541a1966114e166cc5807973c227ad72fea6d687ce7c2e70293f794751247427

Analysis

max time kernel
600s
max time network
606s
platform
windows10-2004_x64
resource
win10v2004-20240419-es
resource tags

arch:x64arch:x86image:win10v2004-20240419-eslocale:es-esos:windows10-2004-x64systemwindows
submitted
02-05-2024 14:12

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

Hydra-1.1.0.Setup.exe
Size

128.8MB
MD5

366d719f4ffb6e6378bb8eb0ca5f89c0
SHA1

7ab9d1f32366c7eba513c37ae7304f6c74dd8933
SHA256

541a1966114e166cc5807973c227ad72fea6d687ce7c2e70293f794751247427
SHA512

da1816efa36d0f9e9c8aa0d03cd9cb64851762d83e212d5f91d77d42de91fc23af920922bbf1ca5824a2668d0d4915fc9b024b1dc0abbeb56e6a3e5ed970d5ca
SSDEEP

3145728:QkJG7QPqLxp8O4d4pPU62+0JXWg3/VnRbQvk4H6wWhuyGdgv+m7K2mpHQj/:QkJGUPsxdHt0kg3/VndY5dQ+mO2mpHg

Score

9^/10

discovery execution

Malware Config

Signatures

Creates a large amount of network flows 1 TTPs
This may indicate a network scan to discover remotely running services.
discovery

Network Service Discovery
T1046

Checks computer location settings 2 TTPs 4 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000\Control Panel\International\Geo\Nation	Hydra.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000\Control Panel\International\Geo\Nation	Hydra.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000\Control Panel\International\Geo\Nation	Update.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000\Control Panel\International\Geo\Nation	Hydra.exe

Executes dropped EXE 19 IoCs

pid	Process
4652	Update.exe
3208	Squirrel.exe
3972	Hydra.exe
2772	Update.exe
4428	Hydra.exe
1796	Hydra.exe
2224	Update.exe
2332	Hydra.exe
4984	Hydra.exe
3936	Hydra.exe
1228	Hydra.exe
4156	Hydra.exe
544	Update.exe
632	Hydra.exe
4268	hydra-download-manager.exe
756	Hydra.exe
392	Hydra.exe
1192	Process not Found
4816	Process not Found

Loads dropped DLL 35 IoCs

pid	Process
3972	Hydra.exe
3972	Hydra.exe
4428	Hydra.exe
1796	Hydra.exe
1796	Hydra.exe
1796	Hydra.exe
1796	Hydra.exe
2332	Hydra.exe
1796	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
1228	Hydra.exe
4156	Hydra.exe
632	Hydra.exe
4156	Hydra.exe
4156	Hydra.exe
4156	Hydra.exe
4156	Hydra.exe
4268	hydra-download-manager.exe
4268	hydra-download-manager.exe
4268	hydra-download-manager.exe
4268	hydra-download-manager.exe
4268	hydra-download-manager.exe
4268	hydra-download-manager.exe
4268	hydra-download-manager.exe
4268	hydra-download-manager.exe
4268	hydra-download-manager.exe
4268	hydra-download-manager.exe
4268	hydra-download-manager.exe
4268	hydra-download-manager.exe
756	Hydra.exe
392	Hydra.exe
392	Hydra.exe
1192	Process not Found
4816	Process not Found

Unexpected DNS network traffic destination 5 IoCs

Network traffic to other servers than the configured DNS servers was detected on the DNS port.

description	ioc
Destination IP	5.137.222.224
Destination IP	5.137.222.224
Destination IP	31.186.79.86
Destination IP	95.32.237.122
Destination IP	109.191.214.132

Command and Scripting Interpreter: PowerShell 1 TTPs 4 IoCs

Run Powershell to get system information.

execution

PowerShell

T1059.001

pid	Process
696	powershell.exe
1076	powershell.exe
540	powershell.exe
1740	powershell.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Checks processor information in registry 2 TTPs 7 IoCs

Processor information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\1	Hydra.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\1\~MHz	Hydra.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\1\ProcessorNameString	Hydra.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\2	Hydra.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	Hydra.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~MHz	Hydra.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	Hydra.exe

Enumerates processes with tasklist 1 TTPs 64 IoCs

Process Discovery

T1057

pid	Process
4480	Process not Found
1360	Process not Found
4076	tasklist.exe
4372	tasklist.exe
4844	tasklist.exe
2084	tasklist.exe
3996	Process not Found
2448	Process not Found
1080	Process not Found
2884	Process not Found
1076	tasklist.exe
548	tasklist.exe
512	tasklist.exe
2276	Process not Found
3604	Process not Found
3584	tasklist.exe
2884	tasklist.exe
3392	tasklist.exe
1796	tasklist.exe
4036	Process not Found
3164	tasklist.exe
2944	tasklist.exe
4340	Process not Found
4396	Process not Found
4472	Process not Found
548	tasklist.exe
1072	tasklist.exe
4100	Process not Found
1400	Process not Found
2384	Process not Found
1888	tasklist.exe
2260	tasklist.exe
4560	tasklist.exe
4384	tasklist.exe
1728	tasklist.exe
4348	tasklist.exe
1620	Process not Found
4364	tasklist.exe
4804	tasklist.exe
3880	Process not Found
1912	Process not Found
60	Process not Found
4484	tasklist.exe
784	tasklist.exe
1308	tasklist.exe
4908	Process not Found
2300	Process not Found
2276	tasklist.exe
2224	tasklist.exe
1072	Process not Found
2028	Process not Found
4932	Process not Found
208	tasklist.exe
2944	tasklist.exe
1200	tasklist.exe
5024	tasklist.exe
2708	Process not Found
4064	tasklist.exe
1584	tasklist.exe
2420	tasklist.exe
2944	tasklist.exe
5108	Process not Found
4884	tasklist.exe
60	tasklist.exe

Modifies registry class 64 IoCs

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\hydralauncher\ = "URL:hydralauncher"	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\6\Shell	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\6\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\Sort = 000000000000000000000000000000000100000030f125b7ef471a10a5f102608c9eebac0a00000001000000	Hydra.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\1\1\0\0\0\0\NodeSlot = "5"	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\5\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\MRUListEx = ffffffff	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\Sort = 000000000000000000000000000000000100000030f125b7ef471a10a5f102608c9eebac0a00000001000000	Hydra.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupView = "0"	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\hydralauncher	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6}\Instance\	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\ComDlg	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\1\1	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\1\1\0 = 780031000000000093585c371100557365727300640009000400efbe874f7748a258bd712e000000c70500000000010000000000000000003a0000000000781b0a0155007300650072007300000040007300680065006c006c00330032002e0064006c006c002c002d0032003100380031003300000014000000	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\hydralauncher\shell\open	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\MRUListEx = 00000000ffffffff	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\5	Hydra.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\7\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByKey:FMTID = "{00000000-0000-0000-0000-000000000000}"	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = ffffffff	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\1\MRUListEx = 0100000000000000ffffffff	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\1\1\0\0\0\0 = 7a00310000000000a258467210004255434b53487e310000620009000400efbea2584672a25846722e000000a7440200000030000000000000000000000000000000790704014200750063006b00730068006f007400200052006f0075006c0065007400740065002000280032003000320034002900000018000000	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\1\1\0\0\0\0	Hydra.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\1\1\0\0\0\0\0\NodeSlot = "6"	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\5\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\ColInfo = 00000000000000000000000000000000fddfdffd100000000000000000000000040000001800000030f125b7ef471a10a5f102608c9eebac0a0000001001000030f125b7ef471a10a5f102608c9eebac0e0000009000000030f125b7ef471a10a5f102608c9eebac040000007800000030f125b7ef471a10a5f102608c9eebac0c00000050000000	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 = 5000310000000000a258c47110006879647261003c0009000400efbea258bd71a258c5712e0000004d3a020000001000000000000000000000000000000056ccde0068007900640072006100000014000000	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots = 02	Hydra.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{4336a54d-038b-4685-ab02-99bb52d3fb8b}\Instance\	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\5\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\Sort = 000000000000000000000000000000000100000030f125b7ef471a10a5f102608c9eebac0a00000001000000	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\hydralauncher	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\6\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}	Hydra.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\6\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\IconSize = "16"	Hydra.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\FFlags = "1092616257"	Hydra.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\IconSize = "16"	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\1\1\0\0\0\0\MRUListEx = 00000000ffffffff	Hydra.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\7\Shell\SniffedFolderType = "Generic"	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\hydralauncher\shell\open\command	Hydra.exe
Key created	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\hydralauncher\shell\open\command	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = 00000000ffffffff	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\MRUListEx = 00000000ffffffff	Hydra.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\5\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\FFlags = "1"	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots = 020202020202	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\7\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\ColInfo = 00000000000000000000000000000000fddfdffd100000000000000000000000040000001800000030f125b7ef471a10a5f102608c9eebac0a0000001001000030f125b7ef471a10a5f102608c9eebac0e0000009000000030f125b7ef471a10a5f102608c9eebac040000007800000030f125b7ef471a10a5f102608c9eebac0c00000050000000	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots	Hydra.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByKey:FMTID = "{00000000-0000-0000-0000-000000000000}"	Hydra.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\5\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\LogicalViewMode = "1"	Hydra.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\5\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByKey:FMTID = "{00000000-0000-0000-0000-000000000000}"	Hydra.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\7\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\FFlags = "1"	Hydra.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\hydralauncher\URL Protocol	Hydra.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\LogicalViewMode = "1"	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\1\1\0\0\0\0\0\0 = 7c00310000000000a258a57210004255434b53487e310000640009000400efbea2584672a258a5722e00000037450200000007000000000000000000000000000000f68930004200750063006b00730068006f007400200052006f0075006c0065007400740065005f00770069006e0064006f0077007300000018000000	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\1\1\0\0\0\0\0\0\MRUListEx = ffffffff	Hydra.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByKey:PID = "0"	Hydra.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\hydralauncher\ = "URL:hydralauncher"	Hydra.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\Mode = "4"	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\1\1\0\0\0\0\0 = 6c00310000000000a258467210004255434b53487e310000540009000400efbea2584672a25846722e00000036450200000016000000000000000000000000000000790704014200750063006b00730068006f007400200052006f0075006c006500740074006500000018000000	Hydra.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\5\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupView = "0"	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\1\1\0\0\0\0\0\MRUListEx = 00000000ffffffff	Hydra.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\7\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\IconSize = "16"	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\ColInfo = 00000000000000000000000000000000fddfdffd100000000000000000000000040000001800000030f125b7ef471a10a5f102608c9eebac0a0000001001000030f125b7ef471a10a5f102608c9eebac0e0000009000000030f125b7ef471a10a5f102608c9eebac040000007800000030f125b7ef471a10a5f102608c9eebac0c00000050000000	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\1\1 = 19002f433a5c000000000000000000000000000000000000000000	Hydra.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-2818691465-3043947619-2475182763-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\1\1\0\0\MRUListEx = 00000000ffffffff	Hydra.exe

Suspicious behavior: EnumeratesProcesses 22 IoCs

pid	Process
3972	Hydra.exe
3972	Hydra.exe
3972	Hydra.exe
3972	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
696	powershell.exe
696	powershell.exe
696	powershell.exe
1076	powershell.exe
1076	powershell.exe
1076	powershell.exe
540	powershell.exe
540	powershell.exe
540	powershell.exe
1740	powershell.exe
1740	powershell.exe
1740	powershell.exe
392	Hydra.exe
392	Hydra.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

pid	Process
3936	Hydra.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeDebugPrivilege	1160	tasklist.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeDebugPrivilege	3996	tasklist.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeDebugPrivilege	3452	tasklist.exe
Token: SeDebugPrivilege	4764	tasklist.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeDebugPrivilege	4564	tasklist.exe
Token: SeDebugPrivilege	2224	tasklist.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeDebugPrivilege	2360	tasklist.exe
Token: SeDebugPrivilege	3476	tasklist.exe
Token: SeDebugPrivilege	1292	tasklist.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeDebugPrivilege	956	tasklist.exe
Token: SeDebugPrivilege	4564	tasklist.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeDebugPrivilege	2224	tasklist.exe
Token: SeDebugPrivilege	544	tasklist.exe
Token: SeDebugPrivilege	2084	tasklist.exe
Token: SeDebugPrivilege	4556	tasklist.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeDebugPrivilege	4804	tasklist.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeDebugPrivilege	2892	tasklist.exe
Token: SeDebugPrivilege	5100	tasklist.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe
Token: SeDebugPrivilege	4020	tasklist.exe
Token: SeDebugPrivilege	2360	tasklist.exe
Token: SeShutdownPrivilege	3936	Hydra.exe
Token: SeCreatePagefilePrivilege	3936	Hydra.exe

Suspicious use of FindShellTrayWindow 7 IoCs

pid	Process
4652	Update.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe

Suspicious use of SendNotifyMessage 7 IoCs

pid	Process
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe

Suspicious use of SetWindowsHookEx 12 IoCs

pid	Process
4984	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
3936	Hydra.exe
1192	Process not Found
1192	Process not Found
4816	Process not Found
4816	Process not Found

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 3660 wrote to memory of 4652	3660	Hydra-1.1.0.Setup.exe	88
PID 3660 wrote to memory of 4652	3660	Hydra-1.1.0.Setup.exe	88
PID 4652 wrote to memory of 3208	4652	Update.exe	95
PID 4652 wrote to memory of 3208	4652	Update.exe	95
PID 4652 wrote to memory of 3972	4652	Update.exe	96
PID 4652 wrote to memory of 3972	4652	Update.exe	96
PID 3972 wrote to memory of 2772	3972	Hydra.exe	98
PID 3972 wrote to memory of 2772	3972	Hydra.exe	98
PID 3972 wrote to memory of 4428	3972	Hydra.exe	99
PID 3972 wrote to memory of 4428	3972	Hydra.exe	99
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 1796	3972	Hydra.exe	100
PID 3972 wrote to memory of 2224	3972	Hydra.exe	101
PID 3972 wrote to memory of 2224	3972	Hydra.exe	101
PID 3972 wrote to memory of 2332	3972	Hydra.exe	102
PID 3972 wrote to memory of 2332	3972	Hydra.exe	102
PID 4984 wrote to memory of 3936	4984	Hydra.exe	119
PID 4984 wrote to memory of 3936	4984	Hydra.exe	119
PID 3936 wrote to memory of 1228	3936	Hydra.exe	120
PID 3936 wrote to memory of 1228	3936	Hydra.exe	120
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121
PID 3936 wrote to memory of 4156	3936	Hydra.exe	121

C:\Users\Admin\AppData\Local\Temp\Hydra-1.1.0.Setup.exe
"C:\Users\Admin\AppData\Local\Temp\Hydra-1.1.0.Setup.exe"
1⤵
- Suspicious use of WriteProcessMemory
PID:3660
- C:\Users\Admin\AppData\Local\SquirrelTemp\Update.exe
  "C:\Users\Admin\AppData\Local\SquirrelTemp\Update.exe" --install .
  2⤵
  - Checks computer location settings
  - Executes dropped EXE
  - Suspicious use of FindShellTrayWindow
  - Suspicious use of WriteProcessMemory
  PID:4652
- - C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Squirrel.exe
    "C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Squirrel.exe" --updateSelf=C:\Users\Admin\AppData\Local\SquirrelTemp\Update.exe
    3⤵
    - Executes dropped EXE
    PID:3208
- - C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe
    "C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe" --squirrel-install 1.1.0
    3⤵
    - Checks computer location settings
    - Executes dropped EXE
    - Loads dropped DLL
    - Modifies registry class
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of WriteProcessMemory
    PID:3972
  - - C:\Users\Admin\AppData\Local\hydra\Update.exe
      C:\Users\Admin\AppData\Local\hydra\Update.exe --createShortcut=Hydra.exe
      4⤵
      Executes dropped EXE
      PID:2772
  - - C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe
      C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe --type=crashpad-handler --user-data-dir=C:\Users\Admin\AppData\Roaming\Hydra /prefetch:4 --no-rate-limit --monitor-self-annotation=ptype=crashpad-handler --database=C:\Users\Admin\AppData\Roaming\Hydra\Crashpad --url=https://f.a.k/e --annotation=_productName=Hydra --annotation=_version=1.1.0 --annotation=plat=Win64 --annotation=prod=Electron --annotation=ver=29.1.4 --initial-client-data=0x558,0x55c,0x560,0x54c,0x564,0x7ff71129a880,0x7ff71129a88c,0x7ff71129a898
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:4428
  - - C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe
      "C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe" --type=gpu-process --user-data-dir="C:\Users\Admin\AppData\Roaming\Hydra" --gpu-preferences=WAAAAAAAAADgAAAMAAAAAAAAAAAAAAAAAABgAAAAAAA4AAAAAAAAAAAAAAAEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAGAAAAAAAAAAYAAAAAAAAAAgAAAAAAAAACAAAAAAAAAAIAAAAAAAAAA== --mojo-platform-channel-handle=1820 --field-trial-handle=1824,i,10621265936039737599,15024816414921190730,262144 --enable-features=kWebSQLAccess --disable-features=SpareRendererForSitePerProcess,WinDelaySpellcheckServiceInit,WinRetrieveSuggestionsOnlyOnDemand --variations-seed-version /prefetch:2
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:1796
  - - C:\Users\Admin\AppData\Local\hydra\Update.exe
      C:\Users\Admin\AppData\Local\hydra\Update.exe --checkForUpdate https://update.electronjs.org/hydralauncher/hydra/win32-x64/1.1.0
      4⤵
      Executes dropped EXE
      PID:2224
  - - C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe
      "C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe" --type=utility --utility-sub-type=network.mojom.NetworkService --lang=es --service-sandbox-type=none --user-data-dir="C:\Users\Admin\AppData\Roaming\Hydra" --secure-schemes=sentry-ipc --bypasscsp-schemes=sentry-ipc --cors-schemes=sentry-ipc --fetch-schemes=sentry-ipc --mojo-platform-channel-handle=2112 --field-trial-handle=1824,i,10621265936039737599,15024816414921190730,262144 --enable-features=kWebSQLAccess --disable-features=SpareRendererForSitePerProcess,WinDelaySpellcheckServiceInit,WinRetrieveSuggestionsOnlyOnDemand --variations-seed-version /prefetch:3
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2332

C:\Users\Admin\AppData\Local\hydra\Hydra.exe
"C:\Users\Admin\AppData\Local\hydra\Hydra.exe"
1⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:4984
- C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe
  "C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe"
  2⤵
  - Checks computer location settings
  - Executes dropped EXE
  - Loads dropped DLL
  - Checks processor information in registry
  - Modifies registry class
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious behavior: GetForegroundWindowSpam
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of FindShellTrayWindow
  - Suspicious use of SendNotifyMessage
  - Suspicious use of SetWindowsHookEx
  - Suspicious use of WriteProcessMemory
  PID:3936
- - C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe
    C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe --type=crashpad-handler --user-data-dir=C:\Users\Admin\AppData\Roaming\Hydra /prefetch:4 --no-rate-limit --monitor-self-annotation=ptype=crashpad-handler --database=C:\Users\Admin\AppData\Roaming\Hydra\Crashpad --url=https://f.a.k/e --annotation=_productName=Hydra --annotation=_version=1.1.0 --annotation=plat=Win64 --annotation=prod=Electron --annotation=ver=29.1.4 --initial-client-data=0x528,0x520,0x52c,0x484,0x530,0x7ff71129a880,0x7ff71129a88c,0x7ff71129a898
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1228
- - C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe
    "C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe" --type=gpu-process --user-data-dir="C:\Users\Admin\AppData\Roaming\Hydra" --gpu-preferences=WAAAAAAAAADgAAAMAAAAAAAAAAAAAAAAAABgAAAAAAA4AAAAAAAAAAAAAAAEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAGAAAAAAAAAAYAAAAAAAAAAgAAAAAAAAACAAAAAAAAAAIAAAAAAAAAA== --mojo-platform-channel-handle=1892 --field-trial-handle=1896,i,17739949068522862056,18369705178338394983,262144 --enable-features=kWebSQLAccess --disable-features=SpareRendererForSitePerProcess,WinDelaySpellcheckServiceInit,WinRetrieveSuggestionsOnlyOnDemand --variations-seed-version /prefetch:2
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:4156
- - C:\Users\Admin\AppData\Local\hydra\Update.exe
    C:\Users\Admin\AppData\Local\hydra\Update.exe --checkForUpdate https://update.electronjs.org/hydralauncher/hydra/win32-x64/1.1.0
    3⤵
    - Executes dropped EXE
    PID:544
- - C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe
    "C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe" --type=utility --utility-sub-type=network.mojom.NetworkService --lang=es --service-sandbox-type=none --user-data-dir="C:\Users\Admin\AppData\Roaming\Hydra" --secure-schemes=sentry-ipc --bypasscsp-schemes=sentry-ipc --cors-schemes=sentry-ipc --fetch-schemes=sentry-ipc --mojo-platform-channel-handle=2292 --field-trial-handle=1896,i,17739949068522862056,18369705178338394983,262144 --enable-features=kWebSQLAccess --disable-features=SpareRendererForSitePerProcess,WinDelaySpellcheckServiceInit,WinRetrieveSuggestionsOnlyOnDemand --variations-seed-version /prefetch:3
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:632
- - C:\Users\Admin\AppData\Local\hydra\app-1.1.0\resources\dist\hydra-download-manager\hydra-download-manager.exe
    C:\Users\Admin\AppData\Local\hydra\app-1.1.0\resources\dist\hydra-download-manager\hydra-download-manager.exe 5881 \\.\pipe\8522264dbfda8a96f0e0bcbe0c9b0036 \\.\pipe\eb83592ae6ee1cab55cd5c26e24d5314
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:4268
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c "ver"
      4⤵
      PID:2668
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:1160
- - C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe
    "C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe" --type=renderer --user-data-dir="C:\Users\Admin\AppData\Roaming\Hydra" --secure-schemes=sentry-ipc --bypasscsp-schemes=sentry-ipc --cors-schemes=sentry-ipc --fetch-schemes=sentry-ipc --app-user-model-id=com.squirrel.hydra.Hydra --app-path="C:\Users\Admin\AppData\Local\hydra\app-1.1.0\resources\app.asar" --enable-sandbox --lang=es --device-scale-factor=1 --num-raster-threads=4 --enable-main-frame-before-activation --renderer-client-id=4 --mojo-platform-channel-handle=3272 --field-trial-handle=1896,i,17739949068522862056,18369705178338394983,262144 --enable-features=kWebSQLAccess --disable-features=SpareRendererForSitePerProcess,WinDelaySpellcheckServiceInit,WinRetrieveSuggestionsOnlyOnDemand --variations-seed-version /prefetch:1
    3⤵
    - Checks computer location settings
    - Executes dropped EXE
    - Loads dropped DLL
    PID:756
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:3996
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:3452
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:4764
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:4564
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:2224
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:2360
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:3476
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:1292
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:956
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:4564
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:2224
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:544
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:2084
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:4556
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:4804
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:2892
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:5100
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:4020
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    PID:2360
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3560
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4076
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4008
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:180
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2256
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4764
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4704
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:644
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2924
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4996
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3484
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3844
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3564
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1804
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2168
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3788
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1292
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3996
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2976
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2276
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2988
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:884
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4064
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:968
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4764
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3684
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3500
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:4484
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:760
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3844
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2988
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4460
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1804
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:856
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1180
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1940
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2684
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4808
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3476
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:392
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1728
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4472
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5024
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4240
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2184
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3956
- - C:\Windows\system32\where.exe
    where powershell
    3⤵
    PID:2140
- - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    powershell "Get-CimInstance -ClassName Win32_LogicalDisk | Select-Object Caption, FreeSpace, Size"
    3⤵
    - Command and Scripting Interpreter: PowerShell
    - Suspicious behavior: EnumeratesProcesses
    PID:696
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4808
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4064
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5036
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4408
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3260
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:840
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4804
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2996
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3100
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:1888
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1716
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1820
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4108
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2488
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3020
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:644
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1956
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3592
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1032
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1160
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4460
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2836
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4812
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4412
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2652
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4240
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:836
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3920
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3956
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3176
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2096
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4088
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4108
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4472
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1196
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1940
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:916
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1176
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2268
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1160
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4212
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2224
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1820
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3756
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2120
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2084
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2944
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4240
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4560
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5100
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:180
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:3584
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3764
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:4064
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2100
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4772
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4148
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:4076
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:436
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4760
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:980
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4324
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4412
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3712
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:1584
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:644
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2532
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5020
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:2276
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2984
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1728
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1280
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2988
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4472
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1636
- - C:\Windows\system32\where.exe
    where powershell
    3⤵
    PID:3904
- - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    powershell "Get-CimInstance -ClassName Win32_LogicalDisk | Select-Object Caption, FreeSpace, Size"
    3⤵
    - Command and Scripting Interpreter: PowerShell
    - Suspicious behavior: EnumeratesProcesses
    PID:1076
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4076
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4460
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2724
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:528
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:4364
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3932
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2944
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3468
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:840
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3592
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4700
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:388
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2836
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1804
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2724
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3452
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3560
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2140
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4276
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3136
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1308
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:556
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3996
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:4700
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1036
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5036
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4472
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4292
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:956
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4496
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3596
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1716
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1360
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:556
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2984
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:388
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4140
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2728
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3068
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:644
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3536
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:212
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4484
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4172
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2052
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1180
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2268
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4956
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2816
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2096
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3032
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4632
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:4372
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1280
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2724
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1200
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:968
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2732
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4972
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4764
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:2884
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2096
- - C:\Windows\system32\where.exe
    where powershell
    3⤵
    PID:4348
- - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    powershell "Get-CimInstance -ClassName Win32_LogicalDisk | Select-Object Caption, FreeSpace, Size"
    3⤵
    - Command and Scripting Interpreter: PowerShell
    - Suspicious behavior: EnumeratesProcesses
    PID:540
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1028
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4628
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1280
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2668
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4380
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2240
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4508
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2284
- - C:\Windows\system32\where.exe
    where powershell
    3⤵
    PID:1308
- - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    powershell "Get-CimInstance -ClassName Win32_LogicalDisk | Select-Object Caption, FreeSpace, Size"
    3⤵
    - Command and Scripting Interpreter: PowerShell
    - Suspicious behavior: EnumeratesProcesses
    PID:1740
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1796
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3536
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1200
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3712
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1196
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2360
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3528
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1180
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4972
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2448
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1148
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1804
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:672
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4064
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3468
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1728
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2360
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4068
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3528
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4968
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3584
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4840
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:208
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3476
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3460
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3712
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4076
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2684
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1308
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3596
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1180
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2836
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2220
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:2224
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4416
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4160
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4380
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4544
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2700
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5100
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1940
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4656
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2268
- - C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe
    "C:\Users\Admin\AppData\Local\hydra\app-1.1.0\Hydra.exe" --type=gpu-process --disable-gpu-sandbox --use-gl=disabled --gpu-vendor-id=4318 --gpu-device-id=140 --gpu-sub-system-id=0 --gpu-revision=0 --gpu-driver-version=10.0.19041.546 --user-data-dir="C:\Users\Admin\AppData\Roaming\Hydra" --gpu-preferences=WAAAAAAAAADoAAAMAAAAAAAAAAAAAAAAAABgAAAAAAA4AAAAAAAAAAAAAABEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAGAAAAAAAAAAYAAAAAAAAAAgAAAAAAAAACAAAAAAAAAAIAAAAAAAAAA== --mojo-platform-channel-handle=4004 --field-trial-handle=1896,i,17739949068522862056,18369705178338394983,262144 --enable-features=kWebSQLAccess --disable-features=SpareRendererForSitePerProcess,WinDelaySpellcheckServiceInit,WinRetrieveSuggestionsOnlyOnDemand --variations-seed-version /prefetch:8
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious behavior: EnumeratesProcesses
    PID:392
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:836
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3996
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2220
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2100
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3536
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:512
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5032
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3008
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4108
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4748
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:436
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:3392
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3164
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3528
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:836
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2096
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4520
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1028
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3536
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4704
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3500
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1888
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:456
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4076
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2652
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:1728
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4044
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1768
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4008
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1412
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4140
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4840
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2220
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1804
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4460
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4396
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:696
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5016
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4588
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1816
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:220
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1704
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4144
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5072
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2816
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4556
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1740
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2120
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5068
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3896
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3500
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1872
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4492
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3048
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:180
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2976
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4320
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4088
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2748
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4564
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4680
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1648
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4016
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1828
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:4844
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:672
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3344
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3852
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3468
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1032
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1176
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4804
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:392
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3424
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3456
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2888
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4520
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1028
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4292
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1636
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5068
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:212
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2276
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2700
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1340
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4812
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:2260
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1020
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2832
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:548
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4904
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2752
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2816
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:4560
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1912
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4160
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5036
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4460
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:672
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4276
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1328
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3344
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3616
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:4348
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4808
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1176
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:876
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2136
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3132
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4832
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4672
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3456
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1408
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1648
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2928
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:988
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3464
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5012
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3448
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3696
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1692
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4748
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4924
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2848
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1036
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4884
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:888
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:884
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3668
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2944
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4932
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4412
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2220
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3684
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3896
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3500
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2140
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1076
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1200
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1388
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3932
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4924
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2848
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5088
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4884
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3056
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:884
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3532
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4408
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4520
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4412
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3536
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:952
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3896
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:212
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2140
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1920
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4700
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:396
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4436
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3392
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1720
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4360
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3644
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4912
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4088
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:884
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3528
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3456
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:644
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4704
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4448
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2988
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3896
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1992
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:944
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:1076
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3468
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1340
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3580
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:876
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3264
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:4884
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2468
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:348
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4168
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4140
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2472
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4444
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4416
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1740
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3904
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4844
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1872
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2276
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2532
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:840
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4812
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1860
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4320
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:668
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4956
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:392
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4560
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1360
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4636
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4000
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2668
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5032
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1828
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:212
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1956
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:772
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3308
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4748
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4348
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2656
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:692
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4320
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4984
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:548
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3288
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4060
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3260
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1072
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2924
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:920
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2100
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4644
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1088
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1992
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4492
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4372
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1376
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1308
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1860
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2420
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1164
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4540
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4440
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:836
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2748
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2300
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1648
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:528
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4444
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3452
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:456
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3500
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1816
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2276
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4372
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4748
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1308
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4404
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2976
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:436
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4984
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4480
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2044
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2500
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4408
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4412
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:208
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:4384
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4364
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1088
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1992
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3616
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4108
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4772
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4348
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4924
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2548
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3132
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3644
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3280
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3532
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5028
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2044
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3260
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4064
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3536
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1504
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4512
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3464
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5012
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3896
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3616
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3420
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4812
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3932
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4924
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4908
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4968
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4144
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4984
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1360
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4028
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1292
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5016
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4704
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:952
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3452
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4384
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4944
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3008
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1664
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4148
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:752
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1388
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2272
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2760
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1580
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4908
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2624
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3668
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:2944
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5024
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3484
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4432
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2924
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4172
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2988
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2100
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3696
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4468
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1320
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1604
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4996
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3048
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4348
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1036
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1364
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2548
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1160
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3100
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4904
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4972
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4628
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2888
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2816
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4408
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3924
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4160
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4448
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:516
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3464
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4204
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:388
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2348
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:180
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2848
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4808
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2464
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2764
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4884
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3232
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:784
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1476
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2500
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1280
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4680
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2924
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4704
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4160
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4448
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3460
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2104
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1956
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1664
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2276
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4812
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1340
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2420
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:876
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:548
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2240
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:940
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1796
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2096
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1476
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1360
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4636
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4412
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:512
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4396
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4160
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4448
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4364
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3228
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1076
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4100
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3688
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3928
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2760
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:60
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4912
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:548
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3176
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4480
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4972
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4060
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1772
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4660
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:208
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3452
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4388
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3108
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4416
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4204
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1184
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4620
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:180
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2272
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4360
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1164
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:668
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2548
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4956
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4904
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4028
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3260
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4460
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:628
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3536
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:952
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4588
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1088
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1816
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4364
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2284
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4816
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3716
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3308
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3932
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1180
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2976
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1412
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:3164
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1728
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:784
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:2944
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4932
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:2084
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2884
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4632
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4220
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3540
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4588
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:836
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:1200
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4468
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:872
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4996
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4772
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1036
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4360
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2976
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:668
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4968
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3584
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2256
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2752
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3636
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4168
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4412
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3684
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:512
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4172
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5068
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2196
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1992
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4204
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1308
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4996
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1940
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2832
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2464
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1580
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1160
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4984
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3280
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4628
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3736
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2888
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2472
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4760
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:212
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:936
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:672
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4436
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2184
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1992
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2728
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4748
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:544
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1176
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4312
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2832
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4808
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2464
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5072
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2836
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3288
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:348
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4028
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1280
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3080
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2384
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5036
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:968
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:936
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3652
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:672
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4436
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4496
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4764
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4468
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4748
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:692
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:544
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:2420
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4312
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1880
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5072
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2120
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3288
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3260
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5020
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:920
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4016
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4408
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:968
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:936
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1816
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2104
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3560
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:1308
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4328
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3604
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:980
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:392
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2228
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1160
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3176
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1408
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2256
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5108
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:5020
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4168
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2988
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1828
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3920
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3108
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4372
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3464
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3420
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4484
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4700
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3264
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3928
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3644
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4808
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2624
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2300
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3056
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4488
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4060
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:2944
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4432
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4636
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2928
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3088
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3452
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4108
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4340
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:224
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4508
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2140
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2996
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4568
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2684
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4328
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4768
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:468
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2548
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2624
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:556
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:784
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1772
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3328
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1280
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2924
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1328
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4408
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3088
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4388
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3344
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2652
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4172
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2284
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3896
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4468
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1184
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3264
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3392
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1164
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4960
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4312
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4560
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3532
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4972
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1476
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2944
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4632
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:920
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:2924
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2668
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:4804
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:952
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2496
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5068
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1044
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4656
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3560
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4204
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3928
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4924
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:436
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3100
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1768
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1820
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4932
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4060
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1548
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2748
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:528
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4760
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5092
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2224
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4448
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3344
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1020
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2504
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2284
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2136
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2348
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4404
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4360
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:888
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:1796
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4560
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3280
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:5024
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1312
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2944
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4460
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4160
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2988
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4108
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2052
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4436
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4228
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5068
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2504
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3560
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2136
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4324
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1364
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4768
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4008
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4088
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3532
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4488
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1532
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4076
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1972
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4460
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4680
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4944
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3108
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4704
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5012
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3420
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4656
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4568
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1340
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4928
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3392
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4404
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:940
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3984
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2500
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4932
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    - Enumerates processes with tasklist
    PID:1072
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4904
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4632
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4016
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2668
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1868
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4388
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2052
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1388
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5100
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1664
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4044
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3264
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2348
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1176
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:392
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4004
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:556
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1292
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3280
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4660
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1584
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1192
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4024
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3452
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3460
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1604
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2184
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4764
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:3420
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1184
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:5088
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:692
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2708
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2976
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:668
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4520
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:856
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4488
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2752
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2472
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:628
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2044
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:2884
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4804
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4944
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:1816
- - C:\Windows\system32\tasklist.exe
    tasklist.exe /nh /fo csv
    3⤵
    PID:4704

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Command and Scripting Interpreter

T1059

PowerShell

T1059.001

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Network Service Discovery

T1046

Process Discovery

T1057

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\Update.exe.log

Filesize
1KB

MD5
fcc4a55e80568c4693f6d2eff7ef757e

SHA1
d24958d197482557722f616507d8b14dbeadebd8

SHA256
1f5a1b10b49c35bff02f63ebaf8cd3faf74b51bd131d3dcfb952590c8bcd5eea

SHA512
67de4502abff297c90eb2cfbb3d03bfbef3400d6ee19b3cbb47b3ed9bad4b795946406a6975564321edff618d1a589076b57609c2ca38efc5650899a8483a271

Download Submit
C:\Users\Admin\AppData\Local\SquirrelTemp\RELEASES

Filesize
76B

MD5
82aad9846f60a10e4495a1c628a4f0b6

SHA1
4119492d3c6fe99ba75f852756d8b04b950e76f0

SHA256
529fd322807a4f0ad7a95c5ed06b4aaf0aabd3f52f33d9b852c6f063a63ef839

SHA512
e19321f50ec6aeca3f040ea98f88a03e4afe8908796a4dbbd7bb41b25713b7a85fbc1dce366d25afea47d4a67181164b678e7f727bd58d88b68db7fafebcbdaf

Download Submit
C:\Users\Admin\AppData\Local\SquirrelTemp\Update.exe

Filesize
1.8MB

MD5
a560bad9e373ea5223792d60bede2b13

SHA1
82a0da9b52741d8994f28ad9ed6cbd3e6d3538fa

SHA256
76359cd4b0349a83337b941332ad042c90351c2bb0a4628307740324c97984cc

SHA512
58a1b4e1580273e1e5021dd2309b1841767d2a4be76ab4a7d4ff11b53fa9de068f6da67bf0dccfb19b4c91351387c0e6e200a2a864ec3fa737a1cb0970c8242c

Download Submit
C:\Users\Admin\AppData\Local\SquirrelTemp\background.gif

Filesize
43KB

MD5
b5a42ecde0b058b3c4e661e0ec84400b

SHA1
7e2bfc653c5bc6997553c150a0823daae372cd99

SHA256
ce636d201ef86ffbf4ee8c8762b4d9dc255be9d5f490d0a22e36fe0c938f7244

SHA512
b7f4a7bddb226066f7edf23dfb9bee658c30ae03dfe727ec739f51fd98c63831f732343c14a6ca080f31baed38bf9064cdd57c9d1daaf4c42c029fe83d846dc0

Download Submit
C:\Users\Admin\AppData\Local\SquirrelTemp\setupIcon.ico

Filesize
11KB

MD5
2e4587a60d1bfe337eeb2601c49fb135

SHA1
145d5e3d2ad85a99449a966f7eb131b3c90af481

SHA256
c665ea7e7605a3e9af8be71e3e78c6da60bbafa058b707fd628ca0058e37999b

SHA512
e8b7c0bdd4d5d80479c40b77927982da874655e990ce2b5df1203a3c07817ead5fd178266f2e75d2837b4b6addafb3fb74de1be5ab7b49b0efee89aa289c547a

Download Submit
C:\Users\Admin\AppData\Local\Temp\__PSScriptPolicyTest_j0fwq4oc.vdp.ps1

Filesize
60B

MD5
d17fe0a3f47be24a6453e9ef58c94641

SHA1
6ab83620379fc69f80c0242105ddffd7d98d5d9d

SHA256
96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7

SHA512
5b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82

Download Submit
C:\Users\Admin\AppData\Local\Temp\cf1962fd-48ba-4a9a-885e-900603b41326.tmp.node

Filesize
1.8MB

MD5
66a65322c9d362a23cf3d3f7735d5430

SHA1
ed59f3e4b0b16b759b866ef7293d26a1512b952e

SHA256
f806f89dc41dde00ca7124dc1e649bdc9b08ff2eff5c891b764f3e5aefa9548c

SHA512
0a44d12852fc4c74658a49f886c4bc7c715c48a7cb5a3dcf40c9f1d305ca991dd2c2cb3d0b5fd070b307a8f331938c5213188cbb2d27d47737cc1c4f34a1ea21

Download Submit
C:\Users\Admin\AppData\Local\hydra\Hydra.exe

Filesize
261KB

MD5
c29c528c1e3eafbe317a0b390ae9cb90

SHA1
1b98d7b425d335ddd34d6cc612c4768894c345fe

SHA256
37c8d1d2853655c3ea13994199e9bb2b0c030b7d751c5081851373c8857b8e79

SHA512
4e038d113041715f4dca360503611a35a8651cd8fd3e730ea51b12206677d4aeb786244e82a7d4ad76de5bba846ecf130283068ea6e859af73c4de93c19be4d7

Download Submit
C:\Users\Admin\AppData\Local\hydra\app-1.1.0\D3DCompiler_47.dll

Filesize
4.7MB

MD5
2191e768cc2e19009dad20dc999135a3

SHA1
f49a46ba0e954e657aaed1c9019a53d194272b6a

SHA256
7353f25dc5cf84d09894e3e0461cef0e56799adbc617fce37620ca67240b547d

SHA512
5adcb00162f284c16ec78016d301fc11559dd0a781ffbeff822db22efbed168b11d7e5586ea82388e9503b0c7d3740cf2a08e243877f5319202491c8a641c970

Download Submit
C:\Users\Admin\AppData\Local\hydra\app-1.1.0\chrome_100_percent.pak

Filesize
150KB

MD5
b1bccf31fa5710207026d373edd96161

SHA1
ae7bb0c083aea838df1d78d61b54fb76c9a1182e

SHA256
49aff5690cb9b0f54f831351aa0f64416ba180a0c4891a859fa7294e81e9c8e3

SHA512
134a13ad86f8bd20a1d2350236269fd39c306389a600556a82025d5e0d5adaab0709d59e9b7ee96e8e2d25b6df49fefea27cdccefe5fba9687abf92a9a941d91

Download Submit
C:\Users\Admin\AppData\Local\hydra\app-1.1.0\chrome_200_percent.pak

Filesize
229KB

MD5
e02160c24b8077b36ff06dc05a9df057

SHA1
fc722e071ce9caf52ad9a463c90fc2319aa6c790

SHA256
4d5b51f720f7d3146e131c54a6f75e4e826c61b2ff15c8955f6d6dd15bedf106

SHA512
1bf873b89b571974537b685cdb739f8ed148f710f6f24f0f362f8b6bb605996fcfec1501411f2cb2df374d5fdaf6e2daaada8cea68051e3c10a67030ea25929e

Download Submit
C:\Users\Admin\AppData\Local\hydra\app-1.1.0\ffmpeg.dll

Filesize
2.7MB

MD5
855d27d5735c1afd26ff53a7f1bb93eb

SHA1
fc4d2c2f13022bedbdee3eb073961587360bb6ca

SHA256
a32800cbf98c84f2da9dcfea2fe8bdcfaaeef07c4eb81469945a992f83bb339c

SHA512
d6df90c3dc66f9dc9d8f7549d8385c0853a398b6dde5fecfbeb2396725f4c4aab50021b39fdb09ab6f553483e9a2bc985a3d4cce33de4c3f3958a86430cccb69

Download Submit
C:\Users\Admin\AppData\Local\hydra\app-1.1.0\icudtl.dat

Filesize
10.2MB

MD5
74bded81ce10a426df54da39cfa132ff

SHA1
eb26bcc7d24be42bd8cfbded53bd62d605989bbf

SHA256
7bf96c193befbf23514401f8f6568076450ade52dd1595b85e4dfcf3de5f6fb9

SHA512
bd7b7b52d31803b2d4b1fd8cb76481931ed8abb98d779b893d3965231177bdd33386461e1a820b384712013904da094e3cd15ee24a679ddc766132677a8be54a

Download Submit
C:\Users\Admin\AppData\Local\hydra\app-1.1.0\libEGL.dll

Filesize
468KB

MD5
5667c348e845c446fb56d7f9d4f11019

SHA1
f02f09799a54ec90371370deac68d36499be45dc

SHA256
72126255176dca2000061657efa0a8e91a9658d1724769b9260093116e131c33

SHA512
daf716e9af5976772e0bf7f33bcbcf347f64de8fc9787f568c1478a464d9f4603f92f3e41242782b07cb5503fffd78bc2e25f040cb932a52614e46a8e92bd2f6

Download Submit
C:\Users\Admin\AppData\Local\hydra\app-1.1.0\libGLESv2.dll

Filesize
7.3MB

MD5
eaedf6de749ef1230197ce1ac0455f0e

SHA1
ba737231f09676278cdeb7840aab1df1ea76c57b

SHA256
8dae6f25ad4fcbbb7eb617ac02fac48c7f0bea7f75c630ea02882cf4fb469a25

SHA512
3417438c516a51e1e04a82c4f145d881c2f2dfb90428656c9aaea80b3b46fa3e4c536b320bc6b137186e200603a4aaa250bd21e0f117b3a02f224cbf20d3a2cc

Download Submit
C:\Users\Admin\AppData\Local\hydra\app-1.1.0\locales\es.pak

Filesize
530KB

MD5
fe7c4ad3f058c2511bd4d98d9b147fa1

SHA1
d384e3d9b68a447b898b53ff4fad9d3a3bf6b057

SHA256
e09883eb027accf16b738e5a8072c28dfa5eb76b1a94b6e3ffda550fbb74c7ee

SHA512
96f3f16f156d6acc5138afbf0803e3c920eb6190d667344241284bad2396e2f3773cd4d44a9e3333e4fdd7c5f5448261d3b8ebe7b9c0808c5e12ea0a8b69c52c

Download Submit
C:\Users\Admin\AppData\Local\hydra\app-1.1.0\resources.pak

Filesize
5.0MB

MD5
8b4ae918802e54e58cad58b37cc9085c

SHA1
99ba711d34401ae0205ab86aeb7fccf52b576168

SHA256
51eef9af8b1d4cf7c9e4ecfb78b6954ba179e2298b1f134ffdcb4b9eab1bd8e6

SHA512
fe068c1e1b4929a0e85ec5bcf925f75d5a80d892fe45a1c948c39d433aec0674cdb55809c2659aabd9a969aa61387c8a5796d226116ed75c7a4d05b5c09fc785

Download Submit
C:\Users\Admin\AppData\Local\hydra\app-1.1.0\resources\app.asar

Filesize
11.0MB

MD5
ac9806525d2615d75a015a555d26f0c2

SHA1
88d66a4fdaf87eaa9a6f3c632e795c67b377ee59

SHA256
a9bf0998bfda78da9f1426ef98c1f61d63fd073be7e29269a3ae18a8ae0ee85e

SHA512
33c060955144905ee67f884df49ed99ca5f051b6607c9ce6a4ae35eacebb90081ee9cc7055f3bc6fc583a84c27f7a00a5e628904fc167b82bb5cfd984d5fc303

Download Submit
C:\Users\Admin\AppData\Local\hydra\app-1.1.0\resources\hydra.db

Filesize
48.0MB

MD5
5ea8df2f2999e675faf22fdb2c8c5d72

SHA1
40f5579bdb8031066506c6468938f805adae30f0

SHA256
ec3d9a0bfcb8b704ca68a28585c7620766f93e3e4702673eb0ab866f35474233

SHA512
fe2a79c0d6afcca49bdf115d6d46f8676c7cb75df4168856fc58738038f1f100e9b09c28ffb66da18d116e9c1e87280d9f976eb5e7f820ed28b5e176c8bda71f

Download Submit
C:\Users\Admin\AppData\Local\hydra\app-1.1.0\squirrel.exe

Filesize
1.8MB

MD5
ff4f902f07f0d3ce4768ec7c5d79f204

SHA1
c3dbb5119263d332a575105a4aa2e91b136612c1

SHA256
0a8a6015b64e956211bd8e70eab23801801358c77d606ef4517eb871d5c8fae8

SHA512
f11a5f60b0d9944e19b98aed6c72b2a4f33660dbb1ccfaa293189b56d6e497207d084bf63e2ae1636c3d4f25077cddfe881c34a625fedc127567fdefae84793a

Download Submit
C:\Users\Admin\AppData\Local\hydra\app-1.1.0\v8_context_snapshot.bin

Filesize
663KB

MD5
796517f2fa15adf83ee3be8e7d647a73

SHA1
4287c74c8a765286350dc5322eb79dcdc3f2fd06

SHA256
68effe7d9398b4e81b829fe65c4c68c4cbb9b42a4bb146df826fbf808926f675

SHA512
7c24fb1c249d7355f0b2576e14fa802acca11333ee23ec59503ae611292de63c217343af77c49ca10ed6e9bcd792810a1f1b2abc50784572902ec87ea7203f03

Download Submit
C:\Users\Admin\AppData\Local\hydra\app-1.1.0\vk_swiftshader.dll

Filesize
5.1MB

MD5
a209cc01921c3cceebf40fd2ca3aa1eb

SHA1
7c6a483cd79642fc76ecd695f2bcbcd32034f11d

SHA256
d60bf3062d47378d169aea2f7e6666a099d116e55305ae4f3a494f969b7d3d4b

SHA512
276e8856ad362a6836c021f712df9668c1b0eaeb0ed4ba003b5aab5c37cb7427f6cbdcb51fbe657eeb3af276839a3f622a6499dc8b3a62cde82890eefca5e300

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Code Cache\js\index-dir\the-real-index

Filesize
48B

MD5
46087494d08d3c77d054f0c8451540c4

SHA1
0cba986c086d08863868c98ad339079715ad428b

SHA256
442bf81b593da55a69f67a1510d73c52e49e4c37c575f1d63eac89390a9f66ed

SHA512
d89e75cbce39f0b02b3e5e4d94adbcf28e600b146550e49fe0481dd79d0cb8b4d1a2f95d84d73627133357dd4ff71c38410e5f1251a6f22219ea01f8fabb59db

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Code Cache\wasm\index

Filesize
24B

MD5
54cb446f628b2ea4a5bce5769910512e

SHA1
c27ca848427fe87f5cf4d0e0e3cd57151b0d820d

SHA256
fbcfe23a2ecb82b7100c50811691dde0a33aa3da8d176be9882a9db485dc0f2d

SHA512
8f6ed2e91aed9bd415789b1dbe591e7eab29f3f1b48fdfa5e864d7bf4ae554acc5d82b4097a770dabc228523253623e4296c5023cf48252e1b94382c43123cb0

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Code Cache\wasm\index-dir\the-real-index

Filesize
48B

MD5
e0bf0884f3379277318b6960915672af

SHA1
39b65b875390d82fecc2fb341e09eefd74109e2d

SHA256
c6a8e834febec9db15cb8858426c9f5cc87ece67592169d1bf6135116c09fd48

SHA512
47cb306ea14b6f15fd0aa15c677779142bc14028dd0fb112b43d2e84a45c00478560bd9391a2dea5bd7b578f7cb8a525f54591f7e3cf79635dfce74d9f469405

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Crashpad\settings.dat

Filesize
40B

MD5
ec774ebdbc9cd3f30398efd819736628

SHA1
3a642cac6a7b2e822b9e8174246f928363fc17eb

SHA256
a556074230a81e755e70ee5d06c5bb7f93e15226d8772d1eb66a5470556aba1b

SHA512
ba47bac9cfa24ff4cff82d775f33914cb7a0bbe02909799ee59fe91c468583e87ed5d6fb862fd78c924d393146ec58e0d31211e126e3c1779d923a22fc0cc465

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Local State

Filesize
434B

MD5
685a6f59be6b47f0cf7a71d2a5e651c4

SHA1
6ac1de12e29fb632443ca9a8545c54435079383d

SHA256
c10c3359e2ee7a5a55ea5348868bc2448404981c09ae68cd6caad088f6be89db

SHA512
73a0513127a76c802f8672c1229f2dba15903bde16b244b04fa93de450f193a77d2f61879bdf6130c4aef4a6d6683bb5aad426877207d09abc4270ff4133ac33

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Local Storage\leveldb\CURRENT

Filesize
16B

MD5
46295cac801e5d4857d09837238a6394

SHA1
44e0fa1b517dbf802b18faf0785eeea6ac51594b

SHA256
0f1bad70c7bd1e0a69562853ec529355462fcd0423263a3d39d6d0d70b780443

SHA512
8969402593f927350e2ceb4b5bc2a277f3754697c1961e3d6237da322257fbab42909e1a742e22223447f3a4805f8d8ef525432a7c3515a549e984d3eff72b23

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Local Storage\leveldb\LOG

Filesize
243B

MD5
609067f568df1ae4c8eda9a4513023fd

SHA1
b81ab853ab9af90ac115f5a9418c9fb743e1acf8

SHA256
a1b1c052792fd9a4e0a1f9267c10368debab370e4be57f88f719a0d22723583c

SHA512
aafc8ca1f5d2e2aa5cd636cb76e34ea3b50ea6b962a2766557b0484f31480174bbb6bc9af3f3a63670aa79242fb854c4d678ca7ad1cbfe93de1485f51c8b6624

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Local Storage\leveldb\MANIFEST-000001

Filesize
41B

MD5
5af87dfd673ba2115e2fcf5cfdb727ab

SHA1
d5b5bbf396dc291274584ef71f444f420b6056f1

SHA256
f9d31b278e215eb0d0e9cd709edfa037e828f36214ab7906f612160fead4b2b4

SHA512
de34583a7dbafe4dd0dc0601e8f6906b9bc6a00c56c9323561204f77abbc0dc9007c480ffe4092ff2f194d54616caf50aecbd4a1e9583cae0c76ad6dd7c2375b

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Network\Network Persistent State

Filesize
1KB

MD5
5578f350ab5fe51e2f1b85671d2de9a8

SHA1
2d9491d020abbf4d4b9e600e891fe5697c11dc38

SHA256
eee49cfff7f7b73b6f59784d7438c07b46e90bce8db0b7e05819792d15cecbbc

SHA512
4737f134cde20e359a9588cac13cf45a5d58b91b0dc30609d9eee9cf901cb5e27003c00e10b63af268ed8791ebf4fd84c53116bdebb4a342c39f7a56c94ab163

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Network\Network Persistent State

Filesize
1016B

MD5
6d8b086b47ceb3b733bf0ead73c88911

SHA1
92e1a3fb88f3eaa77a566acb99faf0a6f30f2a50

SHA256
e73c2006845b0f16388db163ff0073ff9ca78053c3daf34103a976a040bf85e6

SHA512
4d56eaa495270aae8396d00c5fae52d3b4e7c1912e2f3aa2720a66f8f4779a80fec502b53e69a68d8c868f6912f652e8c88dd266dc108f272a00976de897ca9d

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Network\Network Persistent State

Filesize
799B

MD5
5eca04610a2f2f7e94ca765754a9804b

SHA1
8e85aa4e70e2600f6ec5b8ff9dd47cbaaafb0e21

SHA256
48255d33dee3ff230e103b3fb150d09226bed8f088b535fd8a62f020a3dd2a00

SHA512
51a3470343f03cddb24e75e0f7c0045d21e7b17358ae4cb272bb92c0fa85ce059e24499f6a4e10319f4157a5119e055b565c7bbc2b6976e5b68278482da73a28

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Network\Network Persistent State~RFe5aa3a4.TMP

Filesize
59B

MD5
2800881c775077e1c4b6e06bf4676de4

SHA1
2873631068c8b3b9495638c865915be822442c8b

SHA256
226eec4486509917aa336afebd6ff65777b75b65f1fb06891d2a857a9421a974

SHA512
e342407ab65cc68f1b3fd706cd0a37680a0864ffd30a6539730180ede2cdcd732cc97ae0b9ef7db12da5c0f83e429df0840dbf7596aca859a0301665e517377b

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Network\TransportSecurity

Filesize
523B

MD5
2678ff8aa3a529fefbc97bee3bf0bc50

SHA1
02ba095835e6d45b96badd90feb122a685e68bae

SHA256
5257cc2dc22e58aa2440d4b4b554e2e6b878560e1af39fd1fe972ad281e5dff0

SHA512
f2457643cb0b6d3d9ee3b36658029f43a217525724d67d8913b7813324227209dd73363e8eac372e3c40ded5cd80bf361c31643b10bdbc021d32036f69b88358

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Network\TransportSecurity

Filesize
356B

MD5
653bb9019577853cf31c50d6e4573611

SHA1
f5a0eba6f7a585979e2941e558f9388c72854204

SHA256
9ce747d36b2bf1d7e5fbb3a281403e01079d18ccf0a90bb3db0b08896744b88a

SHA512
10ac1de021457428791b5e8338cb8f313be390eab4c09aff8ebc80f604e039c936447c55ae41f2933a744be19319f33b84e200d3d11560871a57b2981a5af33c

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Network\TransportSecurity

Filesize
523B

MD5
27c585334b359285f653e736178cf8c2

SHA1
370ef2a5b14aec02e13eab64620735f229abf05a

SHA256
9813299f8b2e78ea9f498e06ad440807d49dc4eb92ac98930755768b16ff6bf3

SHA512
f62d2e6c6585f1547e9d9c7b31a4fc67b925f23c66a112a8aea29f99bc93012880cdb32de49fd93c7b43940cbe760cc797bc7051e00e6141503cd61cc77971c7

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Network\TransportSecurity

Filesize
523B

MD5
7bf7614a2a76b1720f644a7289a1f653

SHA1
affb8cf82bd3d79590af3c5c93441d6fdeadb75b

SHA256
a5b7bb0f20cc6d8661e285de77bbf932f5cf7458ee50f184fc70d9a29ad416bc

SHA512
849b1b1a7183557742b261c3bbef732569666c2df4edb0d823ea9c304d9b40dc45acc79ad355f353ea7c6b6c40f6cc6497ee5057d49e6dd354dad53867c5f0d2

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Network\TransportSecurity~RFe5a9963.TMP

Filesize
356B

MD5
dfd08ebc7aa595bc524b145fcfc7856f

SHA1
0236372a6f379c465cbed7a05072261ac5034f8d

SHA256
cd8c6ba631080e4cd4e72ddc476eef976da94cdc474669080f467d022e8b60c0

SHA512
3937aa10da931c1ea0de827fd7e3712bda859f4d5d3a0ddbf4928a6a555e47ee1f567c2938b572cc12cc4dd954c4a85d7ffc30ae0c1586db244a8b57f07befd7

Download Submit
C:\Users\Admin\AppData\Roaming\Hydra\Preferences

Filesize
57B

MD5
217c781be08416f5b6fa33aedf027293

SHA1
0e76955a55f31406fc64e3b136f1bb9214bc2d79

SHA256
3de8ead96083d18355eed62a5b8089a61f6c7f97ba3dba04cbefae364f0455b0

SHA512
964b588d2bb87d3e19924cf8a16f1c35807c45ccb41caa00be9dd4e34b9fdfa0625973828a9df1f5f56354f00bf13939e01798c40a8a7089c9aee4535e45b099

Download Submit
C:\Users\Admin\AppData\Roaming\Microsoft\Spelling\es-ES\default.dic

Filesize
2B

MD5
f3b25701fe362ec84616a93a45ce9998

SHA1
d62636d8caec13f04e28442a0a6fa1afeb024bbb

SHA256
b3d510ef04275ca8e698e5b3cbb0ece3949ef9252f0cdc839e9ee347409a2209

SHA512
98c5f56f3de340690c139e58eb7dac111979f0d4dffe9c4b24ff849510f4b6ffa9fd608c0a3de9ac3c9fd2190f0efaf715309061490f9755a9bfdf1c54ca0d84

Download Submit
memory/392-3854-0x0000024728480000-0x0000024728481000-memory.dmp

Filesize
4KB

Download
memory/392-3856-0x0000024728480000-0x0000024728481000-memory.dmp

Filesize
4KB

Download
memory/392-3857-0x0000024728480000-0x0000024728481000-memory.dmp

Filesize
4KB

Download
memory/392-3858-0x0000024728480000-0x0000024728481000-memory.dmp

Filesize
4KB

Download
memory/392-3847-0x0000024728480000-0x0000024728481000-memory.dmp

Filesize
4KB

Download
memory/392-3848-0x0000024728480000-0x0000024728481000-memory.dmp

Filesize
4KB

Download
memory/392-3846-0x0000024728480000-0x0000024728481000-memory.dmp

Filesize
4KB

Download
memory/392-3855-0x0000024728480000-0x0000024728481000-memory.dmp

Filesize
4KB

Download
memory/392-3853-0x0000024728480000-0x0000024728481000-memory.dmp

Filesize
4KB

Download
memory/392-3852-0x0000024728480000-0x0000024728481000-memory.dmp

Filesize
4KB

Download
memory/696-3053-0x000002191D950000-0x000002191D964000-memory.dmp

Filesize
80KB

Download
memory/696-3035-0x000002191DAB0000-0x000002191DB32000-memory.dmp

Filesize
520KB

Download
memory/696-3054-0x00000219053D0000-0x00000219053D8000-memory.dmp

Filesize
32KB

Download
memory/696-3051-0x000002191D950000-0x000002191D97A000-memory.dmp

Filesize
168KB

Download
memory/696-3052-0x000002191D950000-0x000002191D974000-memory.dmp

Filesize
144KB

Download
memory/696-3046-0x000002191DA20000-0x000002191DA42000-memory.dmp

Filesize
136KB

Download
memory/696-3045-0x0000021905390000-0x00000219053A0000-memory.dmp

Filesize
64KB

Download
memory/756-2619-0x0000023D90290000-0x0000023D902BB000-memory.dmp

Filesize
172KB

Download
memory/756-2400-0x0000023D902C0000-0x0000023D902C1000-memory.dmp

Filesize
4KB

Download
memory/756-2399-0x00007FF879720000-0x00007FF879721000-memory.dmp

Filesize
4KB

Download
memory/1192-6217-0x00007FF8548A0000-0x00007FF8549B3000-memory.dmp

Filesize
1.1MB

Download
memory/2772-1962-0x00000000013C0000-0x00000000013DA000-memory.dmp

Filesize
104KB

Download
memory/2772-1994-0x0000000002C90000-0x0000000002CB0000-memory.dmp

Filesize
128KB

Download
memory/3208-1930-0x0000000000F30000-0x0000000001108000-memory.dmp

Filesize
1.8MB

Download
memory/4652-8-0x0000000000B90000-0x0000000000D66000-memory.dmp

Filesize
1.8MB

Download
memory/4652-1659-0x00000000219A0000-0x00000000219AE000-memory.dmp

Filesize
56KB

Download
memory/4652-1652-0x00000000219E0000-0x0000000021A18000-memory.dmp

Filesize
224KB

Download
memory/4652-1925-0x000000002E4A0000-0x000000002E5A2000-memory.dmp

Filesize
1.0MB

Download
memory/4816-6231-0x00007FF851B90000-0x00007FF851CA3000-memory.dmp

Filesize
1.1MB

Download
memory/4816-6267-0x00007FF851B90000-0x00007FF851CA3000-memory.dmp

Filesize
1.1MB

Download