Analysis Overview
SHA256
9db19f13597439dbc546601d2e3824641b301f3d4a6b56fbeec902618c439850
Threat Level: Likely benign
The file AnyLoaderV3.5.exe was found to be: Likely benign.
Malicious Activity Summary
Drops file in System32 directory
Unsigned PE
Modifies data under HKEY_USERS
Suspicious use of AdjustPrivilegeToken
Suspicious use of SetWindowsHookEx
Suspicious use of WriteProcessMemory
MITRE ATT&CK
Analysis: static1
Detonation Overview
Reported
2024-06-13 17:47
Signatures
Unsigned PE
| Description | Indicator | Process | Target |
| N/A | N/A | N/A | N/A |
Analysis: behavioral1
Detonation Overview
Submitted
2024-06-13 17:47
Reported
2024-06-13 17:53
Platform
win7-20240611-de
Max time kernel
149s
Max time network
125s
Command Line
Signatures
Drops file in System32 directory
| Description | Indicator | Process | Target |
| File opened for modification | C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat | C:\Windows\system32\SearchProtocolHost.exe | N/A |
Modifies data under HKEY_USERS
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\SampleRes.dll,-116 = "Kalimba" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\gameux.dll,-10061 = "Spider Solitär" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (int) | \REGISTRY\USER\.DEFAULT\Software\Microsoft\SBE\SAL\CacheHashTableSize = "67" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\wdc.dll,-10030 = "Ressourcenmonitor" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\gameux.dll,-10102 = "Internet-Backgammon" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%windir%\system32\msra.exe,-635 = "Laden Sie einen Freund oder einen Mitarbeiter des technischen Supports ein, eine Verbindung mit dem Computer herzustellen, oder bieten Sie einer anderen Person Hilfe an." | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Program Files\Common Files\System\wab32res.dll,-4602 = "Kontaktdatei" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\gameux.dll,-10057 = "Minesweeper" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%SystemRoot%\system32\gameux.dll,-10301 = "Genießen Sie das klassische Spiel Backgammon. Treten Sie online gegen andere Spieler an, und tragen Sie als erster Spieler alle Ihre Spielsteine vom Brett ab." | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%windir%\system32\FXSRESM.dll,-115 = "Ermöglicht Ihnen, Faxe zu senden und zu empfangen oder Bilder und Dokumente zu scannen." | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (data) | \REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached\{F81B1B56-7613-4EE4-BC05-1FAB5DE5C07E} {886D8EEB-8CF2-4446-8D02-CDBA1DBDCF99} 0xFFFF = 0100000000000000a0c4df43babdda01 | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Key created | \REGISTRY\USER\.DEFAULT\Software\Microsoft\Multimedia\ActiveMovie | C:\Windows\system32\SearchFilterHost.exe | N/A |
| Set value (data) | \REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached\{80009818-F38F-4AF1-87B5-EADAB9433E58} {886D8EEB-8CF2-4446-8D02-CDBA1DBDCF99} 0xFFFF = 010000000000000020931a60babdda01 | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (int) | \REGISTRY\USER\.DEFAULT\Software\Microsoft\SBE\SAL\FileInlineGrowthQuantumSeconds = "30" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@gameux.dll,-10055 = "FreeCell" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\C:\Windows\system32,@elscore.dll,-8 = "Malayalam in lateinische Transkription von Microsoft" | C:\Windows\system32\SearchIndexer.exe | N/A |
| Key created | \REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates | C:\Windows\system32\SearchFilterHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%ProgramFiles%\Windows Journal\Journal.exe,-3075 = "Erstellen Sie Notizen in Ihrer Handschrift. Die handgeschriebenen Notizen können gespeichert, durchsucht oder in Drucktext umgewandelt werden." | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix = "Cookie:" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%systemroot%\system32\Msinfo32.exe,-130 = "Zeigt detaillierte Informationen über den Computer an." | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%CommonProgramFiles%\Microsoft Shared\Ink\TipTsf.dll,-60 = "Geben Sie Text mit einem Stift oder einer Bildschirmtastatur anstelle einer herkömmlichen Tastatur ein. Sie können den Schreibblock oder den Zeichenblock zum Konvertieren des handgeschriebenen Text in Drucktext verwenden oder Zeichen mit der Tastatur eingeben." | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\gameux.dll,-10054 = "Chess Titans" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Program Files\windows journal\journal.exe,-62005 = "Tablet PC" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\SoundRecorder.exe,-100 = "Audiorecorder" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\History\CachePrefix = "Visited:" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\zipfldr.dll,-10195 = "ZIP-komprimierter Ordner" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (int) | \REGISTRY\USER\.DEFAULT\Software\Microsoft\SBE\SAL\CacheLongPageCount = "32" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%SystemRoot%\system32\gameux.dll,-10307 = "Purble Place ist ein Lern- und Unterhaltungsspiel, das drei unterschiedliche Spiele umfasst, mit denen Farben, Formen und Mustererkennung erlernt werden können." | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@gameux.dll,-10056 = "Hearts" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\SampleRes.dll,-118 = "Sleep Away" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (int) | \REGISTRY\USER\.DEFAULT\Software\Microsoft\SBE\SAL\LogMinJobWaitTimeMs = "3000" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\rstrui.exe,-100 = "Systemwiederherstellung" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\dfrgui.exe,-103 = "Defragmentierung" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\NetProjW.dll,-501 = "Verbindung mit Netzwerkprojektor" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%SystemRoot%\system32\sud.dll,-10 = "Wählen Sie die Programme aus, die Windows für Aktivitäten wie Browsen, Bearbeiten von Fotos, Senden von E-Mail oder Musikwiedergabe verwenden soll." | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Key created | \REGISTRY\USER\.DEFAULT\Software | C:\Windows\system32\SearchFilterHost.exe | N/A |
| Key created | \REGISTRY\USER\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (int) | \REGISTRY\USER\.DEFAULT\Software\Microsoft\SBE\SAL\CriticalLowDiskSpace = "1073741824" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%systemroot%\system32\msconfig.exe,-1601 = "Erweiterte Problembehandlung und Systemkonfiguration ausführen" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%ProgramFiles%\DVD Maker\DVDMaker.exe,-63385 = "Brennt Bilder und Videos auf DVD." | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (data) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\LanguageList = 640065002d0044004500000064006500000065006e002d0055005300000065006e0000000000 | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\xpsrchvw.exe,-106 = "XPS-Dokument" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (int) | \REGISTRY\USER\.DEFAULT\Software\Microsoft\SBE\SAL\SwagBitsPerSecond = "19922944" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Key created | \REGISTRY\USER\.DEFAULT\Software\Microsoft\MPEG2Demultiplexer | C:\Windows\system32\SearchFilterHost.exe | N/A |
| Key created | \REGISTRY\USER\.DEFAULT\Software\Microsoft\ActiveMovie | C:\Windows\system32\SearchFilterHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\System32\ieframe.dll,-913 = "MHTML Document" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\MdSched.exe,-4001 = "Windows-Speicherdiagnose" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\C:\Windows\system32,@elscore.dll,-5 = "Microsoft-Transkriptionsmodul" | C:\Windows\system32\SearchIndexer.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%windir%\system32\migwiz\wet.dll,-601 = "Berichte zu den ausgeführten Übertragungen anzeigen" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\SampleRes.dll,-102 = "Wüste" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (int) | \REGISTRY\USER\.DEFAULT\Software\Microsoft\SBE\SAL\LogInitialPageCount = "16" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%systemroot%\system32\comres.dll,-3411 = "Verwalten von COM+-Anwendungen, COM- und DCOM-Systemkonfiguration und Distributed Transaction Coordinator." | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Key created | \REGISTRY\USER\.DEFAULT\Software\Microsoft\ActiveMovie\devenum 64-bit\{4EFE2452-168A-11D1-BC76-00C04FB9453B}\Default MidiOut Device | C:\Windows\system32\SearchFilterHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%SystemRoot%\system32\SoundRecorder.exe,-32790 = "Sounds aufnehmen und auf dem Computer speichern." | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Key created | \REGISTRY\USER\.DEFAULT\SOFTWARE | C:\Windows\system32\SearchFilterHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\miguiresource.dll,-201 = "Aufgabenplanung" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%SystemRoot%\system32\OobeFldr.dll,-33057 = "Machen Sie sich mit den Windows-Funktionen vertraut und fangen Sie an, sie zu verwenden." | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%windir%\system32\mstsc.exe,-4001 = "Stellen Sie mit dem Computer eine Verbindung mit einem Computer an einem anderen Ort her und führen Sie Programme aus bzw. greifen Sie auf Dateien zu." | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@C:\Windows\system32\gameux.dll,-10056 = "Hearts" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@gameux.dll,-10059 = "Mahjong Titans" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\@%systemroot%\system32\XpsRchVw.exe,-103 = "XPS-Dokumente anzeigen, digital signieren und Berechtigungen dafür festlegen" | C:\Windows\system32\SearchProtocolHost.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\C:\Windows\system32,@elscore.dll,-4 = "Transkription von Chinesisch (vereinfacht) in Chinesisch (traditionell) von Microsoft" | C:\Windows\system32\SearchIndexer.exe | N/A |
| Set value (str) | \REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2D\67BDC06\C:\Windows\system32,@elscore.dll,-3 = "Transkription von Chinesisch (traditionell) in Chinesisch (vereinfacht) von Microsoft" | C:\Windows\system32\SearchIndexer.exe | N/A |
| Key created | \REGISTRY\USER\.DEFAULT\Software\Microsoft\Direct3D\MostRecentApplication | C:\Windows\system32\SearchFilterHost.exe | N/A |
Suspicious use of AdjustPrivilegeToken
| Description | Indicator | Process | Target |
| Token: SeManageVolumePrivilege | N/A | C:\Windows\system32\SearchIndexer.exe | N/A |
| Token: 33 | N/A | C:\Windows\system32\SearchIndexer.exe | N/A |
| Token: SeIncBasePriorityPrivilege | N/A | C:\Windows\system32\SearchIndexer.exe | N/A |
Suspicious use of SetWindowsHookEx
Suspicious use of WriteProcessMemory
Processes
C:\Users\Admin\AppData\Local\Temp\AnyLoaderV3.5.exe
"C:\Users\Admin\AppData\Local\Temp\AnyLoaderV3.5.exe"
C:\Windows\explorer.exe
"C:\Windows\explorer.exe"
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\SearchIndexer.exe /Embedding
C:\Windows\system32\SearchProtocolHost.exe
"C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-39690363-730359138-1046745555-10001_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-39690363-730359138-1046745555-10001 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon" "1"
C:\Windows\system32\SearchFilterHost.exe
"C:\Windows\system32\SearchFilterHost.exe" 0 512 516 524 65536 520
C:\Windows\system32\SearchProtocolHost.exe
"C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe2_ Global\UsGthrCtrlFltPipeMssGthrPipe2 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon"
C:\Windows\system32\SearchFilterHost.exe
"C:\Windows\system32\SearchFilterHost.exe" 0 512 516 524 65536 520
Network
Files
memory/480-0-0x00000000017B0000-0x00000000017C0000-memory.dmp
memory/480-16-0x00000000018B0000-0x00000000018C0000-memory.dmp
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS.log
| MD5 | 6055cf892a89d7a80ac91f0125a0a6fa |
| SHA1 | 5af1dedba22b09023d03de76835bc4768bc83c6c |
| SHA256 | c7ce31c965c402bd66d9dc2e42f0bcc29779308c94a2d0885da493349d464b99 |
| SHA512 | cc37c0078e792b93ac75d4dc4469dab3cfde4dfe9c64af8a4c0284b183f9ea9949baf11b3cef646e778af91ea9b7f4fe4d82a531098cac595ffbe335a841ed6c |
memory/480-39-0x0000000002B40000-0x0000000002B48000-memory.dmp
memory/480-45-0x0000000002BE0000-0x0000000002BE1000-memory.dmp
memory/480-51-0x0000000002B40000-0x0000000002B48000-memory.dmp
memory/480-53-0x0000000002AF0000-0x0000000002AF1000-memory.dmp
memory/480-62-0x0000000002BA0000-0x0000000002BA8000-memory.dmp
memory/480-68-0x00000000033B0000-0x00000000033B8000-memory.dmp
memory/480-74-0x0000000004790000-0x0000000004791000-memory.dmp
memory/480-78-0x0000000004BE0000-0x0000000004BE8000-memory.dmp
memory/480-79-0x0000000004BD0000-0x0000000004BD1000-memory.dmp
memory/480-86-0x0000000004BD0000-0x0000000004BD8000-memory.dmp
memory/480-90-0x00000000037D0000-0x00000000037D1000-memory.dmp
memory/480-93-0x0000000005220000-0x0000000005221000-memory.dmp
memory/480-99-0x0000000005260000-0x0000000005268000-memory.dmp
memory/480-100-0x0000000005360000-0x0000000005368000-memory.dmp
memory/480-101-0x0000000005350000-0x0000000005351000-memory.dmp
Analysis: behavioral2
Detonation Overview
Submitted
2024-06-13 17:47
Reported
2024-06-13 17:53
Platform
win10v2004-20240508-de
Max time kernel
51s
Max time network
52s
Command Line
Signatures
Processes
C:\Users\Admin\AppData\Local\Temp\AnyLoaderV3.5.exe
"C:\Users\Admin\AppData\Local\Temp\AnyLoaderV3.5.exe"