xworm | f9893dff26df005089614d3b3f3de8b9a9b1a67cd2081345c1973f420350eac7

Analysis

max time kernel
1095s
max time network
1087s
platform
windows7_x64
resource
win7-20240508-en
resource tags

arch:x64arch:x86image:win7-20240508-enlocale:en-usos:windows7-x64system
submitted
01-07-2024 16:34

Sharing

Copy URL

Twitter E-mail

Reason

Machine shutdown

Report Analysis Logs

General

Target

RobloxCheat.exe
Size

61KB
MD5

1173330bc76af605137db64a6377f523
SHA1

09713c6e32cc1304dcb40604a1695d7830ceffe3
SHA256

f9893dff26df005089614d3b3f3de8b9a9b1a67cd2081345c1973f420350eac7
SHA512

57baf32951fb5f23758154eee655773de8d1a11552a97ea8bf52368c2d8d4869ef410ed76f29575aebb09e5454bd5844863fbdeb05952f2b0e76091712b32b24
SSDEEP

1536:oHdD3qptlFkbr9H8pV2Vi6lMVOElJJuJXc:Kxq3kbrx8pMVeOElJcJM

Score

10^/10

xworm execution persistence pyinstaller rat trojan upx

Malware Config

Extracted

Family

xworm

amount-acceptance.gl.at.ply.gg:7420

Attributes

Install_directory
%ProgramData%
install_file
svchost.exe

Signatures

Detect Xworm Payload 12 IoCs

resource	yara_rule
behavioral2/memory/1736-1-0x00000000003C0000-0x00000000003D6000-memory.dmp	family_xworm
behavioral2/files/0x0011000000012272-36.dat	family_xworm
behavioral2/memory/1528-38-0x0000000001220000-0x0000000001236000-memory.dmp	family_xworm
behavioral2/memory/2624-150-0x0000000000010000-0x0000000000026000-memory.dmp	family_xworm
behavioral2/memory/2660-152-0x0000000000E70000-0x0000000000E86000-memory.dmp	family_xworm
behavioral2/memory/2244-163-0x0000000001150000-0x0000000001166000-memory.dmp	family_xworm
behavioral2/memory/1808-174-0x00000000012B0000-0x00000000012C6000-memory.dmp	family_xworm
behavioral2/memory/15756-187-0x0000000001120000-0x0000000001136000-memory.dmp	family_xworm
behavioral2/memory/21368-190-0x00000000001B0000-0x00000000001C6000-memory.dmp	family_xworm
behavioral2/memory/22668-192-0x0000000000C80000-0x0000000000C96000-memory.dmp	family_xworm
behavioral2/memory/23928-194-0x0000000000060000-0x0000000000076000-memory.dmp	family_xworm
behavioral2/memory/24968-196-0x00000000009F0000-0x0000000000A06000-memory.dmp	family_xworm

Xworm
Xworm is a remote access trojan written in C#.
trojan rat xworm

Command and Scripting Interpreter: PowerShell 1 TTPs 4 IoCs

Run Powershell to modify Windows Defender settings to add exclusions for file extensions, paths, and processes.

execution

PowerShell

T1059.001

pid	Process
2896	powershell.exe
2700	powershell.exe
2356	powershell.exe
2876	powershell.exe

Drops startup file 2 IoCs

description	ioc	Process
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk	RobloxCheat.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk	RobloxCheat.exe

Executes dropped EXE 21 IoCs

pid	Process
1528	svchost.exe
1036	zujuvr.exe
968	zujuvr.exe
1208	Process not Found
2624	svchost.exe
2660	svchost.exe
2244	svchost.exe
1808	svchost.exe
1108	svchost.exe
1668	svchost.exe
15756	svchost.exe
19388	svchost.exe
21368	svchost.exe
22668	Process not Found
23928	Process not Found
24968	Process not Found
26020	Process not Found
1812	Process not Found
21100	Process not Found
35520	Process not Found
35668	Process not Found

Loads dropped DLL 4 IoCs

pid	Process
1736	RobloxCheat.exe
1036	zujuvr.exe
968	zujuvr.exe
1208	Process not Found

UPX packed file 2 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/files/0x000500000001941d-95.dat	upx
behavioral2/memory/968-97-0x000007FEEFC20000-0x000007FEF0208000-memory.dmp	upx

Adds Run key to start application 2 TTPs 1 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-3691908287-3775019229-3534252667-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\ProgramData\\svchost.exe"	RobloxCheat.exe

Detects Pyinstaller 1 IoCs

pyinstaller

resource	yara_rule
behavioral2/files/0x0004000000004ed7-41.dat	pyinstaller

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Kills process with taskkill 1 IoCs

evasion

pid	Process
2908	taskkill.exe

Scheduled Task/Job: Scheduled Task 1 TTPs 1 IoCs

Schtasks is often used by malware for persistence or to perform post-infection execution.

persistence execution

Scheduled Task

T1053.005

pid	Process
2536	schtasks.exe

Suspicious behavior: EnumeratesProcesses 4 IoCs

pid	Process
2356	powershell.exe
2876	powershell.exe
2896	powershell.exe
2700	powershell.exe

Suspicious use of AdjustPrivilegeToken 22 IoCs

description	pid	Process
Token: SeDebugPrivilege	1736	RobloxCheat.exe
Token: SeDebugPrivilege	2356	powershell.exe
Token: SeDebugPrivilege	2876	powershell.exe
Token: SeDebugPrivilege	2896	powershell.exe
Token: SeDebugPrivilege	2700	powershell.exe
Token: SeDebugPrivilege	1736	RobloxCheat.exe
Token: SeDebugPrivilege	1528	svchost.exe
Token: SeDebugPrivilege	2624	svchost.exe
Token: SeDebugPrivilege	2660	svchost.exe
Token: SeDebugPrivilege	2244	svchost.exe
Token: SeDebugPrivilege	1808	svchost.exe
Token: SeDebugPrivilege	1108	svchost.exe
Token: SeDebugPrivilege	1668	svchost.exe
Token: SeDebugPrivilege	2908	taskkill.exe
Token: SeDebugPrivilege	15756	svchost.exe
Token: SeDebugPrivilege	19388	svchost.exe
Token: SeDebugPrivilege	21368	svchost.exe
Token: SeDebugPrivilege	22668	Process not Found
Token: SeDebugPrivilege	23928	Process not Found
Token: SeShutdownPrivilege	21512	Process not Found
Token: SeRemoteShutdownPrivilege	21512	Process not Found
Token: SeDebugPrivilege	24968	Process not Found

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1736 wrote to memory of 2356	1736	RobloxCheat.exe	28
PID 1736 wrote to memory of 2356	1736	RobloxCheat.exe	28
PID 1736 wrote to memory of 2356	1736	RobloxCheat.exe	28
PID 1736 wrote to memory of 2876	1736	RobloxCheat.exe	30
PID 1736 wrote to memory of 2876	1736	RobloxCheat.exe	30
PID 1736 wrote to memory of 2876	1736	RobloxCheat.exe	30
PID 1736 wrote to memory of 2896	1736	RobloxCheat.exe	32
PID 1736 wrote to memory of 2896	1736	RobloxCheat.exe	32
PID 1736 wrote to memory of 2896	1736	RobloxCheat.exe	32
PID 1736 wrote to memory of 2700	1736	RobloxCheat.exe	34
PID 1736 wrote to memory of 2700	1736	RobloxCheat.exe	34
PID 1736 wrote to memory of 2700	1736	RobloxCheat.exe	34
PID 1736 wrote to memory of 2536	1736	RobloxCheat.exe	36
PID 1736 wrote to memory of 2536	1736	RobloxCheat.exe	36
PID 1736 wrote to memory of 2536	1736	RobloxCheat.exe	36
PID 328 wrote to memory of 1528	328	taskeng.exe	42
PID 328 wrote to memory of 1528	328	taskeng.exe	42
PID 328 wrote to memory of 1528	328	taskeng.exe	42
PID 1736 wrote to memory of 1036	1736	RobloxCheat.exe	43
PID 1736 wrote to memory of 1036	1736	RobloxCheat.exe	43
PID 1736 wrote to memory of 1036	1736	RobloxCheat.exe	43
PID 1036 wrote to memory of 968	1036	zujuvr.exe	44
PID 1036 wrote to memory of 968	1036	zujuvr.exe	44
PID 1036 wrote to memory of 968	1036	zujuvr.exe	44
PID 328 wrote to memory of 2624	328	taskeng.exe	46
PID 328 wrote to memory of 2624	328	taskeng.exe	46
PID 328 wrote to memory of 2624	328	taskeng.exe	46
PID 328 wrote to memory of 2660	328	taskeng.exe	47
PID 328 wrote to memory of 2660	328	taskeng.exe	47
PID 328 wrote to memory of 2660	328	taskeng.exe	47
PID 1736 wrote to memory of 2512	1736	RobloxCheat.exe	48
PID 1736 wrote to memory of 2512	1736	RobloxCheat.exe	48
PID 1736 wrote to memory of 2512	1736	RobloxCheat.exe	48
PID 2512 wrote to memory of 2520	2512	cmd.exe	50
PID 2512 wrote to memory of 2520	2512	cmd.exe	50
PID 2512 wrote to memory of 2520	2512	cmd.exe	50
PID 2520 wrote to memory of 2544	2520	cmd.exe	51
PID 2520 wrote to memory of 2544	2520	cmd.exe	51
PID 2520 wrote to memory of 2544	2520	cmd.exe	51
PID 328 wrote to memory of 2244	328	taskeng.exe	53
PID 328 wrote to memory of 2244	328	taskeng.exe	53
PID 328 wrote to memory of 2244	328	taskeng.exe	53
PID 1736 wrote to memory of 1012	1736	RobloxCheat.exe	54
PID 1736 wrote to memory of 1012	1736	RobloxCheat.exe	54
PID 1736 wrote to memory of 1012	1736	RobloxCheat.exe	54
PID 328 wrote to memory of 1808	328	taskeng.exe	56
PID 328 wrote to memory of 1808	328	taskeng.exe	56
PID 328 wrote to memory of 1808	328	taskeng.exe	56
PID 328 wrote to memory of 1108	328	taskeng.exe	57
PID 328 wrote to memory of 1108	328	taskeng.exe	57
PID 328 wrote to memory of 1108	328	taskeng.exe	57
PID 328 wrote to memory of 1668	328	taskeng.exe	58
PID 328 wrote to memory of 1668	328	taskeng.exe	58
PID 328 wrote to memory of 1668	328	taskeng.exe	58
PID 1736 wrote to memory of 2208	1736	RobloxCheat.exe	59
PID 1736 wrote to memory of 2208	1736	RobloxCheat.exe	59
PID 1736 wrote to memory of 2208	1736	RobloxCheat.exe	59
PID 2208 wrote to memory of 2908	2208	cmd.exe	61
PID 2208 wrote to memory of 2908	2208	cmd.exe	61
PID 2208 wrote to memory of 2908	2208	cmd.exe	61
PID 2208 wrote to memory of 2308	2208	cmd.exe	63
PID 2208 wrote to memory of 2308	2208	cmd.exe	63
PID 2208 wrote to memory of 2308	2208	cmd.exe	63
PID 2208 wrote to memory of 1996	2208	cmd.exe	64

Uses Task Scheduler COM API 1 TTPs
The Task Scheduler COM API can be used to schedule applications to run on boot or at set times.
persistence

Query Registry
T1012

C:\Users\Admin\AppData\Local\Temp\RobloxCheat.exe
"C:\Users\Admin\AppData\Local\Temp\RobloxCheat.exe"
1⤵
- Drops startup file
- Loads dropped DLL
- Adds Run key to start application
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1736
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp\RobloxCheat.exe'
  2⤵
  - Command and Scripting Interpreter: PowerShell
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  PID:2356
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'RobloxCheat.exe'
  2⤵
  - Command and Scripting Interpreter: PowerShell
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  PID:2876
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\ProgramData\svchost.exe'
  2⤵
  - Command and Scripting Interpreter: PowerShell
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  PID:2896
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'svchost.exe'
  2⤵
  - Command and Scripting Interpreter: PowerShell
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  PID:2700
- C:\Windows\System32\schtasks.exe
  "C:\Windows\System32\schtasks.exe" /create /f /RL HIGHEST /sc minute /mo 1 /tn "svchost" /tr "C:\ProgramData\svchost.exe"
  2⤵
  - Scheduled Task/Job: Scheduled Task
  PID:2536
- C:\Users\Admin\AppData\Local\Temp\zujuvr.exe
  "C:\Users\Admin\AppData\Local\Temp\zujuvr.exe"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:1036
- - C:\Users\Admin\AppData\Local\Temp\zujuvr.exe
    "C:\Users\Admin\AppData\Local\Temp\zujuvr.exe"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:968
- C:\Windows\system32\cmd.exe
  cmd /c ""C:\Users\Admin\AppData\Local\Temp\uetods.bat" "
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2512
- - C:\Windows\system32\cmd.exe
    cmd /c start cmd
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:2520
  - - C:\Windows\system32\cmd.exe
      cmd
      4⤵
      PID:2544
- C:\Windows\system32\cmd.exe
  cmd /c ""C:\Users\Admin\AppData\Local\Temp\jdzlfo.bat" "
  2⤵
  PID:1012
- C:\Windows\system32\cmd.exe
  cmd /c ""C:\Users\Admin\AppData\Local\Temp\hkktgv.bat" "
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2208
- - C:\Windows\system32\taskkill.exe
    taskkill /im explorer.exe /f
    3⤵
    - Kills process with taskkill
    - Suspicious use of AdjustPrivilegeToken
    PID:2908
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2308
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1996
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1336
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1624
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1880
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1956
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2132
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2276
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2304
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:892
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1380
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2404
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2884
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1516
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1676
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2320
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2396
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2400
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1640
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2168
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:904
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1536
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3024
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1828
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1612
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:928
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1324
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1256
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1416
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3036
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2772
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2672
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2952
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2516
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2192
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1244
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2720
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:628
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1656
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1876
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1344
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2180
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1456
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1772
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2980
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1236
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2860
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1528
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2432
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:716
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:788
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2204
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1712
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1652
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:912
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1116
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1204
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1500
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2836
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1596
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1400
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3004
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:844
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1544
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:940
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2344
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2428
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2600
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1816
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1220
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1608
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1848
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3092
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3112
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3136
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3148
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3156
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3184
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3192
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3208
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3228
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3240
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3256
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3272
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3284
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3308
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3328
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3336
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3344
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3364
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3372
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3380
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3412
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3432
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3464
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3496
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3536
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3544
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3568
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3580
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3588
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3612
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3640
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3664
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3688
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3724
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3740
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3768
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3792
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3820
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3856
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3880
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3904
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3936
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3960
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3976
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3984
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4024
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4044
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4052
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4064
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4092
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3220
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3360
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3512
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3652
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3764
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3972
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4108
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4116
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4156
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4172
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4208
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4228
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4272
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4288
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4316
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4336
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4352
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4388
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4412
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4448
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4472
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4492
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4524
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4544
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4564
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4592
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4620
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4652
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4676
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4696
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4724
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4748
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4764
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4780
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4800
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4824
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4848
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4868
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4904
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4924
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4936
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4960
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4988
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5008
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5032
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5056
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5084
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5104
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4088
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4100
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4204
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4348
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4692
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4836
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4972
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5128
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5172
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5196
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5212
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5232
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5264
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5276
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5316
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5336
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5360
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5388
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5404
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5424
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5456
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5480
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5508
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5528
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5544
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5584
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5604
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5624
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5644
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5676
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5700
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5724
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5748
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5772
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5788
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5820
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5844
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5868
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5892
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5924
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5932
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5968
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5996
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6020
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6044
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6064
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6084
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6116
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6136
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4300
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5168
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5312
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5452
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5720
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5816
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6012
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6132
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6172
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6200
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6224
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6244
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6264
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6296
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6320
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6344
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6364
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6388
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6412
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6428
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6460
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6492
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6508
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6532
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6584
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6600
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6628
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6652
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6660
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6692
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6704
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6728
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6784
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6808
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6832
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6852
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6880
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6904
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6924
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6952
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6972
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6992
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7020
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7040
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7056
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7092
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7116
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7136
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7152
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5524
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6112
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6340
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6456
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6552
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6740
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6828
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7012
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7176
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7192
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7220
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7248
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7268
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7292
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7320
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7336
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7368
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7388
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7408
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7424
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7456
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7476
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7508
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7524
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7576
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7600
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7616
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7652
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7672
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7696
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7720
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7740
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7772
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7796
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7816
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7832
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7856
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7880
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7912
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7936
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7960
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7984
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8012
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8036
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8060
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8084
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8108
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8132
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8152
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8180
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5400
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6900
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7288
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7440
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7552
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7648
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7844
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7932
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8196
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8220
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8244
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8268
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8288
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8312
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8332
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8364
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8380
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8412
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8428
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8456
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8480
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8504
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8520
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8544
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8596
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8616
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8632
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8664
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8684
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8708
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8724
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8776
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8788
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8816
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8844
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8872
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8888
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8920
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8944
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8972
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8988
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9004
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9036
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9068
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9088
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9116
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9128
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9168
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9176
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9204
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8176
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7716
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8264
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8408
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8704
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8884
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9000
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9220
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9240
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9260
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9284
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9320
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9336
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9376
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9392
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9420
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9448
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9472
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9488
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9508
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9528
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9568
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9588
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9604
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9636
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9660
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9680
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9712
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9928
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9956
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9984
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10016
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10040
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10076
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10100
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10124
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10172
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10192
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10232
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8644
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9232
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9416
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9520
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9708
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10072
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10252
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10288
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10308
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10336
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10352
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10384
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10404
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10432
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10460
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10480
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10496
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10528
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10544
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10568
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10592
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10620
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10640
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10664
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10684
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10708
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10732
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10776
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10800
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10832
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10852
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10884
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10904
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10928
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10948
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10972
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10996
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11016
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11040
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11076
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11092
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11124
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11168
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11184
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11208
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11232
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11256
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10220
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10248
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10380
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10508
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10656
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10828
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10900
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11052
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11272
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11288
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11320
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11348
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11368
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11392
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11420
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11432
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11456
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11492
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11520
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11532
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11568
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11600
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11620
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11640
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11668
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11696
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11724
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11740
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11764
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11796
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11820
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11836
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11864
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11888
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11920
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11940
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11968
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11984
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12004
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12028
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12052
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12080
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12108
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12124
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12156
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12184
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12196
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12232
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12252
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12276
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11244
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10720
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:356
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11416
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11544
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11692
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11792
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12016
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12152
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12300
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12312
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12344
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12360
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12392
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12412
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12436
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12468
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12492
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12516
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12524
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12564
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12588
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12612
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12628
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12652
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12672
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12704
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12728
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12752
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12772
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12800
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12816
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12840
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12876
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12888
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12916
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12944
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12960
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12992
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13004
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13028
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13060
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13076
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13100
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13132
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13160
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13184
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13200
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13224
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13260
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13272
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13304
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:668
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11884
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12424
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12512
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12688
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12784
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12940
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13128
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13320
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13336
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13364
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13388
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13404
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13436
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13460
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13480
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13500
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13532
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13572
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13596
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13624
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13652
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13668
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13692
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13720
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13748
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13772
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13796
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13808
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13848
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13864
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13892
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13916
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13932
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13964
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13980
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14008
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14024
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14056
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14088
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14096
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14136
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14160
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14180
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14196
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14216
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14240
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14268
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14292
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14324
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13296
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13112
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13456
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13584
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13680
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13820
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11584
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14132
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14340
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14372
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14392
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14428
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14444
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14460
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14492
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14516
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14548
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14564
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14588
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14620
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14644
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14664
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14692
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14716
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14732
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14792
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14804
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14832
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14852
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14876
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14912
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14924
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14960
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14972
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15004
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15032
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15048
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15076
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15092
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15116
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15164
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15192
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15220
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15236
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15260
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15292
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15304
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15336
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15352
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13432
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14112
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14456
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13380
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14744
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14864
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15028
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15180
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15372
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15400
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15412
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15444
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15472
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15496
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15508
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15540
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15560
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15596
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15616
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15632
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15656
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15688
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15708
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15736
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15776
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15808
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15832
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15868
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15880
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15904
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15940
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15960
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15984
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16004
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16032
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16056
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16072
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16104
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16120
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16148
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16168
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16204
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16216
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16244
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16268
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16292
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16312
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16336
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16360
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15332
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13888
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15104
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15552
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15684
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15844
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1628
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16028
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16180
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16392
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16420
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16444
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16468
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16484
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16520
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16536
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16572
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16592
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16612
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16640
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16664
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16684
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16712
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16728
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16788
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16812
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16836
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16872
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16888
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16924
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16948
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16972
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16988
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17020
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17036
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17068
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17084
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17116
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17132
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17156
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17180
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17212
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17232
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17252
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17276
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17312
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17332
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17360
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17388
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17404
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15668
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16440
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:820
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2736
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:316
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16744
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16900
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17016
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17244
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17356
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17424
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17456
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17468
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17496
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17524
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17576
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17608
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17620
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17644
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17664
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17692
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17724
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17740
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17768
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17788
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17816
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17844
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17872
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17884
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17912
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17940
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17972
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17996
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18032
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18052
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18076
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18100
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18120
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18164
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18180
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18204
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18236
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18248
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18280
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18312
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18328
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18352
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18376
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18396
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15320
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16708
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11504
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17452
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17548
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9736
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9880
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17780
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17856
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9848
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17992
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9816
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18140
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18200
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9868
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18364
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9812
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2016
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16100
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15756
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17520
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9952
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18436
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18464
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18480
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18508
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18532
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18552
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18568
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18596
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18636
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18644
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18668
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18708
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18724
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18748
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18768
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18800
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18816
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18836
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18876
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18888
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18908
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18940
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18960
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18988
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19012
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19048
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19072
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19088
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19120
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19160
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19168
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19192
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19212
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19252
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19268
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19288
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19324
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19344
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19368
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19408
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19436
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1744
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9820
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17400
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:856
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18660
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18872
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2188
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1972
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2292
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19188
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19340
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19464
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19500
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19524
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19584
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19600
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19632
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19652
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19668
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19704
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19724
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19736
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19780
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19804
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19836
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19856
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19884
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19904
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19924
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19944
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19968
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20000
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20016
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20048
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20080
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20100
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20116
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20148
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20176
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20216
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20236
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20256
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20284
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20308
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20356
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20376
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20404
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20420
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20428
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20464
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19404
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19452
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18632
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1812
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19552
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19700
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19752
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19980
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20096
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20272
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20280
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20444
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20496
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20532
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20576
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20604
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20620
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20648
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20688
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20716
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20736
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20764
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20788
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20804
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20832
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20848
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20872
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20900
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20920
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20940
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20956
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20988
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21016
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21040
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21064
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21088
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21100
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21124
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21156
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21192
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21220
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21236
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21260
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21296
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21320
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21348
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21388
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21408
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21440
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21456
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21480
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20200
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20460
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20076
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20632
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19488
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20800

C:\Windows\system32\taskeng.exe
taskeng.exe {D621781F-6889-4E0A-BBFA-F01A8E5B37E0} S-1-5-21-3691908287-3775019229-3534252667-1000:UOTHCPHQ\Admin:Interactive:[1]
1⤵
- Suspicious use of WriteProcessMemory
PID:328
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:1528
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:2624
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:2660
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:2244
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:1808
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:1108
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:1668
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:15756
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:19388
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:21368

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Command and Scripting Interpreter

T1059

PowerShell

T1059.001

Scheduled Task/Job

T1053

Scheduled Task

T1053.005

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Scheduled Task/Job

T1053

Scheduled Task

T1053.005

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Scheduled Task/Job

T1053

Scheduled Task

T1053.005

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\ProgramData\svchost.exe

Filesize
61KB

MD5
1173330bc76af605137db64a6377f523

SHA1
09713c6e32cc1304dcb40604a1695d7830ceffe3

SHA256
f9893dff26df005089614d3b3f3de8b9a9b1a67cd2081345c1973f420350eac7

SHA512
57baf32951fb5f23758154eee655773de8d1a11552a97ea8bf52368c2d8d4869ef410ed76f29575aebb09e5454bd5844863fbdeb05952f2b0e76091712b32b24

Download Submit
C:\Users\Admin\AppData\Local\Temp\_MEI10362\python311.dll

Filesize
1.6MB

MD5
db09c9bbec6134db1766d369c339a0a1

SHA1
c156d9f2d0e80b4cf41794cd9b8b1e8a352e0a0b

SHA256
b1aac1e461174bbae952434e4dac092590d72b9832a04457c94bd9bb7ee8ad79

SHA512
653a7fff6a2b6bffb9ea2c0b72ddb83c9c53d555e798eea47101b0d932358180a01af2b9dab9c27723057439c1eaffb8d84b9b41f6f9cd1c3c934f1794104d45

Download Submit
C:\Users\Admin\AppData\Local\Temp\hkktgv.bat

Filesize
51B

MD5
cbfffb87479b53144737f7fa4148bf8d

SHA1
33ab72c34538eeb1e00d79b7375f7cdadf98cc2b

SHA256
590a3129e4f591643ae15e6128661de495a35f05f8015670c96eda8f3b76498e

SHA512
48e88adbb8b80395f2b5fafc388b2d2649bbe8a5c17e5e6966cd2d615b3f3edc6ae3c3e6586fd178d59f3a3b6fa7ed03409beb1f22b155c60507aebcac6372a7

Download Submit
C:\Users\Admin\AppData\Local\Temp\jdzlfo.bat

Filesize
27B

MD5
1e6df7de30802acf3416101eca22ec1f

SHA1
c42cf8ef0cbd35c6c22e39a9af7990d80a2b5670

SHA256
eaee51673113c02285289083f6f4b9565369a13ebde9cc51673fe03abe97d9cd

SHA512
4bb9a7324f4a085c0e78344f5a3eaebebdd01850feb05f5ef154eeefb2530e356a609b8c46e2b191ed5b0d8b6dcc1fdded42124721c3d8d6f2d78cd12630b0c9

Download Submit
C:\Users\Admin\AppData\Local\Temp\uetods.bat

Filesize
22B

MD5
c5b094cf51e0ac6889d1c6d8184d0c90

SHA1
4a9c231222f816fc19d6ac6567cbccf8dd92c362

SHA256
c72c30d505e611afdc46d571141d1bcf78414cb6b09e24b3189950b3e47a5b05

SHA512
a8bcb267503b4d02ccaf39bbac02ee486eda4e320bd71d6deba5eccc7c7602d552ed733af838b64d7b37204925c2619d5169b2c88847eda010c008ddba0f4131

Download Submit
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms

Filesize
7KB

MD5
b80cf9d18ee70b4019ef17185e6e90a4

SHA1
4f6ce77e51fdc33deff710daf21b815718df9f84

SHA256
63725d500f9e6787a559783037846874c86c5dcd1969d212d0ff6064370005ad

SHA512
13fef8fa98031f4bc6d2c0ff327ea88eebc27c09fc44e8af8d2c1e03f8590776f358076ce9bbb80c82dc37f7fc4c7db906e12f6de7eb09925f641886dcfa2df9

Download Submit
\Users\Admin\AppData\Local\Temp\zujuvr.exe

Filesize
12.3MB

MD5
88b4216901024cb13cdbfde9f7313739

SHA1
4e3a8bf8620ef7c02d33a895f35859fc5c299947

SHA256
68f2fd65f54c0a4027b60ab8aac12e250003d84979c889b716b55e38820da436

SHA512
cde67dbf72c6bacfbafa4898ae09c0bcc3cea8456165036ae746060d6d422cf8a0fec834658c72ae73530cb33abd2b28eeb7a6ed9474cc5dd61e2c15a64a5d1e

Download Submit
memory/968-97-0x000007FEEFC20000-0x000007FEF0208000-memory.dmp

Filesize
5.9MB

Download
memory/1528-38-0x0000000001220000-0x0000000001236000-memory.dmp

Filesize
88KB

Download
memory/1736-32-0x000007FEF5F83000-0x000007FEF5F84000-memory.dmp

Filesize
4KB

Download
memory/1736-33-0x000000001B410000-0x000000001B490000-memory.dmp

Filesize
512KB

Download
memory/1736-148-0x0000000000550000-0x0000000000560000-memory.dmp

Filesize
64KB

Download
memory/1736-31-0x000000001B410000-0x000000001B490000-memory.dmp

Filesize
512KB

Download
memory/1736-1-0x00000000003C0000-0x00000000003D6000-memory.dmp

Filesize
88KB

Download
memory/1736-0-0x000007FEF5F83000-0x000007FEF5F84000-memory.dmp

Filesize
4KB

Download
memory/1808-174-0x00000000012B0000-0x00000000012C6000-memory.dmp

Filesize
88KB

Download
memory/2244-163-0x0000000001150000-0x0000000001166000-memory.dmp

Filesize
88KB

Download
memory/2356-8-0x0000000001E20000-0x0000000001E28000-memory.dmp

Filesize
32KB

Download
memory/2356-7-0x000000001B700000-0x000000001B9E2000-memory.dmp

Filesize
2.9MB

Download
memory/2356-6-0x0000000002E40000-0x0000000002EC0000-memory.dmp

Filesize
512KB

Download
memory/2624-150-0x0000000000010000-0x0000000000026000-memory.dmp

Filesize
88KB

Download
memory/2660-152-0x0000000000E70000-0x0000000000E86000-memory.dmp

Filesize
88KB

Download
memory/2876-14-0x000000001B630000-0x000000001B912000-memory.dmp

Filesize
2.9MB

Download
memory/2876-15-0x0000000001E70000-0x0000000001E78000-memory.dmp

Filesize
32KB

Download
memory/15756-187-0x0000000001120000-0x0000000001136000-memory.dmp

Filesize
88KB

Download
memory/21368-190-0x00000000001B0000-0x00000000001C6000-memory.dmp

Filesize
88KB

Download
memory/22668-192-0x0000000000C80000-0x0000000000C96000-memory.dmp

Filesize
88KB

Download
memory/23928-194-0x0000000000060000-0x0000000000076000-memory.dmp

Filesize
88KB

Download
memory/24968-196-0x00000000009F0000-0x0000000000A06000-memory.dmp

Filesize
88KB

Download

Analysis

Sharing

Errors

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads