exe xcopy.exe PID 2040 wrote to memory of 2188 2040 cmd.exe xcopy.exe PID 2040 wrote to memory of 2188 2040 cmd.exe xcopy.exe PID 2040 wrote to memory of 2188 2040 cmd.exe xcopy.exe PID 1852 wrote to memory of 5036 1852 cmd.exe xcopy.exe PID 1852 wrote to memory of 5036 1852 cmd.exe xcopy.exe PID 1852 wrote to memory of 5036 1852 cmd.exe xcopy.exe PID 2040 wrote to memory of 1584 2040 cmd.exe xcopy.exe PID 2040 wrote to memory of 1584 2040 cmd.exe xcopy.exe PID 2040 wrote to memory of 1584 2040 cmd.exe xcopy.exe PID 1852 wrote to memory of 3308 1852 cmd.exe xcopy.exe PID 1852 wrote to memory of 3308 1852 cmd.exe xcopy.exe PID 1852 wrote to memory of 3308 1852 cmd.exe xcopy.exe PID 2040 wrote to memory of 2232 2040 cmd.exe xcopy.exe PID 2040 wrote to memory of 2232 2040 cmd.exe xcopy.exe PID 2040 wrote to memory of 2232 2040 cmd.exe xcopy.exe PID 1852 wrote to memory of 3376 1852 cmd.exe xcopy.exe PID 1852 wrote to memory of 3376 1852 cmd.exe xcopy.exe PID 1852 wrote to memory of 3376 1852 cmd.exe xcopy.exe PID 2040 wrote to memory of 1292 2040 cmd.exe xcopy.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe"C:\Users\Admin\AppData\Local\Temp\e61cda6fec845a5b8bd19e4217276187_JaffaCakes118.exe"1⤵
- Suspicious use of WriteProcessMemory
PID:3756 -
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\89B2.tmp\steal.bat""2⤵
- Suspicious use of WriteProcessMemory
PID:2552 -
C:\Users\Admin\AppData\Local\Temp\keylogger.exekeylogger.exe3⤵
- Executes dropped EXE
- Suspicious use of FindShellTrayWindow
- Suspicious use of SendNotifyMessage
PID:468
-
-
C:\Users\Admin\AppData\Local\Temp\xdx.exexdx.exe3⤵
- Checks computer location settings
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2320 -
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\8AEA.tmp\xdx.bat" "4⤵
- Suspicious use of WriteProcessMemory
PID:2040 -
C:\Windows\SysWOW64\xcopy.exexcopy c:/sys/Update.exe C:\Windows5⤵PID:3468
-
-
C:\Windows\SysWOW64\xcopy.exexcopy c:/sys/Update.exe C:\Users\Admin\AppData\Local\Temp5⤵PID:4008
-
-
C:\Windows\SysWOW64\xcopy.exexcopy c:/sys/Update.exe5⤵PID:2188
-
-
C:\Windows\SysWOW64\xcopy.exexcopy c:/sys/Autorun.inf C:\Users\Admin\AppData\Local\Temp5⤵PID:1584
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4340
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2496
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2228
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2976
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2452
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2728
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵
- Enumerates system info in registry
PID:4328
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1520
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1132
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3724
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4136
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2956
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:5044
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4000
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4356
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4948
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2780
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:996
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4608
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1952
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2312
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵
- Enumerates system info in registry
PID:4260
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1532
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4012
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3092
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1112
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1996
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4924
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4520
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3760
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4072
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:5056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3112
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2364
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3864
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2948
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵
- Enumerates system info in registry
PID:4340
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1816
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2116
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵
- Enumerates system info in registry
PID:976
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3340
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2032
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3736
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:744
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵
- Enumerates system info in registry
PID:2824
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4332
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4876
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1132
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:392
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4860
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4444
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2212
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3912
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4600
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4200
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2720
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2044
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4760
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1796
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵
- Enumerates system info in registry
PID:1628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2724
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4424
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵
- Enumerates system info in registry
PID:1860
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3092
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2420
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:440
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4280
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3372
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1584
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2364
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4852
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2120
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:552
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2496
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2228
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3340
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3040
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4468
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4328
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4152
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2304
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4136
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵
- Enumerates system info in registry
PID:4528
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:5044
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2660
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3392
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4180
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2780
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:996
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2644
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1796
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2876
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2588
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3096
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2848
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:440
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:5096
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4520
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4660
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵
- Enumerates system info in registry
PID:1976
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4008
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3388
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3752
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1332
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2120
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1668
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:884
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2976
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3040
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2452
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3344
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2256
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4100
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1872
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3444
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1508
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4136
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2956
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4036
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2176
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3808
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1596
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3480
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3276
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2740
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4048
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1284
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4324
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4416
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3180
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4992
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4196
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4012
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4424
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3092
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1112
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2848
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4532
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4436
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2596
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1976
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4072
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3432
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3752
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2888
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2496
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2244
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3340
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3316
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2452
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4468
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4100
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4152
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4892
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2128
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1508
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4860
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2956
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4036
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4000
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4200
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4872
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3976
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1348
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4048
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4912
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3852
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1196
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4196
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1704
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2968
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2420
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2836
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2024
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:5004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2148
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1728
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3864
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3376
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4768
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2812
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵
- Enumerates system info in registry
PID:1660
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2228
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:5108
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4484
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2452
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4304
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1136
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4100
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1872
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4108
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2128
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4528
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2212
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2720
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2240
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4948
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3336
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:996
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4324
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2312
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1616
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1532
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2556
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2772
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2848
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1556
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:968
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵
- Enumerates system info in registry
PID:4520
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4008
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵
- Enumerates system info in registry
PID:3816
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵
- Enumerates system info in registry
PID:3512
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4476
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:552
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1816
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4492
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:924
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2440
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵
- Enumerates system info in registry
PID:4292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:744
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3344
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2452
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:392
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4892
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2216
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2832
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1980
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2956
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2176
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1836
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4880
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1080
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4664
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3516
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4760
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵
- Enumerates system info in registry
PID:1580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1952
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4416
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4992
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2028
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4640
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1636
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1860
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3096
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1112
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵
- Enumerates system info in registry
PID:3372
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2848
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:5096
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3760
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4280
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2188
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2860
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵
- Enumerates system info in registry
PID:5056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2120
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4492
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2976
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3340
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:5108
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1136
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1520
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2208
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1508
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2128
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4444
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:5044
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵
- Enumerates system info in registry
PID:3808
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4880
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1596
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵
- Enumerates system info in registry
PID:3480
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2740
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4608
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4672
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4324
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4416
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2868
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1616
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4620
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1632
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:756
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4544
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3128
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2420
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4184
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:5060
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4820
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2836
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:5004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4252
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2948
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3376
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3752
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1332
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1668
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3332
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵
- Enumerates system info in registry
PID:4492
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2976
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3380
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:744
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2912
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:392
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3780
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3408
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4956
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1980
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵
- Enumerates system info in registry
PID:4868
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4356
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2660
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:5112
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵
- Enumerates system info in registry
PID:3480
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1348
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4760
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4048
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3600
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3852
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4992
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1960
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4012
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3128
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1996
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1112
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:968
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1516
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4008
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2148
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2860
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3432
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4476
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2120
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:556
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2496
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1660
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2976
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3380
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4392
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3344
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4488
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵
- Enumerates system info in registry
PID:4328
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1536
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2272
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4368
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2832
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4528
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2660
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:5112
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4472
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4664
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3516
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3044
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4284
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4672
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵
- Enumerates system info in registry
PID:4912
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1684
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵
- Enumerates system info in registry
PID:5032
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1196
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4112
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4012
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1704
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4424
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4688
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1112
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2848
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4820
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4532
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:2200
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2188
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3816
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3388
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵
- Enumerates system info in registry
PID:1232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3752
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4384
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3520
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2496
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4920
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4380
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1792
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2728
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4304
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2256
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:2452
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1872
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4108
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3912
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4652
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4868
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵
- Enumerates system info in registry
PID:3608
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4880
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1596
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3480
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:3044
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4824
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4800
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:2312
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:1628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:5032
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1616
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1960
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:1068
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:3204
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:4864
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4688
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:3420
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:4240
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:1556
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:4820
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:2596
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf h:\\ /y5⤵PID:1656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe g:\\ /y5⤵PID:3468
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Update.exe h:\\ /y5⤵PID:5004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy C:\Users\Admin\AppData\Local\Temp/Autorun.inf g:\\ /y5⤵PID:4008
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\flash.exeflash.exe3⤵
- Checks computer location settings
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3348 -
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\8B87.tmp\flash.bat" "4⤵
- Suspicious use of WriteProcessMemory
PID:1852 -
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2084
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5036
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:3308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3376
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4476
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:676
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4492
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:416
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4380
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4468
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2256
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4152
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:392
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3272
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1508
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4444
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4956
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2216
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2660
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3392
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4472
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2240
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2740
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1284
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4324
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1856
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4196
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1704
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2420
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2836
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3304
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:968
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:2024
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3468
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2084
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3664
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3388
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4556
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2036
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4492
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2440
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5108
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4068
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3344
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4468
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4344
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4152
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2128
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2088
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1980
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2176
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4000
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1836
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4872
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1812
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3516
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3044
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:840
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1684
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4992
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1960
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1632
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3204
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3128
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2836
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5096
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4520
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4428
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4072
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:5056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3388
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:2648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4768
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1668
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3332
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5108
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4068
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1576
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2912
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2208
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3408
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2088
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3020
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2176
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4356
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4200
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4872
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4948
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3588
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4760
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4672
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1952
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1856
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4196
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1960
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1704
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4568
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4820
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2836
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3760
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3468
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3816
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4852
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4768
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:556
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:976
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2228
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5108
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3736
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4468
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4328
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2500
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4108
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3284
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3408
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4444
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2212
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4000
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5112
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3392
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4664
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2240
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3336
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3908
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2644
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1196
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4936
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4640
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1636
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3204
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4568
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3904
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2836
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2024
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4216
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5036
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4208
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3512
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:1816
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2116
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:924
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1660
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3380
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4484
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3736
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2824
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4876
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1520
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4108
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2216
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4368
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4652
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4444
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2212
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1604
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4600
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4472
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4180
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3588
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:996
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1284
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2868
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5032
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1616
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1192
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1632
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4424
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3592
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4820
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4532
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2104
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3664
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4476
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1332
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4920
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:924
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:976
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1792
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5092
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:1576
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4468
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4876
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3284
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3444
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2832
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3020
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5044
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2176
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1836
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4880
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1596
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3480
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2780
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4800
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4048
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1284
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1684
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:1856
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3248
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4640
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1068
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2448
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4424
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3092
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5060
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4436
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2628
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4252
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3664
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3864
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4852
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4340
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4384
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:396
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2036
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:884
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:784
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4332
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4344
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3484
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2500
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4152
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3408
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4136
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4368
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4652
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4000
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4200
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4872
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2552
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:2780
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3908
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1796
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3180
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2724
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4620
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3424
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2556
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4568
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1996
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3592
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3420
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4820
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4436
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4520
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2104
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4252
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2148
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3664
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:776
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2132
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4556
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2888
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1816
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3520
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:416
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2440
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4292
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4068
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2452
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3724
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2304
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4892
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2832
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4528
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4036
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2176
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2540
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4472
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1812
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4948
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1940
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4800
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2644
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3852
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4992
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1196
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3248
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1568
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1704
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2968
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3592
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3372
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3904
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4532
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2596
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4280
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4072
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3508
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1004
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3308
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3512
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2120
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2496
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:924
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4844
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3040
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3316
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2728
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:964
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2452
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3724
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3272
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4108
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1508
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3560
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4444
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2664
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3808
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3052
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4880
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1596
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3976
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4948
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3908
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1952
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2644
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2724
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4064
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3248
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1632
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:756
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2588
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4568
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:3092
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3372
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:5060
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4428
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4520
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2656
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3564
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4252
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4972
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:776
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3376
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4340
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:552
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:212
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2812
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4920
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4380
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1792
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4484
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3484
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2256
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4100
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4876
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3272
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2212
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1056
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3020
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1980
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3608
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2720
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1080
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1812
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2916
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3588
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4608
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4760
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2676
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2644
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2724
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1532
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4232
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1068
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2772
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1460
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1556
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3904
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2024
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2844
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3468
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3844
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2148
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2860
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3432
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3512
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4556
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1668
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2244
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4492
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2440
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1224
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:3316
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4484
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3484
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4468
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2500
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:392
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2208
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3444
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2128
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3560
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1980
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1456
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3808
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3636
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1080
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵
- Enumerates system info in registry
PID:2044
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2740
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2796
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:996
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1580
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1952
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4416
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1192
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4196
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3248
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3280
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4012
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2772
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1624
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2924
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:3648
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:2836
-
-
C:\Windows\SysWOW64\xcopy.exexcopy g:\\ c:\\sys /e /f /c /g /r /y5⤵PID:4428
-
-
C:\Windows\SysWOW64\xcopy.exexcopy h:\\ c:\\sys /e /f /c /g /r /y5⤵PID:1516
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\iex.exeiex.exe /stext "iexplore.txt"3⤵
- Executes dropped EXE
- Suspicious use of AdjustPrivilegeToken
PID:4064
-
-
C:\Users\Admin\AppData\Local\Temp\msn.exemsn.exe /stext "msn.txt"3⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:3248
-
-
C:\Users\Admin\AppData\Local\Temp\ff.exeff.exe /stext "firefox.txt"3⤵
- Executes dropped EXE
PID:4240
-
-
C:\Users\Admin\AppData\Local\Temp\opr.exeopr.exe /stext "opera.txt"3⤵
- Executes dropped EXE
PID:2724
-
-
C:\Users\Admin\AppData\Local\Temp\mail.exemail.exe /stext "mail.txt"3⤵
- Executes dropped EXE
- Accesses Microsoft Outlook accounts
PID:4232
-
-
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
244B
MD516c135b0647301f1c1768b10b217fd0c
SHA18a827aaf7faf86e5217493d1a718c7bafe3df0a4
SHA25603375d08b896f258dc0d55e552ed4606b5d04b3621dfc302c5d5a99091a2d5ac
SHA51267cefe443dbefd5fd570da0dabaa177afcc9ff762ee73a30f399e5c610d9f7ebe2672e8ca6b95d5f0ccc20b486a4a6e07a4db432b1b6b26b1d799aa45010780c
-
Filesize
316B
MD59e2a418c9293ca64190509c667a82b36
SHA1bc8e0cbd4e22156f7a8e4116e69f779187774d66
SHA2568a707ec29a474e4035e9b754d83ea0d554abc25e32ff3005db7d52a4f0aed155
SHA512abb79653ae063faffc5fa24f85497b4ccce36c773056d937b34f69a40671bb2ec3a603c640899d441c2a42473b953d4d9a223f50ee717f42b3c7c67ed186c7a0
-
Filesize
137B
MD5ac2faa2279aaefdb644e551db46c10aa
SHA135ea5996063b6da65c807cf4a750f5b77d8304ef
SHA2568bac0e2d33738e959f8081c09340b446d21b19bd554a18f28047f1731eea26ab
SHA512c1a7c3877ba0224a9e284d9971cfc0bee19c41e7bfa71624a14c3d7dca331e32564710c30b4ceb6429bf0f6fe3397281edb439a0c796beb9280c0329c7dcc12c
-
Filesize
621B
MD531115d3b90cbe05fb485c24486586e48
SHA1ce3085327fbaff2e83f5bc79eba2220736c4272a
SHA2568b3ddc28f2b40de5fdacce4f1decd827a39e76d02f1d82e883056aa1e4ed24f8
SHA51212f5c59e959280567acaf8124ea30bb48b39b23fb1e79bb066ccf49805dbdebdae8d58897239f1f20a6defa82da49f03a0af6f12a9ad8b0d5d4ede8d407a3ccb
-
Filesize
37KB
MD5ac5808334832032b0e7df1a2351e207f
SHA187495f44ac0828110d187234c95bf2e20bc1ba37
SHA256c5aefbe09133790c51f91400603232dc688e2ec2d469f27b4991511d360838d5
SHA512b4b73061880df78cf7e9e0654ce8d0c989b7b7144114b577e36271bbb0a94ed022fe2c4844a71627b67118b7f7b93c854564c9b1ce3d80aa600a528fedeec1da
-
Filesize
134KB
MD5cb9c16a161db1629249e9f672eeeaab0
SHA1b2badaff9a804e3db7e02a8e74220210f0618336
SHA2560607270170c6c9bc347378c3a71b2a27a8629b7a8621b0dfc542bace5fb4fd8c
SHA512e47352eda9d893254aada5aefa7c2f3491bbf68c61b403abb1bbe83b11d797b00f69480705df9edc8052d81fe42d546ee4b3dc553070a2503c4a1b9571cb20a0
-
Filesize
43KB
MD521e55f6bbe6bd753faf348dc12e38353
SHA190b34cefc60951685217dfeeeccf838ea38ce6e7
SHA256b64d3ba3c7493dedb16acd6fb19efb45c16db9d888ed6dbe026420f410e8c242
SHA51208ccfb88c6f50ef5638a68058ae4f58bca9120fe67cefde23f5005c82184af2e024d72ea645d87d3bbadb89b46770c9ed760634ee1770eb7703bbd4ecfbd8765
-
Filesize
386KB
MD567f4d41d76efd0f5b4e98adc50a4c106
SHA1eaf223672d9f7cd37146327fe4be4942ac3331d4
SHA256cf4466ce4dfe7c52cb1c37a1c369d44ebf7e5ef5185eeb1033807b1d1ce38317
SHA5125088cd715b1d1b52742a139d55aa5405e9a661a80693336fea23b38cc6a7545c873e62113cea8cc9712a52c12361387961d42bdf503833f00eb44795930c9ecf
-
Filesize
50KB
MD560e5a03029eac3972550507e96ee4b83
SHA1f445dd6d55b63f39c68a5a09a6faff76fe2d9415
SHA25601d602e84ace9c9e264b8a2bd9a7393852c70a10abfb2993b38e9ceab5126650
SHA51217df593ce492135ac07f7951fa8f58142ca1bd91c451f5d9fd16990ebc1e08e4c4e711f3f7f68d07783955dc0b1188c94c43c82e6adc5e7b7f4fe75ed63a8d25
-
Filesize
64KB
MD54b0f8add6c696cefe2746b6372a09034
SHA1d6fbd08793d456f1b776833b6d0e802928e599d9
SHA2561e62cd6f3b7e5c653833d4216b14e92d45f8330dcca7ecbdb981e3e2c2692942
SHA5122a06b038e6cae52482577dd16af9f7a4d20142116480b4359dfc303a0ef94999138944d77fabbec503a62627f1b12ccf9fca48c42a46d15048ec3a57e3805795
-
Filesize
38KB
MD537a89021ab1fbe5668c3974abc794bd4
SHA18ccaa4406f907a5a938fbb2db9d5af27092b811d
SHA2562cb9a3d9587f79a6b1cfa95020b81d7d0d3cf9aa6ebf992f3b5e4ecf19bca8a8
SHA5126eaef2c2c29eb5363a0193489dc989527e4087c61fe926efbbd8a0e3cc8b9675285a94d392ee0a906dfc109566cc144ab07166fd5b3defbfc8afd66d3fe8d1b8
-
Filesize
134KB
MD5693e1f03aff7d72044f4782ddf088217
SHA11e2d92d909090288051f094ef8bdf382f120638a
SHA2560de9f83876e1c927966740e4d799e61ad02e33160afa9c2681abec9868b13d86
SHA512c471eb75b57b3e9f8f9658e2c78d30ce382ad51477c58fbb475153cea27df05f261ea32630986158fb7587aa90ac4777a424d71b673cce524f131d5c39fbef54