0411bb4a4de3861d3ab4847bacea07ded82ab69d84548847d76ab6aa1f4ba33b

Analysis

max time kernel
149s
max time network
131s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
16/05/2024, 06:53

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

TCR.cmd
Size

2KB
MD5

4ae373b1ff4ab4c11a734d33624e6bb8
SHA1

8ea41e130c1a6a880770bc0fa3f6c4ca635746da
SHA256

0411bb4a4de3861d3ab4847bacea07ded82ab69d84548847d76ab6aa1f4ba33b
SHA512

f17282038612fc0e01ef6ff7c33aadde1b3e6509c0926d1bcb74a26ad2487e9732500fbe2e4f5a9bd816132f4467a6fcae812a5d33f6ce4860e238441aed6756

Score

1^/10

Malware Config

Signatures

Enumerates processes with tasklist 1 TTPs 1 IoCs

Process Discovery

T1057

pid	Process
4896	tasklist.exe

Kills process with taskkill 1 IoCs

evasion

pid	Process
1904	taskkill.exe

Suspicious behavior: EnumeratesProcesses 2 IoCs

pid	Process
4896	tasklist.exe
4896	tasklist.exe

Suspicious use of AdjustPrivilegeToken 4 IoCs

description	pid	Process
Token: SeDebugPrivilege	1904	taskkill.exe
Token: SeSystemtimePrivilege	1624	cmd.exe
Token: SeSystemtimePrivilege	1624	cmd.exe
Token: SeDebugPrivilege	4896	tasklist.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1624 wrote to memory of 1904	1624	cmd.exe	84
PID 1624 wrote to memory of 1904	1624	cmd.exe	84
PID 1624 wrote to memory of 4704	1624	cmd.exe	86
PID 1624 wrote to memory of 4704	1624	cmd.exe	86
PID 1624 wrote to memory of 1120	1624	cmd.exe	88
PID 1624 wrote to memory of 1120	1624	cmd.exe	88
PID 1624 wrote to memory of 4808	1624	cmd.exe	90
PID 1624 wrote to memory of 4808	1624	cmd.exe	90
PID 1624 wrote to memory of 5056	1624	cmd.exe	92
PID 1624 wrote to memory of 5056	1624	cmd.exe	92
PID 1120 wrote to memory of 4352	1120	cmd.exe	94
PID 1120 wrote to memory of 4352	1120	cmd.exe	94
PID 4352 wrote to memory of 4896	4352	cmd.exe	95
PID 4352 wrote to memory of 4896	4352	cmd.exe	95
PID 4808 wrote to memory of 3316	4808	cmd.exe	96
PID 4808 wrote to memory of 3316	4808	cmd.exe	96
PID 5056 wrote to memory of 2676	5056	cmd.exe	97
PID 5056 wrote to memory of 2676	5056	cmd.exe	97
PID 5056 wrote to memory of 1572	5056	cmd.exe	98
PID 5056 wrote to memory of 1572	5056	cmd.exe	98
PID 2676 wrote to memory of 3256	2676	cmd.exe	100
PID 2676 wrote to memory of 3256	2676	cmd.exe	100
PID 2676 wrote to memory of 2236	2676	cmd.exe	101
PID 2676 wrote to memory of 2236	2676	cmd.exe	101
PID 3316 wrote to memory of 4492	3316	cmd.exe	99
PID 3316 wrote to memory of 4492	3316	cmd.exe	99
PID 1572 wrote to memory of 4852	1572	cmd.exe	102
PID 1572 wrote to memory of 4852	1572	cmd.exe	102
PID 1572 wrote to memory of 4500	1572	cmd.exe	103
PID 1572 wrote to memory of 4500	1572	cmd.exe	103
PID 3316 wrote to memory of 3244	3316	cmd.exe	104
PID 3316 wrote to memory of 3244	3316	cmd.exe	104
PID 2236 wrote to memory of 2504	2236	cmd.exe	105
PID 2236 wrote to memory of 2504	2236	cmd.exe	105
PID 2236 wrote to memory of 3988	2236	cmd.exe	106
PID 2236 wrote to memory of 3988	2236	cmd.exe	106
PID 4852 wrote to memory of 4188	4852	cmd.exe	108
PID 4852 wrote to memory of 4188	4852	cmd.exe	108
PID 3256 wrote to memory of 4416	3256	cmd.exe	109
PID 3256 wrote to memory of 4416	3256	cmd.exe	109
PID 4500 wrote to memory of 2756	4500	cmd.exe	107
PID 4500 wrote to memory of 2756	4500	cmd.exe	107
PID 4500 wrote to memory of 320	4500	cmd.exe	112
PID 4500 wrote to memory of 320	4500	cmd.exe	112
PID 4852 wrote to memory of 4644	4852	cmd.exe	110
PID 4852 wrote to memory of 4644	4852	cmd.exe	110
PID 3988 wrote to memory of 5004	3988	cmd.exe	113
PID 3988 wrote to memory of 5004	3988	cmd.exe	113
PID 3988 wrote to memory of 2860	3988	cmd.exe	114
PID 3988 wrote to memory of 2860	3988	cmd.exe	114
PID 3256 wrote to memory of 1720	3256	cmd.exe	111
PID 3256 wrote to memory of 1720	3256	cmd.exe	111
PID 320 wrote to memory of 3228	320	cmd.exe	118
PID 320 wrote to memory of 3228	320	cmd.exe	118
PID 4188 wrote to memory of 1468	4188	cmd.exe	121
PID 4188 wrote to memory of 1468	4188	cmd.exe	121
PID 4188 wrote to memory of 4160	4188	cmd.exe	122
PID 4188 wrote to memory of 4160	4188	cmd.exe	122
PID 5004 wrote to memory of 4772	5004	cmd.exe	123
PID 5004 wrote to memory of 4772	5004	cmd.exe	123
PID 5004 wrote to memory of 2044	5004	cmd.exe	124
PID 5004 wrote to memory of 2044	5004	cmd.exe	124
PID 2860 wrote to memory of 1724	2860	cmd.exe	125
PID 2860 wrote to memory of 1724	2860	cmd.exe	125

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\TCR.cmd"
1⤵
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1624
- C:\Windows\system32\taskkill.exe
  taskkill /IM explorer.exe /f
  2⤵
  - Kills process with taskkill
  - Suspicious use of AdjustPrivilegeToken
  PID:1904
- C:\Windows\system32\cmd.exe
  cmd /c sys32.cmd
  2⤵
  PID:4704
- C:\Windows\system32\cmd.exe
  cmd /c sys64.cmd
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:1120
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c TASKLIST /FI "USERNAME eq RIJTOOVX\Admin" /FI "STATUS eq running"
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:4352
  - - \??\c:\Windows\System32\tasklist.exe
      TASKLIST /FI "USERNAME eq RIJTOOVX\Admin" /FI "STATUS eq running"
      4⤵
      Enumerates processes with tasklist
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      PID:4896
- C:\Windows\system32\cmd.exe
  cmd /c out2.cmd
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:4808
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c dir C:\*.* /b /a-d /s | findstr /vile ".bat .cmd"
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:3316
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" dir C:\*.* /b /a-d /s "
      4⤵
      PID:4492
  - - C:\Windows\system32\findstr.exe
      findstr /vile ".bat .cmd"
      4⤵
      PID:3244
- C:\Windows\system32\cmd.exe
  cmd /c sys16.cmd
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:5056
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:2676
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
      4⤵
      Suspicious use of WriteProcessMemory
      PID:3256
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        5⤵
        
        PID:4416
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:3264
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:3632
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:4700
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7508
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12808
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7516
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9772
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:3640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7704
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10776
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:11724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7812
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11876
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12744
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:1872
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:2888
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6148
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7052
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14684
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10060
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9852
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15260
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6468
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14060
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11592
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9476
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:4944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6408
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14052
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:1060
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:4976
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13784
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9464
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:15520
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6540
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10032
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10600
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7532
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11476
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12532
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:1140
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:7724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10260
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:11444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:14816
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:4140
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:14204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:13240
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:8148
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:12768
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:13284
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:4320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:7188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:9664
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15544
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:16344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:7204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10624
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:11176
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        5⤵
        
        PID:1720
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:4764
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:5344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:6940
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:9616
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:14812
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:14972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:13832
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:12100
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:6956
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:9984
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10424
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:5416
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:6296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:8312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:13380
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14768
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:13788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:1536
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:8608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:14036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:14412
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:6488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:9656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15976
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:2360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:1540
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:7020
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:11760
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:7036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:9520
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:14700
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:15616
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:404
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:9604
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15916
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13592
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:9812
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:5492
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:8032
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10216
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15308
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10688
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15472
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:8200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:11884
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:12752
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:12076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:12452
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
      4⤵
      Suspicious use of WriteProcessMemory
      PID:2236
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        5⤵
        
        PID:2504
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:1580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:3084
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:1020
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7012
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9740
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15292
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:4980
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7028
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10544
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:11940
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5568
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7364
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11060
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15876
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12048
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10996
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12072
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:1824
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:2704
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6432
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14404
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14864
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15040
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6556
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:13264
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15596
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:8208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10284
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10920
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:3776
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:4340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3852
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6136
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12816
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:3964
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:13272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:13104
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8624
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14084
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14584
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6212
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8468
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12876
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13476
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8664
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13540
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16232
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13888
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11576
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15984
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:4820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7740
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10616
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15332
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:8132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12760
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:16220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13276
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:4280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:3592
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7380
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15560
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10108
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11124
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12104
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:3788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:6832
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11572
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13176
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:6840
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:9088
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15440
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:10712
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:11184
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12676
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13684
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:10012
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:3344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:1640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:1184
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12284
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11588
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:3856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7284
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10736
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7300
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11516
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12696
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:1836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6964
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11740
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6980
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9976
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10400
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15284
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12096
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15740
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:9768
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:12780
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16140
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10808
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        5⤵
        Suspicious use of WriteProcessMemory
        
        PID:3988
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        Suspicious use of WriteProcessMemory
        
        PID:5004
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:4772
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:4080
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6908
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10680
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7572
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11644
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5392
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7424
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11108
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12088
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13088
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:10336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10936
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12136
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:4972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6172
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:15172
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14904
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9692
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14668
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:15164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:8360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11192
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:8632
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:13972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10888
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:1404
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:2044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:4520
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:1596
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8476
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11380
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:4968
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:13616
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:11448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8688
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15464
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:14964
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13676
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15000
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:15252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13852
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:3448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8616
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13292
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:1148
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6764
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9780
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10496
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7472
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11212
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:1208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5352
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7212
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:11152
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:11780
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:5580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8140
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12852
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:3884
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15880
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:15396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:1568
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:1396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:5312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:6868
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:9528
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:14716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:15180
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:13556
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:15080
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:9820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:15456
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:6876
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:11084
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:16088
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:1912
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        15⤵
        
        PID:11884
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:16160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:12064
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:5360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:6416
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:8428
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:12860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:3868
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:12792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        15⤵
        
        PID:11352
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:8636
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:13656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:14120
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:6448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:9312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:14796
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:9592
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:14764
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:15756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:11376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:1312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:6996
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:9788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:10504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:14364
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:13552
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:16308
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:10196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7004
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:14692
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:10432
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        Suspicious use of WriteProcessMemory
        
        PID:2860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:1724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3080
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:3136
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:1592
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10536
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:11364
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:10720
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15632
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15948
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:5216
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12032
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7404
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11596
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:4344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:11728
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:11888
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:15072
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:12200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:3244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13708
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:10604
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:4360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:3120
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:6156
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:8444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:12832
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:13324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:4492
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:8680
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:13492
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:13916
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:11632
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:10620
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:6332
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:8368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:3916
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:10548
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:13644
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:13700
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:15564
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:13448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:9016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:14076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:10476
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:16340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:14652
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:5484
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:6440
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:9396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:14788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:9712
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:6456
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:6784
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:10192
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:15252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:10664
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:15340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:16260
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:14880
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:7480
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:11068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:12056
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:16216
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:4252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:3580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7276
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11552
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12824
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7292
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11564
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:4016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:5588
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7092
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:10892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7108
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11620
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:3688
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:1692
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13308
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:3416
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7584
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15212
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:10744
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7592
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11604
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:4136
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6900
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11484
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12636
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:4432
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5464
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:8328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:4372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13692
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:9736
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:8856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14380
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15440
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14844
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:8420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12868
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:8656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:3876
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13796
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:3368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9952
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13824
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13508
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10560
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9864
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:11196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16268
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10332
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6180
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14012
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:13160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13364
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:9472
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15712
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:14592
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12416
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13964
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14296
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:1572
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
      4⤵
      Suspicious use of WriteProcessMemory
      PID:4852
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        5⤵
        Suspicious use of WriteProcessMemory
        
        PID:4188
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:1468
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:3908
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:4288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:8000
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15536
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10704
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:8172
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11412
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:13028
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5472
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7412
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12168
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:1212
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11492
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15896
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12440
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15996
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:14524
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:2976
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:1728
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10520
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11404
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7260
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9960
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10392
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:13392
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:13136
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16056
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5400
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7308
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11052
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15984
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:968
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9512
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15528
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6988
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15664
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10408
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:4160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:1420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:5432
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7156
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9796
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9844
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:556
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13808
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12704
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:16048
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7172
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:15768
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7148
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9992
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10576
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11628
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15532
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:4332
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:5456
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:15732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15992
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10584
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11100
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12080
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:10748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5560
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6516
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:8352
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:13584
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14096
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13840
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9112
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14028
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13884
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:1972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14772
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9720
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:16132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:16168
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        5⤵
        
        PID:4644
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:3504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:2120
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:6400
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:9304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:14804
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:9496
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:6532
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:9404
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:14732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:15512
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:9728
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:5224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:7124
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15960
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10440
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:16328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:7140
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:9804
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10512
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15268
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:1088
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:1036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:4196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7772
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:8124
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10276
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:11704
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:3860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10184
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15424
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:16284
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10480
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15416
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:11460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:1300
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10268
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15952
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10884
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:14132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7268
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10472
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15276
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:11452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:16244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7180
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10000
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15624
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13428
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13936
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:16292
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10568
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:16184
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9624
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14908
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15048
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
      4⤵
      Suspicious use of WriteProcessMemory
      PID:4500
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        5⤵
        
        PID:2756
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:2812
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:2452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:5032
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7084
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15032
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10092
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:13992
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7100
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11540
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:13164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:888
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10456
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7496
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9632
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15056
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10084
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:3172
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:6188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6824
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12152
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11528
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:13092
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:6356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:8460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:12784
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:3576
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:4828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:15028
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:8984
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:14020
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11884
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:14356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14824
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:15224
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:1632
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:408
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:4528
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5408
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10232
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15464
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16064
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10696
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15480
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:13816
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:8180
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12776
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:3548
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15148
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15268
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5440
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6932
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9600
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15000
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10052
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15392
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11880
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6948
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14984
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10100
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15572
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:2520
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6424
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14740
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:9936
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15552
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6548
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11468
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12516
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:3268
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5424
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10024
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15968
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10592
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7332
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12040
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:3684
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3544
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:8592
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14364
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12576
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:15184
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9552
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14992
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:9904
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15300
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7060
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10528
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5276
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7780
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11140
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12120
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:8156
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11612
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:13672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13804
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:3828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:4260
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:15844
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        5⤵
        Suspicious use of WriteProcessMemory
        
        PID:320
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:3228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:1608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:4036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6772
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11092
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:4420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15400
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:1984
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6392
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:8452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:3024
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16364
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:8648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:13620
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14108
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6524
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12128
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:4808
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:4120
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3568
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:8304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10632
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11168
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:8600
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14004
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:11208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13528
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6476
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9764
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14964
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10464
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15408
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13128
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:16276
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:1228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:4048
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6072
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6572
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14660
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15144
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10364
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15496
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6616
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:12820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:9912
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15596
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9264
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14708
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:15680
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:9924
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9456
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14676
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:15156
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:1444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:1804
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:5780
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:16096
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12144
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:8296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:12792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:3932
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11528
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5952
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6564
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6916
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7600
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:9536
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15432
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:12860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:10352
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:16072
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:9828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15024
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12112
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15600
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:16004
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6924
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14780
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:9920
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12232
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:2500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:7316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:9968
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10416
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:7340

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Process Discovery

T1057

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\Desktop\out2.cmd

Filesize
94B

MD5
e649fdcd6f8531573884ec9ceb15f800

SHA1
26aff8503b3887fcc34fa66f9071d87501ea4cfc

SHA256
b63bde8e00348537a5a887b24521e1c13bbe7e113dbee3935212a56d8066c708

SHA512
265e3fb504f0c5c2946f4d79e05dd9323b55ccf377b80ada021b8bde4a845ed6089789ce6bf497d171b8ad282fcaf4280e1ca89492d313970e96c9e367ada96c

Download Submit
C:\Users\Admin\Desktop\sys16.cmd

Filesize
28B

MD5
a97d92b7537f5bb9988197ef15f27f62

SHA1
1de0609322760c89fd0369f56382938fe3e3e0b7

SHA256
1ceb33c9df179fb04b16e62efa8bfe8cece1afd75efa6a5326d4037348f618fb

SHA512
a28d67b6087be4473cd2d456d47a875cac5ef5b21ba0da1b6fcba0db6e3136ceebd80c158012f0f5c53f7e001a1e6e79b3aa0c2149cd3465ff1adb54b918feb0

Download Submit
C:\Users\Admin\Desktop\sys32.cmd

Filesize
34B

MD5
082bc9e817074dfe94c2a878e811d1b4

SHA1
b5805771fc7fc49a95d5e344bc971196f40bc926

SHA256
f7ebda48c2b0a26cc6726b73fdee22c5d7da92b534af6a3b89a89ca5e7b0755a

SHA512
6ae9632e4bd742de8c3be460341a2d1ecebead7ea29c161c38431d88f0c2724e99749728ef3d56ece15d967b81a16feb268005dd5e675b26f37e259565b8ca76

Download Submit
C:\Users\Admin\Desktop\sys64.cmd

Filesize
361B

MD5
dae05cc4dce6870b57b440ee56a9bd72

SHA1
d7731faddf33835a11053d5de33d7844d0fc696e

SHA256
4597360dcadcf2b9566bf6b01e9dec89cfe705f3df4fa43f88838134833db2d5

SHA512
9a6bfcc08fd20c93ce46f5115c34ece92403304990051624cd08339033d3476acad0ed1e3edb830cf0362f01f5402ebb83b3871e977af2ebfe4f978e2898ceef

Download Submit
memory/352-105-0x00007FFAA3690000-0x00007FFAA3885000-memory.dmp

Filesize
2.0MB

Download
memory/520-115-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/764-91-0x00007FFAA3690000-0x00007FFAA3885000-memory.dmp

Filesize
2.0MB

Download
memory/1404-82-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/1780-125-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/2072-122-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/2320-127-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/2436-132-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/4116-130-0x00007FFAA3690000-0x00007FFAA3885000-memory.dmp

Filesize
2.0MB

Download
memory/6708-119-0x00007FFAA3480000-0x00007FFAA353E000-memory.dmp

Filesize
760KB

Download
memory/6884-112-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/7648-113-0x00007FFAA3690000-0x00007FFAA3885000-memory.dmp

Filesize
2.0MB

Download
memory/7984-131-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/8272-120-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/8488-102-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/9576-100-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/9736-81-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/9768-96-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/10324-103-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/10336-79-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/10600-73-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/10636-99-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/10864-124-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/11576-121-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/11616-93-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/11676-110-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/11780-95-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/12108-134-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/12360-92-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/12636-90-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/12692-104-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/12696-108-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/13056-123-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/13080-109-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/13104-83-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/13428-77-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/14360-111-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/14544-133-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/14616-117-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/14656-118-0x00007FFAA3690000-0x00007FFAA3885000-memory.dmp

Filesize
2.0MB

Download
memory/14816-86-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/14948-97-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15184-85-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15192-107-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15224-84-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15244-52-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15252-63-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15268-78-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15404-75-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15440-128-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15448-129-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15452-76-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15464-72-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15720-98-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15724-101-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15836-94-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15912-89-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/15936-114-0x00007FFAA3690000-0x00007FFAA3885000-memory.dmp

Filesize
2.0MB

Download
memory/15944-74-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/16036-116-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/16164-126-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/16340-80-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/16740-88-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download
memory/16752-87-0x00007FF6420D0000-0x00007FF642137000-memory.dmp

Filesize
412KB

Download