0411bb4a4de3861d3ab4847bacea07ded82ab69d84548847d76ab6aa1f4ba33b

Analysis

max time kernel
150s
max time network
101s
platform
windows11-21h2_x64
resource
win11-20240508-en
resource tags

arch:x64arch:x86image:win11-20240508-enlocale:en-usos:windows11-21h2-x64system
submitted
16-05-2024 06:53

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

TCR.cmd
Size

2KB
MD5

4ae373b1ff4ab4c11a734d33624e6bb8
SHA1

8ea41e130c1a6a880770bc0fa3f6c4ca635746da
SHA256

0411bb4a4de3861d3ab4847bacea07ded82ab69d84548847d76ab6aa1f4ba33b
SHA512

f17282038612fc0e01ef6ff7c33aadde1b3e6509c0926d1bcb74a26ad2487e9732500fbe2e4f5a9bd816132f4467a6fcae812a5d33f6ce4860e238441aed6756

Score

1^/10

Malware Config

Signatures

Delays execution with timeout.exe 19 IoCs

evasion

pid	Process
52116	Process not Found
43152	Process not Found
5564	Process not Found
35788	Process not Found
19232	Process not Found
54664	Process not Found
60668	Process not Found
39728	Process not Found
39344	Process not Found
13424	Process not Found
26204	Process not Found
31376	Process not Found
55648	Process not Found
60536	Process not Found
8216	Process not Found
59644	Process not Found
38924	Process not Found
35012	Process not Found
29024	Process not Found

Enumerates processes with tasklist 1 TTPs 1 IoCs

Process Discovery

T1057

pid	Process
3532	tasklist.exe

Kills process with taskkill 3 IoCs

evasion

pid	Process
1316	taskkill.exe
55628	Process not Found
44852	Process not Found

Suspicious behavior: EnumeratesProcesses 2 IoCs

pid	Process
3532	tasklist.exe
3532	tasklist.exe

Suspicious use of AdjustPrivilegeToken 4 IoCs

description	pid	Process
Token: SeDebugPrivilege	1316	taskkill.exe
Token: SeSystemtimePrivilege	4172	cmd.exe
Token: SeSystemtimePrivilege	4172	cmd.exe
Token: SeDebugPrivilege	3532	tasklist.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4172 wrote to memory of 1316	4172	cmd.exe	79
PID 4172 wrote to memory of 1316	4172	cmd.exe	79
PID 4172 wrote to memory of 2204	4172	cmd.exe	81
PID 4172 wrote to memory of 2204	4172	cmd.exe	81
PID 4172 wrote to memory of 4676	4172	cmd.exe	83
PID 4172 wrote to memory of 4676	4172	cmd.exe	83
PID 4172 wrote to memory of 5064	4172	cmd.exe	85
PID 4172 wrote to memory of 5064	4172	cmd.exe	85
PID 4172 wrote to memory of 2216	4172	cmd.exe	87
PID 4172 wrote to memory of 2216	4172	cmd.exe	87
PID 4676 wrote to memory of 2808	4676	cmd.exe	89
PID 4676 wrote to memory of 2808	4676	cmd.exe	89
PID 2808 wrote to memory of 3532	2808	cmd.exe	90
PID 2808 wrote to memory of 3532	2808	cmd.exe	90
PID 5064 wrote to memory of 4860	5064	cmd.exe	91
PID 5064 wrote to memory of 4860	5064	cmd.exe	91
PID 4860 wrote to memory of 3160	4860	cmd.exe	92
PID 4860 wrote to memory of 3160	4860	cmd.exe	92
PID 4860 wrote to memory of 4336	4860	cmd.exe	93
PID 4860 wrote to memory of 4336	4860	cmd.exe	93
PID 2216 wrote to memory of 2268	2216	cmd.exe	94
PID 2216 wrote to memory of 2268	2216	cmd.exe	94
PID 2216 wrote to memory of 1748	2216	cmd.exe	95
PID 2216 wrote to memory of 1748	2216	cmd.exe	95
PID 2268 wrote to memory of 2024	2268	cmd.exe	96
PID 2268 wrote to memory of 2024	2268	cmd.exe	96
PID 2268 wrote to memory of 3876	2268	cmd.exe	97
PID 2268 wrote to memory of 3876	2268	cmd.exe	97
PID 1748 wrote to memory of 764	1748	cmd.exe	98
PID 1748 wrote to memory of 764	1748	cmd.exe	98
PID 1748 wrote to memory of 4808	1748	cmd.exe	100
PID 1748 wrote to memory of 4808	1748	cmd.exe	100
PID 2024 wrote to memory of 3984	2024	cmd.exe	99
PID 2024 wrote to memory of 3984	2024	cmd.exe	99
PID 2024 wrote to memory of 3852	2024	cmd.exe	101
PID 2024 wrote to memory of 3852	2024	cmd.exe	101
PID 764 wrote to memory of 4572	764	cmd.exe	102
PID 764 wrote to memory of 4572	764	cmd.exe	102
PID 764 wrote to memory of 4536	764	cmd.exe	103
PID 764 wrote to memory of 4536	764	cmd.exe	103
PID 4808 wrote to memory of 4828	4808	cmd.exe	104
PID 4808 wrote to memory of 4828	4808	cmd.exe	104
PID 4808 wrote to memory of 3492	4808	cmd.exe	105
PID 4808 wrote to memory of 3492	4808	cmd.exe	105
PID 3876 wrote to memory of 752	3876	cmd.exe	106
PID 3876 wrote to memory of 752	3876	cmd.exe	106
PID 3984 wrote to memory of 2952	3984	cmd.exe	108
PID 3984 wrote to memory of 2952	3984	cmd.exe	108
PID 3876 wrote to memory of 5020	3876	cmd.exe	107
PID 3876 wrote to memory of 5020	3876	cmd.exe	107
PID 3984 wrote to memory of 1752	3984	cmd.exe	109
PID 3984 wrote to memory of 1752	3984	cmd.exe	109
PID 3852 wrote to memory of 3296	3852	cmd.exe	110
PID 3852 wrote to memory of 3296	3852	cmd.exe	110
PID 3852 wrote to memory of 1868	3852	cmd.exe	111
PID 3852 wrote to memory of 1868	3852	cmd.exe	111
PID 4572 wrote to memory of 2416	4572	cmd.exe	112
PID 4572 wrote to memory of 2416	4572	cmd.exe	112
PID 3492 wrote to memory of 2168	3492	cmd.exe	116
PID 3492 wrote to memory of 2168	3492	cmd.exe	116
PID 752 wrote to memory of 4348	752	cmd.exe	118
PID 752 wrote to memory of 4348	752	cmd.exe	118
PID 752 wrote to memory of 1896	752	cmd.exe	119
PID 752 wrote to memory of 1896	752	cmd.exe	119

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\TCR.cmd"
1⤵
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:4172
- C:\Windows\system32\taskkill.exe
  taskkill /IM explorer.exe /f
  2⤵
  - Kills process with taskkill
  - Suspicious use of AdjustPrivilegeToken
  PID:1316
- C:\Windows\system32\cmd.exe
  cmd /c sys32.cmd
  2⤵
  PID:2204
- C:\Windows\system32\cmd.exe
  cmd /c sys64.cmd
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:4676
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c TASKLIST /FI "USERNAME eq OYHKEPSP\Admin" /FI "STATUS eq running"
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:2808
  - - \??\c:\Windows\System32\tasklist.exe
      TASKLIST /FI "USERNAME eq OYHKEPSP\Admin" /FI "STATUS eq running"
      4⤵
      Enumerates processes with tasklist
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      PID:3532
- C:\Windows\system32\cmd.exe
  cmd /c out2.cmd
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:5064
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c dir C:\*.* /b /a-d /s | findstr /vile ".bat .cmd"
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:4860
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" dir C:\*.* /b /a-d /s "
      4⤵
      PID:3160
  - - C:\Windows\system32\findstr.exe
      findstr /vile ".bat .cmd"
      4⤵
      PID:4336
- C:\Windows\system32\cmd.exe
  cmd /c sys16.cmd
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2216
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:2268
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
      4⤵
      Suspicious use of WriteProcessMemory
      PID:2024
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        5⤵
        Suspicious use of WriteProcessMemory
        
        PID:3984
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:2952
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:4500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:4552
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:12740
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12308
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12332
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:14248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:15212
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7876
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6864
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7940
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7948
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12216
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:2336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:8528
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:17560
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:17568
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:16520
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:8780
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:17516
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:16616
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11424
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12040
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:4020
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5596
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13948
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:17468
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:17484
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5604
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6492
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:13000
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6524
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15524
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:9856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12128
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13804
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:1628
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:2368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:6840
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:7188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:7720
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:9084
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:15412
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        15⤵
        
        PID:16600
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:9096
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:16352
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        15⤵
        
        PID:17308
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:7728
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:9332
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:14952
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        15⤵
        
        PID:16544
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:9340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:12200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        15⤵
        
        PID:13940
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:7212
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:7784
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:8720
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:16696
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:8736
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:16288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:8536
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:16472
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:6856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:7272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:7848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:11792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:13016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:7864
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:11252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:13908
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:7288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:13520
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:13812
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:5328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8956
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8964
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11636
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13032
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:1732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10904
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12832
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12840
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10920
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13796
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10776
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12000
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:1752
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:1924
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:1652
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5264
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7524
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16176
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7532
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:9280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:9288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:17064
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:5272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9232
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14704
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16144
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:9248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:2828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5212
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:7664
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:11700
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:14328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:7672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:9004
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:16456
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:9012
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:15476
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:17580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:16656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7172
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:7680
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:9036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:10472
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:11848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:9052
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:16196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:7688
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15260
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:16576
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:5220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:13932
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:15280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:4544
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:1540
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:6344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:12692
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:14484
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:11832
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:6712
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11136
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:1376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10128
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:17124
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10260
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14108
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14896
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11432
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:2000
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:4788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:1576
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6184
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10896
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13900
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10912
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6564
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:9044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:17264
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:10040
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7704
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:9068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:17300
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:9076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:17280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5984
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:14468
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:2428
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:4708
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5180
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10028
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10212
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:14256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:16152
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:11400
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:5992
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16712
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:4688
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7572
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12184
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:9296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15124
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:15532
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:9304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:5168
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7588
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10852
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:12700
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:16836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:17376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:12708
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:11816
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7604
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:8744
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15920
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:9668
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15904
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:16768
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        5⤵
        Suspicious use of WriteProcessMemory
        
        PID:3852
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:3296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:3044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:1256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:3668
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5192
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7540
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14888
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7548
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13276
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:5200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10664
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11824
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:3932
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:11228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:15244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:3340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:4820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7564
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15880
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:17208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:9676
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14912
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:17652
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:17664
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7596
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8808
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16264
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:4260
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5148
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10740
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11980
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6000
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11692
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13852
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3136
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:3896
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6176
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8472
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10052
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15364
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:17156
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:13260
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:17084
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14380
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:1996
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11652
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13752
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6548
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:6872
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:7316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:7980
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:8848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:16396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:9684
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:14024
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        15⤵
        
        PID:14976
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:8252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:16368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:7332
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:13252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:14452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:8340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:8896
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:16720
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:17436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:8904
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:15872
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:16744
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:17460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:8600
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:14340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:17400
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:17420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:15236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:1160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:3132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5232
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7556
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:8728
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:8760
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14664
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15516
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:5240
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:6328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:6580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13284
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:1988
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:17392
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:17412
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13924
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7464
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:17684
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:1868
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:2848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:5284
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:11708
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:14780
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5292
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:16804
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:17316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:11312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:4232
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:5676
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5940
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6152
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8464
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:8920
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:17272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:8936
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8632
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15540
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:17624
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16568
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6232
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12144
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6192
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11684
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:13592
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13600
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5684
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5956
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14772
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:16160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:11784
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6264
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:13820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:15000
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
      4⤵
      Suspicious use of WriteProcessMemory
      PID:3876
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        5⤵
        Suspicious use of WriteProcessMemory
        
        PID:752
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:4348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:1128
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:1396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5568
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9428
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:17140
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9872
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14032
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14968
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:13040
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:1504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5400
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:8048
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15428
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:17524
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16632
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12772
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:17356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:8056
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8364
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:17192
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8624
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:17172
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:10320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:12380
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:12388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6024
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12496
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12512
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:13064
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:4664
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:5436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10176
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:8308
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:8860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:8868
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14872
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:16528
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:8584
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:14928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:17708
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:16552
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:1896
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:3892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5616
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6216
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15332
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16584
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13024
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11644
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5628
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:14312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:15228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:3180
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:13072
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:14388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:11776
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:5412
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6784
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7796
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:8816
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:9700
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:9880
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:17288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7824
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13884
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10872
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:11856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6812
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15308
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:16592
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:8520
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:16360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10440
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:12560
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:17116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12572
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10804
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        5⤵
        
        PID:5020
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:2384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:5528
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:5900
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:9940
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:9948
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12024
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5964
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12596
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14864
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:11620
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6540
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11192
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:13008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:5536
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:9444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:10060
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:12448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:17100
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:12536
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:5892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:9452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:17148
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:9908
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:5948
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:11208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:11940
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:1748
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
      4⤵
      Suspicious use of WriteProcessMemory
      PID:764
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        5⤵
        Suspicious use of WriteProcessMemory
        
        PID:4572
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:2416
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:4056
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:936
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:8656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15888
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:17200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:16212
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6056
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:11932
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:3164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:8480
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:16728
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:8696
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:564
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:16648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:2004
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:4220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:3368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:8316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12400
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10352
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:8324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8752
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8768
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:1792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5484
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9728
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:9768
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6040
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11668
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13768
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:1344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:1472
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:11808
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:2892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5468
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10432
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10888
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:5476
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8688
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16680
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10100
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:12096
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:12112
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:11440
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:12104
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:15356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:16672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:12120
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:15340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:16664
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:2852
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:4116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5924
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7752
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:12528
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:12544
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:16844
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:11144
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7764
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:8828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:10460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:12620
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:12640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:10836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:8836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:14920
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:17676
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:17692
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:16036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12176
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12240
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13512
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14992
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11416
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14264
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10268
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:17164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:560
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:8456
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:16136
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:17224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9692
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6508
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:12280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12292
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:2884
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:824
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7960
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11840
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7968
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14904
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:8016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8332
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13916
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14040
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14840
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:8024
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8616
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:8980
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:9888
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16704
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:3024
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:9836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10092
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        5⤵
        
        PID:4536
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:2856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:1384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3576
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:3032
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:1580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7612
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:10360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:11408
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:12032
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8512
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16736
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:5132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:5884
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:8592
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:8928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:15444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:17536
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:16504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:8944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        14⤵
        
        PID:14492
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        14⤵
        
        PID:15500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        15⤵
        
        PID:17600
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        15⤵
        
        PID:17616
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:8640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:5932
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:10512
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:4484
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:2588
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7480
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7496
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11660
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:13760
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:2540
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:13860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14984
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:2628
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:8488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:14144
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:15196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:17476
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:9708
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:16480
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:1928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:7640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:9312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:14672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:15508
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:17608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:9964
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12408
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12416
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:7648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10020
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:16280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:17244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:11392
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12072
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12136
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16688
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:11448
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:3256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:3400
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3056
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6832
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7888
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7896
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13268
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7904
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:9372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:9380
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:11320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:11352
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:9820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15404
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:16624
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:10068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:13660
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:14240
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6556
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:12192
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:3048
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10136
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:12080
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12088
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:3196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:9756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:16496
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:9776
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:15460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:17548
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:16640
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
      4⤵
      Suspicious use of WriteProcessMemory
      PID:4808
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        5⤵
        
        PID:4828
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:1556
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:2400
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10168
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:12580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:16820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:17348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12588
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:16812
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:17332
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10880
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:2120
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:2764
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12232
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12264
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11168
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:2732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9392
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:17180
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9844
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:15436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:16512
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:3412
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:960
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7516
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9192
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15912
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:9200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15864
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16760
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:8496
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10152
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12612
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:17108
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12628
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5512
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5876
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11628
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:17092
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13048
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:5916
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:9828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:10084
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:12672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16780
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:17384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:12680
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:1284
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:7456
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:12796
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12808
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:7472
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:12152
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12168
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:5076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:4884
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:2788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:12652
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12660
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:16852
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:17364
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:11244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:2728
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10108
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:12440
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:12456
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10812
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:17324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:17428
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:1856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:6288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:9240
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:16204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:9256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15896
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:16752
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:6320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:12764
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:12780
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        5⤵
        Suspicious use of WriteProcessMemory
        
        PID:3492
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        6⤵
        
        PID:2168
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:4076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10412
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:15468
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:16560
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:11220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:4100
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5456
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10012
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:13636
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:17444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13644
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:15008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:16536
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:10452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:14848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:15484
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:17636
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:17644
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6032
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:10768
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:14788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:480
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:1112
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5548
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:9436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12300
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:9864
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:16228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5556
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:5908
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11176
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11948
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:10844
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:11800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:3928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:2944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11152
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13056
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6572
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11676
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14092
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7744
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:9352
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:15396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:16608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:9360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:17132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5588
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:2940
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:12868
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:13844
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6532
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7180
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:9020
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:10036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7696
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16168
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        6⤵
        
        PID:2772
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        7⤵
        
        PID:2388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:5360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:6792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:13468
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14880
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7808
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:14364
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:14936
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7816
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:11236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:13608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:13652
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:11924
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:16788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:6800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:7420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:13228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16796
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:17340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14100
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:7436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:10784
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:11876
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8268
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:13868
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:15288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:5368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:10160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:10204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:13876
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:15024
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        7⤵
        
        PID:4372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        8⤵
        
        PID:3996
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:5656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6168
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:11128
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:12520
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6240
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:8972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16464
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:8988
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:16296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:5664
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        10⤵
        
        PID:6484
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:13080
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:14476
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        10⤵
        
        PID:6516
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        11⤵
        
        PID:7384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:8040
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:14016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:14960
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:8276
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        11⤵
        
        PID:7428
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        12⤵
        
        PID:8880
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:11184
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:11972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        12⤵
        
        PID:8888
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        13⤵
        
        PID:10756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        13⤵
        
        PID:11988
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        8⤵
        
        PID:3496
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd"
        9⤵
        
        PID:15016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" sys16.cmd "
        9⤵
        
        PID:17256

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Process Discovery

T1057

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\Desktop\main.cmd

Filesize
972B

MD5
48f5a62ffe42606c186b73fe6ff45339

SHA1
d97cfaab3e6ca5537f1996cc57fc839645def0e0

SHA256
d67834c65dc1b129515787ec91929287d7ca6f50502f675e0f2af4badd117bbc

SHA512
0433283625404b6f085072de00905376440919187e6f70cb7d1f1d283fe3fc11ad31315b9634559e83dfefd77e35aa946d0780ddc24c916375cfeb9cccdaeb63

Download Submit
C:\Users\Admin\Desktop\out2.cmd

Filesize
94B

MD5
e649fdcd6f8531573884ec9ceb15f800

SHA1
26aff8503b3887fcc34fa66f9071d87501ea4cfc

SHA256
b63bde8e00348537a5a887b24521e1c13bbe7e113dbee3935212a56d8066c708

SHA512
265e3fb504f0c5c2946f4d79e05dd9323b55ccf377b80ada021b8bde4a845ed6089789ce6bf497d171b8ad282fcaf4280e1ca89492d313970e96c9e367ada96c

Download Submit
C:\Users\Admin\Desktop\sys16.cmd

Filesize
28B

MD5
a97d92b7537f5bb9988197ef15f27f62

SHA1
1de0609322760c89fd0369f56382938fe3e3e0b7

SHA256
1ceb33c9df179fb04b16e62efa8bfe8cece1afd75efa6a5326d4037348f618fb

SHA512
a28d67b6087be4473cd2d456d47a875cac5ef5b21ba0da1b6fcba0db6e3136ceebd80c158012f0f5c53f7e001a1e6e79b3aa0c2149cd3465ff1adb54b918feb0

Download Submit
C:\Users\Admin\Desktop\sys32.cmd

Filesize
34B

MD5
082bc9e817074dfe94c2a878e811d1b4

SHA1
b5805771fc7fc49a95d5e344bc971196f40bc926

SHA256
f7ebda48c2b0a26cc6726b73fdee22c5d7da92b534af6a3b89a89ca5e7b0755a

SHA512
6ae9632e4bd742de8c3be460341a2d1ecebead7ea29c161c38431d88f0c2724e99749728ef3d56ece15d967b81a16feb268005dd5e675b26f37e259565b8ca76

Download Submit
C:\Users\Admin\Desktop\sys64.cmd

Filesize
361B

MD5
d493a21132489829f12484566d0fd726

SHA1
571d213a4637234f5aa046ec03c034ddae32403a

SHA256
ec10ef30db463c51153371dfe59e47bed978d4e955b05c8f6ab270d2a2a1d6fa

SHA512
7754d68f1bac1aa7dd3df7df8b5f34ccaf79b72085a759e2a06401f56778c97a93036129d3acea96547c51c3356f2fd988012e4a2802bdad913742dac70a739c

Download Submit
memory/17108-135-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/28084-133-0x00007FF8A6D20000-0x00007FF8A7098000-memory.dmp

Filesize
3.5MB

Download
memory/29136-107-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/33544-134-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/34108-86-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/34608-113-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/35452-87-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/36356-81-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/36488-117-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/36632-88-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/37780-90-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/38000-114-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/38060-105-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/38384-102-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/38684-108-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/38772-74-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/38884-132-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/38908-104-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/39144-97-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/39260-98-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/39740-112-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/40112-110-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/40728-115-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/40924-116-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/41128-126-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/41176-125-0x00007FF8A4B60000-0x00007FF8A4C71000-memory.dmp

Filesize
1.1MB

Download
memory/42312-80-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/42384-77-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/43872-85-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/45152-89-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/45292-92-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/45584-109-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/46628-93-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/46756-96-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/47124-122-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/48156-130-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/48228-127-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/48536-120-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/48548-75-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/48716-103-0x00007FF8A7160000-0x00007FF8A7369000-memory.dmp

Filesize
2.0MB

Download
memory/48988-71-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/49072-101-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/49432-72-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/49836-121-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/50436-76-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/50976-118-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/51560-99-0x00007FF8A7160000-0x00007FF8A7369000-memory.dmp

Filesize
2.0MB

Download
memory/51560-91-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/51804-94-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/52172-119-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/52304-111-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/52424-124-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/52660-83-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/53116-82-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/55780-79-0x00007FF8A7160000-0x00007FF8A7369000-memory.dmp

Filesize
2.0MB

Download
memory/55936-123-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/56468-78-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/56808-128-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/59828-131-0x00007FF89D5F0000-0x00007FF89D601000-memory.dmp

Filesize
68KB

Download
memory/60248-73-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/60300-84-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/60580-106-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download
memory/60696-129-0x00007FF638960000-0x00007FF6389CC000-memory.dmp

Filesize
432KB

Download