xworm | f9893dff26df005089614d3b3f3de8b9a9b1a67cd2081345c1973f420350eac7

Analysis

max time kernel
1067s
max time network
1070s
platform
windows7_x64
resource
win7-20240611-en
resource tags

arch:x64arch:x86image:win7-20240611-enlocale:en-usos:windows7-x64system
submitted
01-07-2024 16:33

Sharing

Copy URL

Twitter E-mail

Reason

Machine shutdown

Report Analysis Logs

General

Target

RobloxCheat.exe
Size

61KB
MD5

1173330bc76af605137db64a6377f523
SHA1

09713c6e32cc1304dcb40604a1695d7830ceffe3
SHA256

f9893dff26df005089614d3b3f3de8b9a9b1a67cd2081345c1973f420350eac7
SHA512

57baf32951fb5f23758154eee655773de8d1a11552a97ea8bf52368c2d8d4869ef410ed76f29575aebb09e5454bd5844863fbdeb05952f2b0e76091712b32b24
SSDEEP

1536:oHdD3qptlFkbr9H8pV2Vi6lMVOElJJuJXc:Kxq3kbrx8pMVeOElJcJM

Score

10^/10

xworm execution persistence pyinstaller rat trojan upx

Malware Config

Extracted

Family

xworm

amount-acceptance.gl.at.ply.gg:7420

Attributes

Install_directory
%ProgramData%
install_file
svchost.exe

Signatures

Detect Xworm Payload 14 IoCs

resource	yara_rule
behavioral2/memory/2200-1-0x0000000000E90000-0x0000000000EA6000-memory.dmp	family_xworm
behavioral2/files/0x0031000000015c60-35.dat	family_xworm
behavioral2/memory/1648-37-0x0000000000320000-0x0000000000336000-memory.dmp	family_xworm
behavioral2/memory/3040-148-0x0000000001210000-0x0000000001226000-memory.dmp	family_xworm
behavioral2/memory/1552-152-0x0000000000390000-0x00000000003A6000-memory.dmp	family_xworm
behavioral2/memory/1864-154-0x0000000001140000-0x0000000001156000-memory.dmp	family_xworm
behavioral2/memory/2904-165-0x00000000001A0000-0x00000000001B6000-memory.dmp	family_xworm
behavioral2/memory/2144-176-0x00000000003A0000-0x00000000003B6000-memory.dmp	family_xworm
behavioral2/memory/1868-178-0x00000000008E0000-0x00000000008F6000-memory.dmp	family_xworm
behavioral2/memory/1772-180-0x00000000009A0000-0x00000000009B6000-memory.dmp	family_xworm
behavioral2/memory/16472-192-0x0000000000F50000-0x0000000000F66000-memory.dmp	family_xworm
behavioral2/memory/17788-194-0x0000000001380000-0x0000000001396000-memory.dmp	family_xworm
behavioral2/memory/20016-196-0x0000000000BB0000-0x0000000000BC6000-memory.dmp	family_xworm
behavioral2/memory/21288-198-0x0000000000E30000-0x0000000000E46000-memory.dmp	family_xworm

Xworm
Xworm is a remote access trojan written in C#.
trojan rat xworm

Command and Scripting Interpreter: PowerShell 1 TTPs 4 IoCs

Run Powershell to modify Windows Defender settings to add exclusions for file extensions, paths, and processes.

execution

PowerShell

T1059.001

pid	Process
2808	powershell.exe
2800	powershell.exe
2768	powershell.exe
2484	powershell.exe

Drops startup file 2 IoCs

description	ioc	Process
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk	RobloxCheat.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk	RobloxCheat.exe

Executes dropped EXE 20 IoCs

pid	Process
1648	svchost.exe
1120	tivkyi.exe
1916	tivkyi.exe
1344	Process not Found
3040	svchost.exe
1552	svchost.exe
1864	svchost.exe
2904	svchost.exe
2144	svchost.exe
1868	svchost.exe
1772	svchost.exe
14104	svchost.exe
16472	svchost.exe
17788	svchost.exe
20016	svchost.exe
21288	svchost.exe
22508	Process not Found
23476	Process not Found
17848	Process not Found
35388	Process not Found

Loads dropped DLL 4 IoCs

pid	Process
2200	RobloxCheat.exe
1120	tivkyi.exe
1916	tivkyi.exe
1344	Process not Found

UPX packed file 2 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/files/0x00050000000194a7-95.dat	upx
behavioral2/memory/1916-97-0x000007FEED890000-0x000007FEEDE78000-memory.dmp	upx

Adds Run key to start application 2 TTPs 1 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-39690363-730359138-1046745555-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\ProgramData\\svchost.exe"	RobloxCheat.exe

Detects Pyinstaller 1 IoCs

pyinstaller

resource	yara_rule
behavioral2/files/0x000400000000f6e4-41.dat	pyinstaller

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Kills process with taskkill 1 IoCs

evasion

pid	Process
2296	taskkill.exe

Scheduled Task/Job: Scheduled Task 1 TTPs 1 IoCs

Schtasks is often used by malware for persistence or to perform post-infection execution.

persistence execution

Scheduled Task

T1053.005

pid	Process
556	schtasks.exe

Suspicious behavior: EnumeratesProcesses 4 IoCs

pid	Process
2808	powershell.exe
2800	powershell.exe
2768	powershell.exe
2484	powershell.exe

Suspicious use of AdjustPrivilegeToken 23 IoCs

description	pid	Process
Token: SeDebugPrivilege	2200	RobloxCheat.exe
Token: SeDebugPrivilege	2808	powershell.exe
Token: SeDebugPrivilege	2800	powershell.exe
Token: SeDebugPrivilege	2768	powershell.exe
Token: SeDebugPrivilege	2484	powershell.exe
Token: SeDebugPrivilege	2200	RobloxCheat.exe
Token: SeDebugPrivilege	1648	svchost.exe
Token: SeDebugPrivilege	3040	svchost.exe
Token: SeDebugPrivilege	1552	svchost.exe
Token: SeDebugPrivilege	1864	svchost.exe
Token: SeDebugPrivilege	2904	svchost.exe
Token: SeDebugPrivilege	2144	svchost.exe
Token: SeDebugPrivilege	1868	svchost.exe
Token: SeDebugPrivilege	1772	svchost.exe
Token: SeDebugPrivilege	2296	taskkill.exe
Token: SeDebugPrivilege	14104	svchost.exe
Token: SeDebugPrivilege	16472	svchost.exe
Token: SeDebugPrivilege	17788	svchost.exe
Token: SeDebugPrivilege	20016	svchost.exe
Token: SeDebugPrivilege	21288	svchost.exe
Token: SeShutdownPrivilege	18732	shutdown.exe
Token: SeRemoteShutdownPrivilege	18732	shutdown.exe
Token: SeDebugPrivilege	22508	Process not Found

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2200 wrote to memory of 2808	2200	RobloxCheat.exe	28
PID 2200 wrote to memory of 2808	2200	RobloxCheat.exe	28
PID 2200 wrote to memory of 2808	2200	RobloxCheat.exe	28
PID 2200 wrote to memory of 2800	2200	RobloxCheat.exe	30
PID 2200 wrote to memory of 2800	2200	RobloxCheat.exe	30
PID 2200 wrote to memory of 2800	2200	RobloxCheat.exe	30
PID 2200 wrote to memory of 2768	2200	RobloxCheat.exe	32
PID 2200 wrote to memory of 2768	2200	RobloxCheat.exe	32
PID 2200 wrote to memory of 2768	2200	RobloxCheat.exe	32
PID 2200 wrote to memory of 2484	2200	RobloxCheat.exe	34
PID 2200 wrote to memory of 2484	2200	RobloxCheat.exe	34
PID 2200 wrote to memory of 2484	2200	RobloxCheat.exe	34
PID 2200 wrote to memory of 556	2200	RobloxCheat.exe	36
PID 2200 wrote to memory of 556	2200	RobloxCheat.exe	36
PID 2200 wrote to memory of 556	2200	RobloxCheat.exe	36
PID 2072 wrote to memory of 1648	2072	taskeng.exe	42
PID 2072 wrote to memory of 1648	2072	taskeng.exe	42
PID 2072 wrote to memory of 1648	2072	taskeng.exe	42
PID 2200 wrote to memory of 1120	2200	RobloxCheat.exe	43
PID 2200 wrote to memory of 1120	2200	RobloxCheat.exe	43
PID 2200 wrote to memory of 1120	2200	RobloxCheat.exe	43
PID 1120 wrote to memory of 1916	1120	tivkyi.exe	44
PID 1120 wrote to memory of 1916	1120	tivkyi.exe	44
PID 1120 wrote to memory of 1916	1120	tivkyi.exe	44
PID 2072 wrote to memory of 3040	2072	taskeng.exe	45
PID 2072 wrote to memory of 3040	2072	taskeng.exe	45
PID 2072 wrote to memory of 3040	2072	taskeng.exe	45
PID 2072 wrote to memory of 1552	2072	taskeng.exe	47
PID 2072 wrote to memory of 1552	2072	taskeng.exe	47
PID 2072 wrote to memory of 1552	2072	taskeng.exe	47
PID 2072 wrote to memory of 1864	2072	taskeng.exe	48
PID 2072 wrote to memory of 1864	2072	taskeng.exe	48
PID 2072 wrote to memory of 1864	2072	taskeng.exe	48
PID 2200 wrote to memory of 972	2200	RobloxCheat.exe	49
PID 2200 wrote to memory of 972	2200	RobloxCheat.exe	49
PID 2200 wrote to memory of 972	2200	RobloxCheat.exe	49
PID 972 wrote to memory of 1664	972	cmd.exe	51
PID 972 wrote to memory of 1664	972	cmd.exe	51
PID 972 wrote to memory of 1664	972	cmd.exe	51
PID 1664 wrote to memory of 1612	1664	cmd.exe	52
PID 1664 wrote to memory of 1612	1664	cmd.exe	52
PID 1664 wrote to memory of 1612	1664	cmd.exe	52
PID 2072 wrote to memory of 2904	2072	taskeng.exe	54
PID 2072 wrote to memory of 2904	2072	taskeng.exe	54
PID 2072 wrote to memory of 2904	2072	taskeng.exe	54
PID 2200 wrote to memory of 1588	2200	RobloxCheat.exe	55
PID 2200 wrote to memory of 1588	2200	RobloxCheat.exe	55
PID 2200 wrote to memory of 1588	2200	RobloxCheat.exe	55
PID 2072 wrote to memory of 2144	2072	taskeng.exe	57
PID 2072 wrote to memory of 2144	2072	taskeng.exe	57
PID 2072 wrote to memory of 2144	2072	taskeng.exe	57
PID 2072 wrote to memory of 1868	2072	taskeng.exe	58
PID 2072 wrote to memory of 1868	2072	taskeng.exe	58
PID 2072 wrote to memory of 1868	2072	taskeng.exe	58
PID 2072 wrote to memory of 1772	2072	taskeng.exe	59
PID 2072 wrote to memory of 1772	2072	taskeng.exe	59
PID 2072 wrote to memory of 1772	2072	taskeng.exe	59
PID 2200 wrote to memory of 1212	2200	RobloxCheat.exe	60
PID 2200 wrote to memory of 1212	2200	RobloxCheat.exe	60
PID 2200 wrote to memory of 1212	2200	RobloxCheat.exe	60
PID 1212 wrote to memory of 2296	1212	cmd.exe	62
PID 1212 wrote to memory of 2296	1212	cmd.exe	62
PID 1212 wrote to memory of 2296	1212	cmd.exe	62
PID 1212 wrote to memory of 1680	1212	cmd.exe	64

Uses Task Scheduler COM API 1 TTPs
The Task Scheduler COM API can be used to schedule applications to run on boot or at set times.
persistence

Query Registry
T1012

C:\Users\Admin\AppData\Local\Temp\RobloxCheat.exe
"C:\Users\Admin\AppData\Local\Temp\RobloxCheat.exe"
1⤵
- Drops startup file
- Loads dropped DLL
- Adds Run key to start application
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2200
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp\RobloxCheat.exe'
  2⤵
  - Command and Scripting Interpreter: PowerShell
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  PID:2808
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'RobloxCheat.exe'
  2⤵
  - Command and Scripting Interpreter: PowerShell
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  PID:2800
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\ProgramData\svchost.exe'
  2⤵
  - Command and Scripting Interpreter: PowerShell
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  PID:2768
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'svchost.exe'
  2⤵
  - Command and Scripting Interpreter: PowerShell
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  PID:2484
- C:\Windows\System32\schtasks.exe
  "C:\Windows\System32\schtasks.exe" /create /f /RL HIGHEST /sc minute /mo 1 /tn "svchost" /tr "C:\ProgramData\svchost.exe"
  2⤵
  - Scheduled Task/Job: Scheduled Task
  PID:556
- C:\Users\Admin\AppData\Local\Temp\tivkyi.exe
  "C:\Users\Admin\AppData\Local\Temp\tivkyi.exe"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:1120
- - C:\Users\Admin\AppData\Local\Temp\tivkyi.exe
    "C:\Users\Admin\AppData\Local\Temp\tivkyi.exe"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    PID:1916
- C:\Windows\system32\cmd.exe
  cmd /c ""C:\Users\Admin\AppData\Local\Temp\iyevzh.bat" "
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:972
- - C:\Windows\system32\cmd.exe
    cmd /c start cmd
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:1664
  - - C:\Windows\system32\cmd.exe
      cmd
      4⤵
      PID:1612
- C:\Windows\system32\cmd.exe
  cmd /c ""C:\Users\Admin\AppData\Local\Temp\jqpwqh.bat" "
  2⤵
  PID:1588
- C:\Windows\system32\cmd.exe
  cmd /c ""C:\Users\Admin\AppData\Local\Temp\veljvn.bat" "
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:1212
- - C:\Windows\system32\taskkill.exe
    taskkill /im explorer.exe /f
    3⤵
    - Kills process with taskkill
    - Suspicious use of AdjustPrivilegeToken
    PID:2296
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1680
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1232
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2180
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1876
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3064
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1052
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1616
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2136
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1620
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2564
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2592
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:628
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2364
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2360
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3012
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2060
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1012
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2236
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:872
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1228
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2968
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1164
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2696
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1472
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1708
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2024
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:184
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3000
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3032
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2636
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2468
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2440
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2496
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2944
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1976
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2516
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1712
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1056
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2684
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1016
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:652
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1928
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1740
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1688
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1960
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2280
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:288
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1972
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:900
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:856
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1660
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2500
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1500
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2884
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1664
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1544
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1848
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2872
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1636
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1464
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1676
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:620
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:880
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2584
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2700
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:936
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1804
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:776
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2560
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1148
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2132
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3092
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3116
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3128
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3160
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3184
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3192
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3208
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3236
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3260
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3268
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3292
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3316
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3344
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3356
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3372
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3384
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3408
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3424
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3448
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3472
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3500
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3512
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3520
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3540
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3572
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3596
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3632
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3644
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3664
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3708
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3724
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3752
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3788
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3816
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3824
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3852
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3872
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3896
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3940
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3960
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3980
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3996
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4032
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4052
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4080
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3108
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3204
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3396
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3564
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3552
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3740
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3932
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4020
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4108
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4120
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4176
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4192
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4220
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4236
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4256
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4292
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4308
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4336
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4348
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4380
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4392
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4428
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4448
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4464
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4500
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4516
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4540
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4568
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4588
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4612
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4632
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4652
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4676
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4704
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4728
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4752
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4772
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4796
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4828
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4844
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4876
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4892
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4920
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4936
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4968
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4988
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5004
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5036
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5052
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5072
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5100
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3628
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4104
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4252
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4332
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4492
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4648
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4768
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4868
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5128
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5140
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5176
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5188
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5216
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5240
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5272
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5288
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5300
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5332
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5348
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5380
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5392
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5424
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5444
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5464
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5484
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5508
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5536
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5560
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5588
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5600
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5636
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5660
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5676
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5704
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5732
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5752
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5772
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5804
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5824
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5840
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5860
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5900
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5916
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5936
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5968
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5988
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6004
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6040
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6056
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6088
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6104
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6128
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4172
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:4948
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5200
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5376
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5548
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5584
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5800
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5872
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6148
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6156
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6184
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6204
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6240
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6268
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6288
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6316
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6328
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6364
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6388
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6412
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6428
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6464
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6480
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6508
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6536
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6580
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6604
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6628
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6652
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6676
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6696
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6724
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6748
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6764
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6788
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6820
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6844
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6868
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6892
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6912
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6936
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6968
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6984
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7008
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7032
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7056
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7072
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7096
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7132
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7152
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6100
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:5360
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6196
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6340
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6532
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6648
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6816
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6960
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7052
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7192
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7204
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7232
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7256
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7276
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7308
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7332
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7360
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7376
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7396
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7420
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7448
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7476
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7504
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7524
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7536
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7572
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7592
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7612
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7648
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7664
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7684
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7712
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7740
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7788
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7812
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7840
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7864
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7884
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7908
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7932
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7996
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8088
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8124
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8176
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7148
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7188
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7356
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7500
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7588
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7708
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7808
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8200
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8220
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8252
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8276
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8304
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8328
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8352
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8380
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8388
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8416
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8448
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8472
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8488
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8524
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8544
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8564
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8592
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8604
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8632
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8668
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8676
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8708
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8732
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8784
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8804
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8824
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8844
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8868
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8892
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8916
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8944
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8960
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8988
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9012
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9036
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9056
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9088
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9116
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9128
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9164
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9180
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9208
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:6168
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8212
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8272
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8464
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8616
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2324
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8864
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9032
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9224
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9244
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9268
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9296
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9316
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9332
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9364
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9380
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9416
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9428
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9460
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9484
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9512
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9532
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9560
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9584
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9608
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9624
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9656
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9676
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9704
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9732
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9748
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9776
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9808
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9828
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9852
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9876
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9900
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9924
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9948
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9976
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10000
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10016
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10040
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10068
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10096
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10116
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10140
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10176
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10196
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10220
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10236
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8588
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9264
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9440
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9552
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9700
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1524
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9920
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10064
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10248
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10272
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10288
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10324
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10344
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10372
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10396
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10408
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10444
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10468
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10488
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10504
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10536
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10552
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10584
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10600
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10620
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10660
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10680
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10704
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10728
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10748
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10776
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10796
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10828
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10840
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10876
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10896
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10908
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10948
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10972
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10988
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11008
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11044
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11056
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11084
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11116
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11164
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11188
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11204
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11228
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11260
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:9412
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10244
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10392
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10564
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10676
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10824
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10968
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11136
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11284
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11308
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11320
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11348
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11380
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11400
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11420
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11444
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11476
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11488
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11520
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11532
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11592
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11612
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11636
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11656
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11688
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11712
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11736
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11776
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11796
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11832
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11844
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11888
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11924
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11940
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11976
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11996
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12020
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12048
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12068
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12100
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12112
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12140
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12164
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12200
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12212
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12236
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12260
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11240
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10656
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11100
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11432
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2000
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11904
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:536
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11756
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11856
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12060
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12152
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12308
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12328
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12356
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12368
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12396
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12428
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12440
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12480
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12488
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12516
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12552
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12576
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12588
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12616
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12644
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12664
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12680
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12716
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12736
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12784
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12800
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12832
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12856
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12884
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12908
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12932
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12952
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12976
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13004
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13028
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13052
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13068
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13100
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13128
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13176
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13188
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13224
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13240
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13272
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13292
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:10532
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:11668
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12232
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12472
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12600
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12732
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12948
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13080
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13316
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13328
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13352
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13384
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13404
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13428
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13456
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13472
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13500
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13528
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13580
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13596
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13620
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13652
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13676
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13700
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13720
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13744
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13764
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13788
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13812
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13836
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13864
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13884
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13908
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13936
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13956
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13984
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14000
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14024
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14048
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14072
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14112
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14136
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14168
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14184
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14208
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14240
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14264
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14292
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14308
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13268
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12568
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13200
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13452
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13648
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13800
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1088
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2792
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13896
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:13980
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14220
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14320
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14356
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14380
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14408
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14428
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14464
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14476
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14512
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14524
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14552
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14584
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14620
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14632
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14656
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14696
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14712
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14740
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14780
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14804
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14828
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14852
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14880
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14904
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14940
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14952
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14984
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15000
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15020
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15052
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15064
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15084
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15108
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15148
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15172
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15188
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15212
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15236
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15260
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15284
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15308
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15328
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12880
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:3044
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14348
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14332
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14440
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14508
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1184
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1456
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14772
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14916
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15048
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15232
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7956
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15340
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15372
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15392
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15420
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15448
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15492
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15500
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15520
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15552
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15584
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15604
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15620
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15644
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15684
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15712
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15724
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15756
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15772
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15796
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15824
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15852
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15872
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15888
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15928
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15964
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15980
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16004
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16024
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16048
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16072
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16088
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16120
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16140
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16160
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16180
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16200
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16228
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16248
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16280
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16296
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16332
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16356
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16380
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7976
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:14840
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15200
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:7128
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8052
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8028
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15580
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2012
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12852
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15808
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8048
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:8136
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1376
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16176
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16368
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16392
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16400
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16432
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16448
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16480
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16504
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16536
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16564
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16588
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16604
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16628
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16648
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16672
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16708
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16736
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16776
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16788
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16812
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16840
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16856
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16884
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16896
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16928
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16956
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16988
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17008
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17040
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17052
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17080
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17100
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17136
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17156
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17192
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17204
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17248
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17264
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17300
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17312
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17360
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17376
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17396
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15536
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16524
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:12132
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16460
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2036
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16880
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17036
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16752
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17188
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17296
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17432
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17448
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17472
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17488
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17532
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17556
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17572
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17596
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17628
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17636
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17656
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17684
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17708
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17744
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17756
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17792
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17812
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17832
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17860
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17888
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17896
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17936
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17952
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17972
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18004
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18016
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18048
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18076
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18096
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18124
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18152
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18164
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18184
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18228
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18244
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18276
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18296
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18320
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18332
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18372
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18392
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18404
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18420
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16836
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17412
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17144
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16468
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17680
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:280
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17984
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18176
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18308
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:17964
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18472
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18496
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18524
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18532
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18564
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18608
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18636
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18668
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18688
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18720
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18776
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18792
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18828
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18852
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18860
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18900
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18928
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18936
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18968
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18992
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19028
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19060
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19080
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19124
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19160
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19180
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19212
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19240
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19256
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19284
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19312
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19336
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19364
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19392
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19408
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19440
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18344
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16940
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18288
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18444
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:2512
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18664
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18824
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18588
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19008
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19136
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19280
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19472
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19504
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19536
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19544
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19576
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19604
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19648
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19660
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19680
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19712
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19720
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19748
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19776
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19808
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19836
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19848
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19880
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19904
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19916
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19944
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19968
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20000
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20032
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20060
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20084
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20112
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20148
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20176
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20204
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20212
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20244
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20276
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20312
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20336
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20360
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20388
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20404
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20428
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20464
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19420
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:16464
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:18952
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19500
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19792
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19876
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:19980
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20124
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20256
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20372
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20484
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20516
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20540
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20572
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20600
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20616
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20628
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20656
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20680
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20712
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20744
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20760
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20768
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20800
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20828
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20844
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20872
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20892
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20928
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20960
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20976
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21008
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21028
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21064
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21080
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21100
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21140
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21156
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21172
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21204
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21216
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21252
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21276
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21312
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21332
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21348
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21380
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21388
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21428
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21440
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:21468
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:1948
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20300
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:20016
- - C:\Windows\system32\cmd.exe
    cmd
    3⤵
    PID:15344
- C:\Windows\system32\shutdown.exe
  shutdown.exe /f /s /t 0
  2⤵
  - Suspicious use of AdjustPrivilegeToken
  PID:18732

C:\Windows\system32\taskeng.exe
taskeng.exe {E3B38E71-259C-47A9-9C51-2CD533D59ECB} S-1-5-21-39690363-730359138-1046745555-1000:EILATWEW\Admin:Interactive:[1]
1⤵
- Suspicious use of WriteProcessMemory
PID:2072
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:1648
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:3040
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:1552
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:1864
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:2904
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:2144
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:1868
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:1772
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:14104
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:16472
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:17788
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:20016
- C:\ProgramData\svchost.exe
  C:\ProgramData\svchost.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  PID:21288

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Command and Scripting Interpreter

T1059

PowerShell

T1059.001

Scheduled Task/Job

T1053

Scheduled Task

T1053.005

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Scheduled Task/Job

T1053

Scheduled Task

T1053.005

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Scheduled Task/Job

T1053

Scheduled Task

T1053.005

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\ProgramData\svchost.exe

Filesize
61KB

MD5
1173330bc76af605137db64a6377f523

SHA1
09713c6e32cc1304dcb40604a1695d7830ceffe3

SHA256
f9893dff26df005089614d3b3f3de8b9a9b1a67cd2081345c1973f420350eac7

SHA512
57baf32951fb5f23758154eee655773de8d1a11552a97ea8bf52368c2d8d4869ef410ed76f29575aebb09e5454bd5844863fbdeb05952f2b0e76091712b32b24

Download Submit
C:\Users\Admin\AppData\Local\Temp\_MEI11202\python311.dll

Filesize
1.6MB

MD5
db09c9bbec6134db1766d369c339a0a1

SHA1
c156d9f2d0e80b4cf41794cd9b8b1e8a352e0a0b

SHA256
b1aac1e461174bbae952434e4dac092590d72b9832a04457c94bd9bb7ee8ad79

SHA512
653a7fff6a2b6bffb9ea2c0b72ddb83c9c53d555e798eea47101b0d932358180a01af2b9dab9c27723057439c1eaffb8d84b9b41f6f9cd1c3c934f1794104d45

Download Submit
C:\Users\Admin\AppData\Local\Temp\iyevzh.bat

Filesize
22B

MD5
c5b094cf51e0ac6889d1c6d8184d0c90

SHA1
4a9c231222f816fc19d6ac6567cbccf8dd92c362

SHA256
c72c30d505e611afdc46d571141d1bcf78414cb6b09e24b3189950b3e47a5b05

SHA512
a8bcb267503b4d02ccaf39bbac02ee486eda4e320bd71d6deba5eccc7c7602d552ed733af838b64d7b37204925c2619d5169b2c88847eda010c008ddba0f4131

Download Submit
C:\Users\Admin\AppData\Local\Temp\jqpwqh.bat

Filesize
27B

MD5
1e6df7de30802acf3416101eca22ec1f

SHA1
c42cf8ef0cbd35c6c22e39a9af7990d80a2b5670

SHA256
eaee51673113c02285289083f6f4b9565369a13ebde9cc51673fe03abe97d9cd

SHA512
4bb9a7324f4a085c0e78344f5a3eaebebdd01850feb05f5ef154eeefb2530e356a609b8c46e2b191ed5b0d8b6dcc1fdded42124721c3d8d6f2d78cd12630b0c9

Download Submit
C:\Users\Admin\AppData\Local\Temp\veljvn.bat

Filesize
51B

MD5
cbfffb87479b53144737f7fa4148bf8d

SHA1
33ab72c34538eeb1e00d79b7375f7cdadf98cc2b

SHA256
590a3129e4f591643ae15e6128661de495a35f05f8015670c96eda8f3b76498e

SHA512
48e88adbb8b80395f2b5fafc388b2d2649bbe8a5c17e5e6966cd2d615b3f3edc6ae3c3e6586fd178d59f3a3b6fa7ed03409beb1f22b155c60507aebcac6372a7

Download Submit
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms

Filesize
7KB

MD5
0f6db57ca43c085fc473662f5170ea49

SHA1
3bc94c169c463ab7a9f893569b8d2712ba395960

SHA256
2474e6abb91cda373198a30c6a75201e87163f16cb31ac8dc160df4f87f1fc6f

SHA512
19dcaf3071a66d184d5227d0f2c21d2429c06e6c87985028f039d70bbeb7b19bb7ed657e12be03e143f46eabb4a2cc57061bd8e855a39b3a6113a70e3af1429e

Download Submit
\Users\Admin\AppData\Local\Temp\tivkyi.exe

Filesize
12.3MB

MD5
88b4216901024cb13cdbfde9f7313739

SHA1
4e3a8bf8620ef7c02d33a895f35859fc5c299947

SHA256
68f2fd65f54c0a4027b60ab8aac12e250003d84979c889b716b55e38820da436

SHA512
cde67dbf72c6bacfbafa4898ae09c0bcc3cea8456165036ae746060d6d422cf8a0fec834658c72ae73530cb33abd2b28eeb7a6ed9474cc5dd61e2c15a64a5d1e

Download Submit
memory/1552-152-0x0000000000390000-0x00000000003A6000-memory.dmp

Filesize
88KB

Download
memory/1648-37-0x0000000000320000-0x0000000000336000-memory.dmp

Filesize
88KB

Download
memory/1772-180-0x00000000009A0000-0x00000000009B6000-memory.dmp

Filesize
88KB

Download
memory/1864-154-0x0000000001140000-0x0000000001156000-memory.dmp

Filesize
88KB

Download
memory/1868-178-0x00000000008E0000-0x00000000008F6000-memory.dmp

Filesize
88KB

Download
memory/1916-97-0x000007FEED890000-0x000007FEEDE78000-memory.dmp

Filesize
5.9MB

Download
memory/2144-176-0x00000000003A0000-0x00000000003B6000-memory.dmp

Filesize
88KB

Download
memory/2200-32-0x000007FEF5973000-0x000007FEF5974000-memory.dmp

Filesize
4KB

Download
memory/2200-1-0x0000000000E90000-0x0000000000EA6000-memory.dmp

Filesize
88KB

Download
memory/2200-0-0x000007FEF5973000-0x000007FEF5974000-memory.dmp

Filesize
4KB

Download
memory/2200-150-0x0000000000C40000-0x0000000000C50000-memory.dmp

Filesize
64KB

Download
memory/2200-31-0x000000001B300000-0x000000001B380000-memory.dmp

Filesize
512KB

Download
memory/2200-33-0x000000001B300000-0x000000001B380000-memory.dmp

Filesize
512KB

Download
memory/2800-15-0x00000000024F0000-0x00000000024F8000-memory.dmp

Filesize
32KB

Download
memory/2800-14-0x000000001B370000-0x000000001B652000-memory.dmp

Filesize
2.9MB

Download
memory/2808-6-0x0000000002AD0000-0x0000000002B50000-memory.dmp

Filesize
512KB

Download
memory/2808-8-0x0000000001F40000-0x0000000001F48000-memory.dmp

Filesize
32KB

Download
memory/2808-7-0x000000001B3E0000-0x000000001B6C2000-memory.dmp

Filesize
2.9MB

Download
memory/2904-165-0x00000000001A0000-0x00000000001B6000-memory.dmp

Filesize
88KB

Download
memory/3040-148-0x0000000001210000-0x0000000001226000-memory.dmp

Filesize
88KB

Download
memory/16472-192-0x0000000000F50000-0x0000000000F66000-memory.dmp

Filesize
88KB

Download
memory/17788-194-0x0000000001380000-0x0000000001396000-memory.dmp

Filesize
88KB

Download
memory/19148-203-0x000000004A3B0000-0x000000004A409000-memory.dmp

Filesize
356KB

Download
memory/20016-196-0x0000000000BB0000-0x0000000000BC6000-memory.dmp

Filesize
88KB

Download
memory/21288-198-0x0000000000E30000-0x0000000000E46000-memory.dmp

Filesize
88KB

Download

Analysis

Sharing

Errors

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads