6facbc807174db80e55f63163b7299bcc716636379f8f93f8eb0b8b46bc1df47

Analysis

max time kernel
14s
max time network
151s
platform
windows10-2004_x64
resource
win10v2004-20240226-en
resource tags

arch:x64arch:x86image:win10v2004-20240226-enlocale:en-usos:windows10-2004-x64system
submitted
20/04/2024, 16:10

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

file.vbs
Size

1KB
MD5

fa820db307a523c9d451f44b78eed692
SHA1

00062d3e15f0fbf635df14e49dbc51b1f549fd31
SHA256

6facbc807174db80e55f63163b7299bcc716636379f8f93f8eb0b8b46bc1df47
SHA512

abfb211c27febcb3760f0851205d3dffe982ae5414d5aabe68bb5cb4c6cc8829af77d18d5e77121b5100dc7fcf427ce5bb94b9d328d9c9171398ae3cdbdb223c

Score

7^/10

Malware Config

Signatures

Checks computer location settings 2 TTPs 19 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000\Control Panel\International\Geo\Nation	WScript.exe

Drops startup file 19 IoCs

description	ioc	Process
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs	WScript.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Modifies registry class 19 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe
Key created	\REGISTRY\USER\S-1-5-21-3808065738-1666277613-1125846146-1000_Classes\Local Settings	WScript.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 652 wrote to memory of 640	652	WScript.exe	90
PID 652 wrote to memory of 640	652	WScript.exe	90
PID 652 wrote to memory of 3284	652	WScript.exe	91
PID 652 wrote to memory of 3284	652	WScript.exe	91
PID 3284 wrote to memory of 1064	3284	WScript.exe	92
PID 3284 wrote to memory of 1064	3284	WScript.exe	92
PID 3284 wrote to memory of 1804	3284	WScript.exe	93
PID 3284 wrote to memory of 1804	3284	WScript.exe	93
PID 1804 wrote to memory of 1176	1804	WScript.exe	94
PID 1804 wrote to memory of 1176	1804	WScript.exe	94
PID 1804 wrote to memory of 4692	1804	WScript.exe	95
PID 1804 wrote to memory of 4692	1804	WScript.exe	95
PID 4692 wrote to memory of 1412	4692	WScript.exe	96
PID 4692 wrote to memory of 1412	4692	WScript.exe	96
PID 4692 wrote to memory of 4864	4692	WScript.exe	97
PID 4692 wrote to memory of 4864	4692	WScript.exe	97
PID 4864 wrote to memory of 3612	4864	WScript.exe	98
PID 4864 wrote to memory of 3612	4864	WScript.exe	98
PID 4864 wrote to memory of 2548	4864	WScript.exe	99
PID 4864 wrote to memory of 2548	4864	WScript.exe	99
PID 2548 wrote to memory of 3760	2548	WScript.exe	100
PID 2548 wrote to memory of 3760	2548	WScript.exe	100
PID 2548 wrote to memory of 1648	2548	WScript.exe	101
PID 2548 wrote to memory of 1648	2548	WScript.exe	101
PID 1648 wrote to memory of 3416	1648	WScript.exe	102
PID 1648 wrote to memory of 3416	1648	WScript.exe	102
PID 1648 wrote to memory of 5012	1648	WScript.exe	103
PID 1648 wrote to memory of 5012	1648	WScript.exe	103
PID 5012 wrote to memory of 4900	5012	WScript.exe	104
PID 5012 wrote to memory of 4900	5012	WScript.exe	104
PID 5012 wrote to memory of 1712	5012	WScript.exe	105
PID 5012 wrote to memory of 1712	5012	WScript.exe	105
PID 1712 wrote to memory of 2432	1712	WScript.exe	106
PID 1712 wrote to memory of 2432	1712	WScript.exe	106
PID 1712 wrote to memory of 2372	1712	WScript.exe	107
PID 1712 wrote to memory of 2372	1712	WScript.exe	107
PID 2372 wrote to memory of 3988	2372	WScript.exe	108
PID 2372 wrote to memory of 3988	2372	WScript.exe	108
PID 2372 wrote to memory of 232	2372	WScript.exe	109
PID 2372 wrote to memory of 232	2372	WScript.exe	109
PID 232 wrote to memory of 1660	232	WScript.exe	110
PID 232 wrote to memory of 1660	232	WScript.exe	110
PID 232 wrote to memory of 1640	232	WScript.exe	134
PID 232 wrote to memory of 1640	232	WScript.exe	134
PID 1640 wrote to memory of 4676	1640	WScript.exe	112
PID 1640 wrote to memory of 4676	1640	WScript.exe	112
PID 1640 wrote to memory of 1856	1640	WScript.exe	113
PID 1640 wrote to memory of 1856	1640	WScript.exe	113
PID 1856 wrote to memory of 4312	1856	WScript.exe	114
PID 1856 wrote to memory of 4312	1856	WScript.exe	114
PID 1856 wrote to memory of 5016	1856	WScript.exe	115
PID 1856 wrote to memory of 5016	1856	WScript.exe	115
PID 5016 wrote to memory of 2248	5016	WScript.exe	116
PID 5016 wrote to memory of 2248	5016	WScript.exe	116
PID 5016 wrote to memory of 2172	5016	WScript.exe	117
PID 5016 wrote to memory of 2172	5016	WScript.exe	117
PID 2172 wrote to memory of 3204	2172	WScript.exe	118
PID 2172 wrote to memory of 3204	2172	WScript.exe	118
PID 2172 wrote to memory of 1448	2172	WScript.exe	119
PID 2172 wrote to memory of 1448	2172	WScript.exe	119
PID 1448 wrote to memory of 3272	1448	WScript.exe	120
PID 1448 wrote to memory of 3272	1448	WScript.exe	120
PID 1448 wrote to memory of 1548	1448	WScript.exe	121
PID 1448 wrote to memory of 1548	1448	WScript.exe	121

C:\Windows\System32\WScript.exe
"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
1⤵
- Checks computer location settings
- Drops startup file
- Modifies registry class
- Suspicious use of WriteProcessMemory
PID:652
- C:\Windows\System32\notepad.exe
  "C:\Windows\System32\notepad.exe"
  2⤵
  PID:640
- C:\Windows\System32\WScript.exe
  "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
  2⤵
  - Checks computer location settings
  - Drops startup file
  - Modifies registry class
  - Suspicious use of WriteProcessMemory
  PID:3284
- - C:\Windows\System32\notepad.exe
    "C:\Windows\System32\notepad.exe"
    3⤵
    PID:1064
- - C:\Windows\System32\WScript.exe
    "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
    3⤵
    - Checks computer location settings
    - Drops startup file
    - Modifies registry class
    - Suspicious use of WriteProcessMemory
    PID:1804
  - - C:\Windows\System32\notepad.exe
      "C:\Windows\System32\notepad.exe"
      4⤵
      PID:1176
  - - C:\Windows\System32\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
      4⤵
      Checks computer location settings
      Drops startup file
      Modifies registry class
      Suspicious use of WriteProcessMemory
      PID:4692
    - - C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        5⤵
        
        PID:1412
    - - C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        5⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:4864
      - C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        6⤵
        
        PID:3612
      - C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        6⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:2548
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        7⤵
        
        PID:3760
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        7⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:1648
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        8⤵
        
        PID:3416
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        8⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:5012
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        9⤵
        
        PID:4900
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        9⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:1712
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        10⤵
        
        PID:2432
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        10⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:2372
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        11⤵
        
        PID:3988
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        11⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:232
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        12⤵
        
        PID:1660
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        12⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:1640
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        13⤵
        
        PID:4676
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        13⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:1856
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        14⤵
        
        PID:4312
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        14⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:5016
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        15⤵
        
        PID:2248
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        15⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:2172
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        16⤵
        
        PID:3204
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        16⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:1448
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        17⤵
        
        PID:3272
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        17⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        
        PID:1548
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        18⤵
        
        PID:4896
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        18⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        
        PID:3260
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        19⤵
        
        PID:2336
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        19⤵
        Checks computer location settings
        Drops startup file
        Modifies registry class
        
        PID:396
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        20⤵
        
        PID:1944
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        20⤵
        
        PID:4372
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        21⤵
        
        PID:2724
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        21⤵
        
        PID:3080
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        22⤵
        
        PID:3428
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        22⤵
        
        PID:3604
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        23⤵
        
        PID:836
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        23⤵
        
        PID:4240
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        24⤵
        
        PID:1640
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        24⤵
        
        PID:348
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        25⤵
        
        PID:4328
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        25⤵
        
        PID:2908
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        26⤵
        
        PID:1212
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        26⤵
        
        PID:4572
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        27⤵
        
        PID:2632
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        27⤵
        
        PID:4828
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        28⤵
        
        PID:2772
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        28⤵
        
        PID:2500
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        29⤵
        
        PID:3516
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        29⤵
        
        PID:3896
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        30⤵
        
        PID:4276
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        30⤵
        
        PID:2204
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        31⤵
        
        PID:4364
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        31⤵
        
        PID:3256
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        32⤵
        
        PID:3708
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        32⤵
        
        PID:4504
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        33⤵
        
        PID:228
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        33⤵
        
        PID:2688
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        34⤵
        
        PID:2100
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        34⤵
        
        PID:4216
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        35⤵
        
        PID:2180
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        35⤵
        
        PID:2832
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        36⤵
        
        PID:2556
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        36⤵
        
        PID:2412
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        37⤵
        
        PID:3100
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        37⤵
        
        PID:1120
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        38⤵
        
        PID:452
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        38⤵
        
        PID:2984
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        39⤵
        
        PID:4544
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        39⤵
        
        PID:3168
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        40⤵
        
        PID:4240
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        40⤵
        
        PID:4320
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        41⤵
        
        PID:4264
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        41⤵
        
        PID:2028
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        42⤵
        
        PID:3752
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        42⤵
        
        PID:5152
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        43⤵
        
        PID:5268
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        43⤵
        
        PID:5332
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        44⤵
        
        PID:5408
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        44⤵
        
        PID:5444
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        45⤵
        
        PID:5520
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        45⤵
        
        PID:5552
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        46⤵
        
        PID:5612
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        46⤵
        
        PID:5652
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        47⤵
        
        PID:5700
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        47⤵
        
        PID:5740
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        48⤵
        
        PID:5828
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        48⤵
        
        PID:5860
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        49⤵
        
        PID:5920
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        49⤵
        
        PID:5960
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        50⤵
        
        PID:6048
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        50⤵
        
        PID:6088
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        51⤵
        
        PID:1804
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        51⤵
        
        PID:4600
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        52⤵
        
        PID:5164
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        52⤵
        
        PID:5348
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        53⤵
        
        PID:5500
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        53⤵
        
        PID:5580
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        54⤵
        
        PID:5660
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        54⤵
        
        PID:5752
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        55⤵
        
        PID:1536
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        55⤵
        
        PID:5984
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        56⤵
        
        PID:6112
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        56⤵
        
        PID:6096
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        57⤵
        
        PID:5156
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        57⤵
        
        PID:5388
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        58⤵
        
        PID:5352
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        58⤵
        
        PID:5708
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        59⤵
        
        PID:5740
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        59⤵
        
        PID:6136
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        60⤵
        
        PID:5204
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        60⤵
        
        PID:6088
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        61⤵
        
        PID:5448
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        61⤵
        
        PID:2044
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        62⤵
        
        PID:5760
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        62⤵
        
        PID:5884
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        63⤵
        
        PID:6032
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        63⤵
        
        PID:5532
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        64⤵
        
        PID:3108
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        64⤵
        
        PID:5468
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        65⤵
        
        PID:6036
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        65⤵
        
        PID:6092
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        66⤵
        
        PID:5376
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        66⤵
        
        PID:5532
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        67⤵
        
        PID:5664
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        67⤵
        
        PID:5708
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        68⤵
        
        PID:4540
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        68⤵
        
        PID:6108
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        69⤵
        
        PID:384
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        69⤵
        
        PID:5248
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        70⤵
        
        PID:6108
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        70⤵
        
        PID:6180
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        71⤵
        
        PID:6228
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        71⤵
        
        PID:6264
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        72⤵
        
        PID:6316
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        72⤵
        
        PID:6344
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        73⤵
        
        PID:6404
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        73⤵
        
        PID:6432
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        74⤵
        
        PID:6488
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        74⤵
        
        PID:6524
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        75⤵
        
        PID:6580
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        75⤵
        
        PID:6616
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        76⤵
        
        PID:6668
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        76⤵
        
        PID:6696
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        77⤵
        
        PID:6760
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        77⤵
        
        PID:6784
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        78⤵
        
        PID:6844
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        78⤵
        
        PID:6880
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        79⤵
        
        PID:6932
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        79⤵
        
        PID:6960
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        80⤵
        
        PID:7016
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        80⤵
        
        PID:7052
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        81⤵
        
        PID:7108
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        81⤵
        
        PID:7132
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        82⤵
        
        PID:5340
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        82⤵
        
        PID:6212
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        83⤵
        
        PID:6288
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        83⤵
        
        PID:6040
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        84⤵
        
        PID:6456
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        84⤵
        
        PID:6472
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        85⤵
        
        PID:6552
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        85⤵
        
        PID:6680
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        86⤵
        
        PID:6736
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        86⤵
        
        PID:6732
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        87⤵
        
        PID:6788
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        87⤵
        
        PID:6940
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        88⤵
        
        PID:5236
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        88⤵
        
        PID:6964
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        89⤵
        
        PID:7116
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        89⤵
        
        PID:7076
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        90⤵
        
        PID:5532
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        90⤵
        
        PID:6292
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        91⤵
        
        PID:6452
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        91⤵
        
        PID:6384
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        92⤵
        
        PID:6588
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        92⤵
        
        PID:6640
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        93⤵
        
        PID:6824
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        93⤵
        
        PID:6852
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        94⤵
        
        PID:6944
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        94⤵
        
        PID:3440
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        95⤵
        
        PID:6960
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        95⤵
        
        PID:5224
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        96⤵
        
        PID:6344
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        96⤵
        
        PID:6284
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        97⤵
        
        PID:6560
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        97⤵
        
        PID:6484
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        98⤵
        
        PID:6820
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        98⤵
        
        PID:7024
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        99⤵
        
        PID:432
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        99⤵
        
        PID:1056
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        100⤵
        
        PID:3460
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        100⤵
        
        PID:5224
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        101⤵
        
        PID:6368
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        101⤵
        
        PID:6648
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        102⤵
        
        PID:6888
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        102⤵
        
        PID:6892
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        103⤵
        
        PID:568
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        103⤵
        
        PID:7068
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        104⤵
        
        PID:5224
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        104⤵
        
        PID:6348
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        105⤵
        
        PID:6744
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        105⤵
        
        PID:7088
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        106⤵
        
        PID:7068
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        106⤵
        
        PID:6484
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        107⤵
        
        PID:6576
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        107⤵
        
        PID:7088
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        108⤵
        
        PID:6660
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        108⤵
        
        PID:4128
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        109⤵
        
        PID:6980
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        109⤵
        
        PID:7184
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        110⤵
        
        PID:7248
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        110⤵
        
        PID:7288
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        111⤵
        
        PID:7336
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        111⤵
        
        PID:7364
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        112⤵
        
        PID:7428
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        112⤵
        
        PID:7464
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        113⤵
        
        PID:7532
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        113⤵
        
        PID:7568
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        114⤵
        
        PID:7628
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        114⤵
        
        PID:7656
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        115⤵
        
        PID:7720
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        115⤵
        
        PID:7744
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        116⤵
        
        PID:7812
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        116⤵
        
        PID:7848
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        117⤵
        
        PID:7900
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        117⤵
        
        PID:7924
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        118⤵
        
        PID:7992
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        118⤵
        
        PID:8024
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        119⤵
        
        PID:8080
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        119⤵
        
        PID:8116
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        120⤵
        
        PID:8168
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        120⤵
        
        PID:6548
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        121⤵
        
        PID:4056
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        121⤵
        
        PID:7240
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        122⤵
        
        PID:1928
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        122⤵
        
        PID:7292
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        123⤵
        
        PID:7384
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        123⤵
        
        PID:7376
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        124⤵
        
        PID:7520
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        124⤵
        
        PID:3212
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        125⤵
        
        PID:7608
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        125⤵
        
        PID:7728
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        126⤵
        
        PID:7656
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        126⤵
        
        PID:7772
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        127⤵
        
        PID:2348
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        127⤵
        
        PID:7888
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        128⤵
        
        PID:8004
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        128⤵
        
        PID:7960
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        129⤵
        
        PID:8028
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        129⤵
        
        PID:2952
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        130⤵
        
        PID:8144
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        130⤵
        
        PID:1796
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        131⤵
        
        PID:8132
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        131⤵
        
        PID:7216
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        132⤵
        
        PID:3540
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        132⤵
        
        PID:7412
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        133⤵
        
        PID:7284
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        133⤵
        
        PID:1604
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        134⤵
        
        PID:7640
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        134⤵
        
        PID:3056
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        135⤵
        
        PID:7728
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        135⤵
        
        PID:7804
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        136⤵
        
        PID:2560
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        136⤵
        
        PID:7860
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        137⤵
        
        PID:8060
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        137⤵
        
        PID:8056
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        138⤵
        
        PID:8128
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        138⤵
        
        PID:4180
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        139⤵
        
        PID:7188
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        139⤵
        
        PID:1776
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        140⤵
        
        PID:2732
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        140⤵
        
        PID:4608
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        141⤵
        
        PID:7596
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        141⤵
        
        PID:7592
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        142⤵
        
        PID:7700
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        142⤵
        
        PID:7800
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        143⤵
        
        PID:7748
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        143⤵
        
        PID:5144
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        144⤵
        
        PID:5264
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        144⤵
        
        PID:5428
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        145⤵
        
        PID:8056
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        145⤵
        
        PID:7164
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        146⤵
        
        PID:5620
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        146⤵
        
        PID:4296
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        147⤵
        
        PID:7332
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        147⤵
        
        PID:7508
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        148⤵
        
        PID:7496
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        148⤵
        
        PID:5116
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        149⤵
        
        PID:3568
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        149⤵
        
        PID:7772
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        150⤵
        
        PID:7848
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        150⤵
        
        PID:8136
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        151⤵
        
        PID:5604
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        151⤵
        
        PID:6380
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        152⤵
        
        PID:7164
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        152⤵
        
        PID:7580
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        153⤵
        
        PID:2468
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        153⤵
        
        PID:6184
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        154⤵
        
        PID:7984
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        154⤵
        
        PID:4320
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        155⤵
        
        PID:7776
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        155⤵
        
        PID:7772
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        156⤵
        
        PID:7988
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        156⤵
        
        PID:1796
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        157⤵
        
        PID:8160
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        157⤵
        
        PID:3676
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        158⤵
        
        PID:1048
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        158⤵
        
        PID:4184
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        159⤵
        
        PID:6024
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        159⤵
        
        PID:7860
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        160⤵
        
        PID:6028
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        160⤵
        
        PID:8068
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        161⤵
        
        PID:5608
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        161⤵
        
        PID:6292
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        162⤵
        
        PID:7580
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        162⤵
        
        PID:6092
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        163⤵
        
        PID:5468
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        163⤵
        
        PID:5792
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        164⤵
        
        PID:7860
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        164⤵
        
        PID:5912
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        165⤵
        
        PID:3560
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        165⤵
        
        PID:7696
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        166⤵
        
        PID:6292
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        166⤵
        
        PID:6184
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        167⤵
        
        PID:6012
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        167⤵
        
        PID:7584
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        168⤵
        
        PID:5928
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        168⤵
        
        PID:7772
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        169⤵
        
        PID:8052
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        169⤵
        
        PID:7752
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        170⤵
        
        PID:7124
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        170⤵
        
        PID:2144
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        171⤵
        
        PID:6272
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        171⤵
        
        PID:7772
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        172⤵
        
        PID:6156
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        172⤵
        
        PID:6092
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        173⤵
        
        PID:4320
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        173⤵
        
        PID:6184
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        174⤵
        
        PID:6776
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        174⤵
        
        PID:6208
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        175⤵
        
        PID:4308
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        175⤵
        
        PID:1964
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        176⤵
        
        PID:6952
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        176⤵
        
        PID:6328
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        177⤵
        
        PID:8248
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        177⤵
        
        PID:8280
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        178⤵
        
        PID:8332
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        178⤵
        
        PID:8372
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        179⤵
        
        PID:8424
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        179⤵
        
        PID:8460
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        180⤵
        
        PID:8516
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        180⤵
        
        PID:8556
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        181⤵
        
        PID:8616
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        181⤵
        
        PID:8640
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        182⤵
        
        PID:8712
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        182⤵
        
        PID:8748
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        183⤵
        
        PID:8808
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        183⤵
        
        PID:8848
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        184⤵
        
        PID:8904
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        184⤵
        
        PID:8932
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        185⤵
        
        PID:8996
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        185⤵
        
        PID:9032
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        186⤵
        
        PID:9084
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        186⤵
        
        PID:9116
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        187⤵
        
        PID:9172
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        187⤵
        
        PID:9196
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        188⤵
        
        PID:6444
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        188⤵
        
        PID:8244
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        189⤵
        
        PID:6836
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        189⤵
        
        PID:8284
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        190⤵
        
        PID:5308
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        190⤵
        
        PID:8404
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        191⤵
        
        PID:8372
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        191⤵
        
        PID:4188
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        192⤵
        
        PID:8460
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        192⤵
        
        PID:8628
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        193⤵
        
        PID:8684
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        193⤵
        
        PID:8724
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        194⤵
        
        PID:8772
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        194⤵
        
        PID:8776
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        195⤵
        
        PID:8852
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        195⤵
        
        PID:6180
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        196⤵
        
        PID:8992
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        196⤵
        
        PID:5320
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        197⤵
        
        PID:9068
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        197⤵
        
        PID:9180
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        198⤵
        
        PID:1836
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        198⤵
        
        PID:6624
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        199⤵
        
        PID:8300
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        199⤵
        
        PID:6840
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        200⤵
        
        PID:8304
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        200⤵
        
        PID:4992
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        201⤵
        
        PID:8420
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        201⤵
        
        PID:8592
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        202⤵
        
        PID:7160
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        202⤵
        
        PID:6528
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        203⤵
        
        PID:6908
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        203⤵
        
        PID:1744
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        204⤵
        
        PID:8880
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        204⤵
        
        PID:5228
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        205⤵
        
        PID:9008
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        205⤵
        
        PID:9096
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        206⤵
        
        PID:5972
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        206⤵
        
        PID:7552
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        207⤵
        
        PID:3644
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        207⤵
        
        PID:9196
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        208⤵
        
        PID:7076
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        208⤵
        
        PID:1224
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        209⤵
        
        PID:8392
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        209⤵
        
        PID:1348
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        210⤵
        
        PID:8008
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        210⤵
        
        PID:4188
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        211⤵
        
        PID:7176
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        211⤵
        
        PID:8884
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        212⤵
        
        PID:1744
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        212⤵
        
        PID:1300
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        213⤵
        
        PID:3396
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        213⤵
        
        PID:9076
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        214⤵
        
        PID:9148
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        214⤵
        
        PID:9120
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        215⤵
        
        PID:368
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        215⤵
        
        PID:9200
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        216⤵
        
        PID:7832
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        216⤵
        
        PID:2220
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        217⤵
        
        PID:3764
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        217⤵
        
        PID:8100
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        218⤵
        
        PID:1052
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        218⤵
        
        PID:8804
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        219⤵
        
        PID:8936
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        219⤵
        
        PID:8984
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        220⤵
        
        PID:9116
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        220⤵
        
        PID:9064
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        221⤵
        
        PID:5256
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        221⤵
        
        PID:7512
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        222⤵
        
        PID:6436
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        222⤵
        
        PID:7820
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        223⤵
        
        PID:8604
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        223⤵
        
        PID:8556
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        224⤵
        
        PID:8500
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        224⤵
        
        PID:8100
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        225⤵
        
        PID:8876
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        225⤵
        
        PID:7228
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        226⤵
        
        PID:9096
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        226⤵
        
        PID:9180
        
        C:\Windows\System32\notepad.exe
        
        "C:\Windows\System32\notepad.exe"
        227⤵
        
        PID:2140
        
        C:\Windows\System32\WScript.exe
        
        "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\file.vbs"
        227⤵
        
        PID:9120

C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=utility --utility-sub-type=asset_store.mojom.AssetStoreService --lang=en-US --service-sandbox-type=asset_store_service --no-appcompat-clear --mojo-platform-channel-handle=4072 --field-trial-handle=1928,i,13242902252791919845,10377620236057253993,262144 --variations-seed-version /prefetch:8
1⤵
PID:5468

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.vbs

Filesize
511B

MD5
e86de955d30d62a223887686a6a24da1

SHA1
5535770f5a0b16230dc8acfe6324082aeb1707ca

SHA256
1b7afde02455d129fa559c361cdc207c1901f1c9a936531f95715152daaaf3cc

SHA512
39c0738d51ec57a385703b23eca5ea5c42d77a8f4f580c5d44cd2ae13c8f3021f1413b219f64f980c7faa5c903a47820fd79ca7b9587e62c2f036a1b7fc34c8f

Download Submit