18f6a75c238707554b47eed2e2beb68b93268be06f287ff14f22de5a9565d253

Resubmissions

09/05/2024, 18:40

240509-xbp4fsca53 3

09/05/2024, 18:33

240509-w7nd3abf83 3

09/05/2024, 18:26

240509-w252xsbc93 3

Analysis

max time kernel
795s
max time network
440s
platform
windows10-2004_x64
resource
win10v2004-20240426-en
resource tags

arch:x64arch:x86image:win10v2004-20240426-enlocale:en-usos:windows10-2004-x64system
submitted
09/05/2024, 18:40

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

gmodlogo.png
Size

2KB
MD5

12767b3697811eee36cead87431628cd
SHA1

77cd01730ed48888392d0622e80dd2ae28fc4845
SHA256

18f6a75c238707554b47eed2e2beb68b93268be06f287ff14f22de5a9565d253
SHA512

ff4b0d6d5a2097b8ed4318b3511403e370df1d435d761c5da7e407d5696bbcd1f1945439d329b54be4392bde3ae70e3a5141399c4d2dd22118fecc088996142a

Score

3^/10

Malware Config

Signatures

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Checks SCSI registry key(s) 3 TTPs 3 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\FriendlyName	taskmgr.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000	taskmgr.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\Properties\{b725f130-47ef-101a-a5f1-02608c9eebac}\000A	taskmgr.exe

Kills process with taskkill 7 IoCs

evasion

pid	Process
8352	taskkill.exe
12424	taskkill.exe
9948	taskkill.exe
2728	taskkill.exe
13316	taskkill.exe
13484	taskkill.exe
5944	taskkill.exe

Suspicious behavior: EnumeratesProcesses 34 IoCs

pid	Process
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

pid	Process
1632	taskmgr.exe

Suspicious use of AdjustPrivilegeToken 17 IoCs

description	pid	Process
Token: SeDebugPrivilege	1632	taskmgr.exe
Token: SeSystemProfilePrivilege	1632	taskmgr.exe
Token: SeCreateGlobalPrivilege	1632	taskmgr.exe
Token: 33	1632	taskmgr.exe
Token: SeIncBasePriorityPrivilege	1632	taskmgr.exe
Token: SeDebugPrivilege	5944	taskkill.exe
Token: SeDebugPrivilege	8352	taskkill.exe
Token: SeDebugPrivilege	12424	taskkill.exe
Token: SeDebugPrivilege	9948	taskkill.exe
Token: 33	11500	AUDIODG.EXE
Token: SeIncBasePriorityPrivilege	11500	AUDIODG.EXE
Token: SeDebugPrivilege	2728	taskkill.exe
Token: SeCreateGlobalPrivilege	14328	dwm.exe
Token: SeChangeNotifyPrivilege	14328	dwm.exe
Token: 33	14328	dwm.exe
Token: SeIncBasePriorityPrivilege	14328	dwm.exe
Token: SeDebugPrivilege	13316	taskkill.exe

Suspicious use of FindShellTrayWindow 44 IoCs

pid	Process
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe

Suspicious use of SendNotifyMessage 44 IoCs

pid	Process
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe
1632	taskmgr.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4620 wrote to memory of 5060	4620	cmd.exe	141
PID 4620 wrote to memory of 5060	4620	cmd.exe	141
PID 4620 wrote to memory of 2324	4620	cmd.exe	142
PID 4620 wrote to memory of 2324	4620	cmd.exe	142
PID 4620 wrote to memory of 4484	4620	cmd.exe	144
PID 4620 wrote to memory of 4484	4620	cmd.exe	144
PID 4620 wrote to memory of 4444	4620	cmd.exe	146
PID 4620 wrote to memory of 4444	4620	cmd.exe	146
PID 4620 wrote to memory of 4612	4620	cmd.exe	148
PID 4620 wrote to memory of 4612	4620	cmd.exe	148
PID 4620 wrote to memory of 456	4620	cmd.exe	149
PID 4620 wrote to memory of 456	4620	cmd.exe	149
PID 4620 wrote to memory of 556	4620	cmd.exe	151
PID 4620 wrote to memory of 556	4620	cmd.exe	151
PID 4620 wrote to memory of 432	4620	cmd.exe	154
PID 4620 wrote to memory of 432	4620	cmd.exe	154
PID 4620 wrote to memory of 4176	4620	cmd.exe	157
PID 4620 wrote to memory of 4176	4620	cmd.exe	157
PID 4620 wrote to memory of 4716	4620	cmd.exe	159
PID 4620 wrote to memory of 4716	4620	cmd.exe	159
PID 4620 wrote to memory of 2848	4620	cmd.exe	160
PID 4620 wrote to memory of 2848	4620	cmd.exe	160
PID 4620 wrote to memory of 1416	4620	cmd.exe	161
PID 4620 wrote to memory of 1416	4620	cmd.exe	161
PID 4620 wrote to memory of 4100	4620	cmd.exe	165
PID 4620 wrote to memory of 4100	4620	cmd.exe	165
PID 4620 wrote to memory of 2184	4620	cmd.exe	166
PID 4620 wrote to memory of 2184	4620	cmd.exe	166
PID 4620 wrote to memory of 3444	4620	cmd.exe	168
PID 4620 wrote to memory of 3444	4620	cmd.exe	168
PID 4620 wrote to memory of 2820	4620	cmd.exe	169
PID 4620 wrote to memory of 2820	4620	cmd.exe	169
PID 4620 wrote to memory of 4320	4620	cmd.exe	173
PID 4620 wrote to memory of 4320	4620	cmd.exe	173
PID 4620 wrote to memory of 4560	4620	cmd.exe	175
PID 4620 wrote to memory of 4560	4620	cmd.exe	175
PID 4620 wrote to memory of 3512	4620	cmd.exe	176
PID 4620 wrote to memory of 3512	4620	cmd.exe	176
PID 4620 wrote to memory of 1000	4620	cmd.exe	177
PID 4620 wrote to memory of 1000	4620	cmd.exe	177
PID 4620 wrote to memory of 2928	4620	cmd.exe	180
PID 4620 wrote to memory of 2928	4620	cmd.exe	180
PID 4620 wrote to memory of 3364	4620	cmd.exe	183
PID 4620 wrote to memory of 3364	4620	cmd.exe	183
PID 4620 wrote to memory of 696	4620	cmd.exe	185
PID 4620 wrote to memory of 696	4620	cmd.exe	185
PID 4620 wrote to memory of 3068	4620	cmd.exe	187
PID 4620 wrote to memory of 3068	4620	cmd.exe	187
PID 4620 wrote to memory of 1312	4620	cmd.exe	189
PID 4620 wrote to memory of 1312	4620	cmd.exe	189
PID 4620 wrote to memory of 1288	4620	cmd.exe	190
PID 4620 wrote to memory of 1288	4620	cmd.exe	190
PID 4620 wrote to memory of 4236	4620	cmd.exe	193
PID 4620 wrote to memory of 4236	4620	cmd.exe	193
PID 4620 wrote to memory of 1408	4620	cmd.exe	195
PID 4620 wrote to memory of 1408	4620	cmd.exe	195
PID 4620 wrote to memory of 4888	4620	cmd.exe	197
PID 4620 wrote to memory of 4888	4620	cmd.exe	197
PID 4620 wrote to memory of 4332	4620	cmd.exe	199
PID 4620 wrote to memory of 4332	4620	cmd.exe	199
PID 4620 wrote to memory of 2508	4620	cmd.exe	200
PID 4620 wrote to memory of 2508	4620	cmd.exe	200
PID 4620 wrote to memory of 2092	4620	cmd.exe	203
PID 4620 wrote to memory of 2092	4620	cmd.exe	203

C:\Windows\system32\cmd.exe
cmd /c C:\Users\Admin\AppData\Local\Temp\gmodlogo.png
1⤵
PID:2620

C:\Windows\system32\NOTEPAD.EXE
"C:\Windows\system32\NOTEPAD.EXE" C:\Users\Admin\Desktop\kill system.txt
1⤵
PID:556

C:\Windows\system32\NOTEPAD.EXE
"C:\Windows\system32\NOTEPAD.EXE" C:\Users\Admin\Desktop\kill system.txt
1⤵
PID:780

C:\Windows\System32\NOTEPAD.EXE
"C:\Windows\System32\NOTEPAD.EXE" C:\Users\Admin\Desktop\kill system.bat
1⤵
PID:1648

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\Desktop\kill system.bat" "
1⤵
PID:3620

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\Desktop\kill system.bat" "
1⤵
PID:1016

C:\Windows\System32\NOTEPAD.EXE
"C:\Windows\System32\NOTEPAD.EXE" C:\Users\Admin\Desktop\kill system.bat
1⤵
PID:3480

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\Desktop\kill system.bat" "
1⤵
PID:3988

C:\Windows\System32\NOTEPAD.EXE
"C:\Windows\System32\NOTEPAD.EXE" C:\Users\Admin\Desktop\kill system.bat
1⤵
PID:4060

C:\Windows\system32\taskmgr.exe
"C:\Windows\system32\taskmgr.exe" /4
1⤵
- Checks SCSI registry key(s)
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of FindShellTrayWindow
- Suspicious use of SendNotifyMessage
PID:1632

C:\Windows\System32\cmd.exe
"C:\Windows\System32\cmd.exe" /C "C:\Users\Admin\Desktop\kill system.bat"
1⤵
- Suspicious use of WriteProcessMemory
PID:4620
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5060
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2324
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4484
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4444
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4612
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:456
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:556
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:432
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4176
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4716
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2848
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1416
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4100
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2184
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3444
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2820
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4320
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4560
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3512
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1000
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2928
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3364
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:696
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3068
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1312
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1288
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4236
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1408
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4888
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4332
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2508
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2092
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1724
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4508
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3160
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4268
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3668
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2416
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2232
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1120
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3628
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1200
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:384
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3428
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2540
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5100
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3484
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:324
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2748
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:320
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3416
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3212
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1164
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1444
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3308
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1020
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:972
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5128
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5188
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5196
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5272
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5320
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5336
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5388
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5424
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5488
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5548
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5564
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5628
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5644
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5660
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5680
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5688
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5752
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5852
- C:\Windows\system32\taskkill.exe
  taskkill /f /im winlogon
  2⤵
  - Kills process with taskkill
  - Suspicious use of AdjustPrivilegeToken
  PID:5944
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6100
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6108
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6116
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6140
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5284
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3988
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5944
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6160
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6192
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6200
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6208
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6268
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6368
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6400
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6508
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6524
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6532
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6540
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6776
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6896
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6912
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6984
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6992
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7076
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7092
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7164
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5880
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6288
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6924
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7200
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7276
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7352
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7368
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7380
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7416
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7448
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7472
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7512
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7520
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7528
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7536
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7544
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7552
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7560
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7568
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7576
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7584
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7592
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8008
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8016
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7304
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7460
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7644
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7676
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7636
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7684
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7660
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8060
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8200
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8208
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8216
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8224
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8232
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8240
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8248
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8256
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8264
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8272
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8280
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8288
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8300
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8308
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8316
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8324
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8344
- C:\Windows\system32\taskkill.exe
  taskkill /f /im winlogon
  2⤵
  - Kills process with taskkill
  - Suspicious use of AdjustPrivilegeToken
  PID:8352
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8400
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8548
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9220
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9264
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9272
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9280
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9288
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9296
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9304
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9312
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9324
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9332
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9340
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9348
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9356
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9364
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9372
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9380
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9388
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9396
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9404
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9412
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9420
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9428
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9436
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9444
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9456
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9464
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9472
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9480
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9488
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9496
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9504
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9512
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9520
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9528
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9536
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9544
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9552
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9560
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9568
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9576
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9588
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9596
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9604
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9612
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9620
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9628
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9636
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9644
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9652
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11112
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11128
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11136
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11144
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11152
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11160
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11168
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11176
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9968
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10032
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10076
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9768
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11124
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11304
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11416
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11540
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11740
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12312
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12320
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12336
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12352
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12400
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12416
- C:\Windows\system32\taskkill.exe
  taskkill /f /im winlogon
  2⤵
  - Kills process with taskkill
  - Suspicious use of AdjustPrivilegeToken
  PID:12424
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12520
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12536
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12544
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12552
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12560
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12568
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12576
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12584
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12592
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12600
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12608
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12616
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12624
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12632
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12640
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12648
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12656
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12664
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12672
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12680
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12688
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12696
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12704
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12712
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12720
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12728
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12736
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12744
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12752
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12760
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12768
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12776
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12784
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12792
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12800
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12808
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12816
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12824
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12832
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12840
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12848
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12856
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12864
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12872
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12880
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12888
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12896
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12904

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 680 -p 13088 -ip 13088
1⤵
PID:11168

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -u -p 12980 -s 388
1⤵
PID:9280

C:\Windows\System32\cmd.exe
"C:\Windows\System32\cmd.exe" /C "C:\Users\Admin\Desktop\kill system.bat"
1⤵
PID:10644
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10404
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7684
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10880
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10144
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8852
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7676
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8264
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8224
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8668
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7452
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7536
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7372
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8648
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7512
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8924
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7472
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8824
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11292
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7096
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7568
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7520
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6996
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7576
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8676
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6988
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7448
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6916
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7416
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7836
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7852
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6544
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10956
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10768
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6528
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9988
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9724
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7788
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9256
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9004
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7780
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5724
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6968
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7688
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6932
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5544
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5464
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5532
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5340
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5308
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5376
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:112
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4724
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11692
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6396
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12232
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2868
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5548
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4732
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4980
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6324
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5668
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5176
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5736
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1028
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13120
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11516
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4744
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13208
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11888
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3588
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3448
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4612
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4500
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2380
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3012
- C:\Windows\system32\taskkill.exe
  taskkill /f /im winlogon
  2⤵
  - Kills process with taskkill
  - Suspicious use of AdjustPrivilegeToken
  PID:2728
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12676
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12692
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12700
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12708
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12716
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12724
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5000
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11364
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12500
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13056
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12732
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12740
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12748
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12756
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12764
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12772
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12572
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12564
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12580
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11480
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10196
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10500
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11476
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11800
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11872
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10592
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3692
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:392
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:868
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1780
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5032
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4564
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2992
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1696
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1752
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13896
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13904
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13912
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13920
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13928
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13936
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13944
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13952
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13960
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13968
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13976
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13984
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13992
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:14000
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:14008
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:14016
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12104
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13540
- C:\Windows\system32\taskkill.exe
  taskkill /f /im winlogon
  2⤵
  - Kills process with taskkill
  - Suspicious use of AdjustPrivilegeToken
  PID:13316

C:\Windows\System32\cmd.exe
"C:\Windows\System32\cmd.exe" /C "C:\Users\Admin\Desktop\kill system.bat"
1⤵
PID:10572
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12484
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11992
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11328
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11448
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8540
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9896
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11256
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8408
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11568
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10888
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11408
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10124
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10968
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10068
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11672
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10176
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11224
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10604
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9140
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11268
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9120
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11132
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8364
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8360
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12268
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8556
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8772
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11628
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10556
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11196
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11736
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11352
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11776
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10236
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10684
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10212
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12164
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11592
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8180
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8712
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8636
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8720
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7140
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7056
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9712
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7008
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8716
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8812
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9080
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12256
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10648
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10040
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6660
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6644
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8184
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8080
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8976
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8340
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11768
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11720
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5976
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5904
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8928
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7900
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:7088
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9064
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5592
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9612
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11456
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9548
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:9732
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10044
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10072
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10264
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10012
- C:\Windows\system32\taskkill.exe
  taskkill /f /im winlogon
  2⤵
  - Kills process with taskkill
  - Suspicious use of AdjustPrivilegeToken
  PID:9948
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3528
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4544
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4348
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6268
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6960
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:372
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4860
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:6684
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5364
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4252
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:512
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5732
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5640
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4484
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5184
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2096
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10792
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1900
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10560
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3400
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3944
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3948
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:11884
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2856
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2776
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2668
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3480
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:456
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4960
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2244
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:5060
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13124
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4940
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:216
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:3092
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:32
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12396
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12364
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12684
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:4268
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:2688
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13568
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13880
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13432
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:10912
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13488
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:13580
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1212
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:12280
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:14052
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:1036
- C:\Windows\system32\cmd.exe
  cmd
  2⤵
  PID:8056
- C:\Windows\system32\taskkill.exe
  taskkill /f /im winlogon
  2⤵
  - Kills process with taskkill
  PID:13484

C:\Windows\system32\AUDIODG.EXE
C:\Windows\system32\AUDIODG.EXE 0x508 0x410
1⤵
- Suspicious use of AdjustPrivilegeToken
PID:11500

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Suspicious use of AdjustPrivilegeToken
PID:14328

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
PID:10376

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\Desktop\kill system.bat

Filesize
964B

MD5
9f9d1bc2ec9154dd861373cba2973396

SHA1
9fd2545e694aa573f6d8eb88ba01e2aced9fd8eb

SHA256
02d35a8725734a2c8c5a111259a6601c7b86365942d443cf49a1146a5c762fce

SHA512
bc70779dd1ab88cf640d465938d7cb83f7459b4e4baaa8a7331f3a0ae42f26159ea2cbbd980920076a39554e5cf20daf582e858c5dcfdb7bf4e72b1133e641b6

Download Submit
C:\Users\Admin\Desktop\kill system.bat

Filesize
102B

MD5
47661fb60840cec104d685f05312be41

SHA1
a552fbb63e1b19d35ac2e063be02f59fcb5cde99

SHA256
a2b5f75ac5fa5141568bc57338794d18a192fdf4f49eabfb3a319379b20c15d7

SHA512
a08efe2808b1c2f9f9a83e6a86dc9b8f0e8b3db9e8a0cfc64952b00108306526d2bc606c5f4dda1fb71c389dd8f2c810ec97bfa486bd04ed1e6e9dea94d353e6

Download Submit
C:\Users\Admin\Desktop\kill system.bat

Filesize
104B

MD5
b52234fb03a9cef1e080186d49ce0acd

SHA1
2bbc439f7a2bc42959a097bd1dfda909366c28cf

SHA256
1ba6f8931b6f6f343c19c99a168d2eb766b0c03efd3af89d6b8d14359fac11be

SHA512
3058bdbf8cdc6a51969aef2f8e54cdd7c8ec3375390fcb4ae6d55f05db1054a541b19176b94dea4143e430892298b172bbc039d6cccd38cea058c34b8351e6fc

Download Submit
memory/1632-17-0x000001B95D2C0000-0x000001B95D2C1000-memory.dmp

Filesize
4KB

Download
memory/1632-6-0x000001B95D2C0000-0x000001B95D2C1000-memory.dmp

Filesize
4KB

Download
memory/1632-11-0x000001B95D2C0000-0x000001B95D2C1000-memory.dmp

Filesize
4KB

Download
memory/1632-7-0x000001B95D2C0000-0x000001B95D2C1000-memory.dmp

Filesize
4KB

Download
memory/1632-16-0x000001B95D2C0000-0x000001B95D2C1000-memory.dmp

Filesize
4KB

Download
memory/1632-15-0x000001B95D2C0000-0x000001B95D2C1000-memory.dmp

Filesize
4KB

Download
memory/1632-14-0x000001B95D2C0000-0x000001B95D2C1000-memory.dmp

Filesize
4KB

Download
memory/1632-13-0x000001B95D2C0000-0x000001B95D2C1000-memory.dmp

Filesize
4KB

Download
memory/1632-12-0x000001B95D2C0000-0x000001B95D2C1000-memory.dmp

Filesize
4KB

Download
memory/1632-5-0x000001B95D2C0000-0x000001B95D2C1000-memory.dmp

Filesize
4KB

Download
memory/9520-20-0x00007FF64BE30000-0x00007FF64BE97000-memory.dmp

Filesize
412KB

Download