2925c2e654dc730e7613ea270fb13280386252674b90a0eed1005d3e37370035

Analysis

max time kernel
150s
max time network
122s
platform
windows7_x64
resource
win7-20240708-en
resource tags

arch:x64arch:x86image:win7-20240708-enlocale:en-usos:windows7-x64system
submitted
13/07/2024, 15:29

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe
Size

8KB
MD5

4245e3a5d0a8a64e0ccc11622f115449
SHA1

509f8582dfeca5dd4c695c472280b8ddbf9a87d3
SHA256

2925c2e654dc730e7613ea270fb13280386252674b90a0eed1005d3e37370035
SHA512

c978ce582841fdad23ddb03a43d2ce63815dc319971d5e33dad5bb01198a46405a23d731d4fb2973e7191a65ddb35f4e385c4844534a7f6f217c2c82cfb07ee4
SSDEEP

192:4qlK0aaQog/UY4Wu+cg8a61lRrXILl2eDP50yeLsap:VAlpAY4HZa61lZXJe1csY

Score

7^/10

Malware Config

Signatures

Deletes itself 1 IoCs

pid	Process
2680	cmd.exe

Executes dropped EXE 64 IoCs

pid	Process
2796	ztinetzt.exe
2700	ztinetzt.exe
2652	ztinetzt.exe
2592	ztinetzt.exe
2588	ztinetzt.exe
1840	ztinetzt.exe
2412	ztinetzt.exe
2176	ztinetzt.exe
2876	ztinetzt.exe
992	ztinetzt.exe
908	ztinetzt.exe
1236	ztinetzt.exe
1060	ztinetzt.exe
2636	ztinetzt.exe
264	ztinetzt.exe
2112	ztinetzt.exe
2100	ztinetzt.exe
2992	ztinetzt.exe
2392	ztinetzt.exe
2088	ztinetzt.exe
1932	ztinetzt.exe
1436	ztinetzt.exe
1668	ztinetzt.exe
1528	ztinetzt.exe
2280	ztinetzt.exe
2308	ztinetzt.exe
1736	ztinetzt.exe
2324	ztinetzt.exe
2952	ztinetzt.exe
1744	ztinetzt.exe
2856	ztinetzt.exe
2692	ztinetzt.exe
2944	ztinetzt.exe
2960	ztinetzt.exe
2596	ztinetzt.exe
2560	ztinetzt.exe
3020	ztinetzt.exe
2592	ztinetzt.exe
2172	ztinetzt.exe
2716	ztinetzt.exe
2972	ztinetzt.exe
1512	ztinetzt.exe
1640	ztinetzt.exe
1000	ztinetzt.exe
820	ztinetzt.exe
2884	ztinetzt.exe
624	ztinetzt.exe
1084	ztinetzt.exe
296	ztinetzt.exe
2376	ztinetzt.exe
1472	ztinetzt.exe
2368	ztinetzt.exe
1856	ztinetzt.exe
1400	ztinetzt.exe
2100	ztinetzt.exe
2072	ztinetzt.exe
1904	ztinetzt.exe
1308	ztinetzt.exe
1364	ztinetzt.exe
1756	ztinetzt.exe
1724	ztinetzt.exe
2940	ztinetzt.exe
2428	ztinetzt.exe
3036	ztinetzt.exe

Loads dropped DLL 64 IoCs

pid	Process
2756	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe
2756	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe
2796	ztinetzt.exe
2796	ztinetzt.exe
2700	ztinetzt.exe
2700	ztinetzt.exe
2652	ztinetzt.exe
2652	ztinetzt.exe
2592	ztinetzt.exe
2592	ztinetzt.exe
2588	ztinetzt.exe
2588	ztinetzt.exe
1840	ztinetzt.exe
1840	ztinetzt.exe
2412	ztinetzt.exe
2412	ztinetzt.exe
2176	ztinetzt.exe
2176	ztinetzt.exe
2876	ztinetzt.exe
2876	ztinetzt.exe
992	ztinetzt.exe
992	ztinetzt.exe
908	ztinetzt.exe
908	ztinetzt.exe
1236	ztinetzt.exe
1236	ztinetzt.exe
1060	ztinetzt.exe
1060	ztinetzt.exe
2636	ztinetzt.exe
2636	ztinetzt.exe
264	ztinetzt.exe
264	ztinetzt.exe
2112	ztinetzt.exe
2112	ztinetzt.exe
2100	ztinetzt.exe
2100	ztinetzt.exe
2992	ztinetzt.exe
2992	ztinetzt.exe
2392	ztinetzt.exe
2392	ztinetzt.exe
2088	ztinetzt.exe
2088	ztinetzt.exe
1932	ztinetzt.exe
1932	ztinetzt.exe
1436	ztinetzt.exe
1436	ztinetzt.exe
1668	ztinetzt.exe
1668	ztinetzt.exe
1528	ztinetzt.exe
1528	ztinetzt.exe
2280	ztinetzt.exe
2280	ztinetzt.exe
2308	ztinetzt.exe
2308	ztinetzt.exe
1736	ztinetzt.exe
1736	ztinetzt.exe
2324	ztinetzt.exe
2324	ztinetzt.exe
2952	ztinetzt.exe
2952	ztinetzt.exe
1744	ztinetzt.exe
1744	ztinetzt.exe
2856	ztinetzt.exe
2856	ztinetzt.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File opened for modification	C:\Windows\SysWOW64\ztinetzt.exe	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe
File created	C:\Windows\SysWOW64\ztinetzt.exe	ztinetzt.exe

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
2756	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe
2756	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe
2756	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe
2756	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe
2796	ztinetzt.exe
2796	ztinetzt.exe
2796	ztinetzt.exe
2796	ztinetzt.exe
2700	ztinetzt.exe
2700	ztinetzt.exe
2700	ztinetzt.exe
2700	ztinetzt.exe
2652	ztinetzt.exe
2652	ztinetzt.exe
2652	ztinetzt.exe
2652	ztinetzt.exe
2592	ztinetzt.exe
2592	ztinetzt.exe
2592	ztinetzt.exe
2592	ztinetzt.exe
2588	ztinetzt.exe
2588	ztinetzt.exe
2588	ztinetzt.exe
2588	ztinetzt.exe
1840	ztinetzt.exe
1840	ztinetzt.exe
1840	ztinetzt.exe
1840	ztinetzt.exe
2412	ztinetzt.exe
2412	ztinetzt.exe
2412	ztinetzt.exe
2412	ztinetzt.exe
2176	ztinetzt.exe
2176	ztinetzt.exe
2176	ztinetzt.exe
2176	ztinetzt.exe
2876	ztinetzt.exe
2876	ztinetzt.exe
2876	ztinetzt.exe
2876	ztinetzt.exe
992	ztinetzt.exe
992	ztinetzt.exe
992	ztinetzt.exe
992	ztinetzt.exe
908	ztinetzt.exe
908	ztinetzt.exe
908	ztinetzt.exe
908	ztinetzt.exe
1236	ztinetzt.exe
1236	ztinetzt.exe
1236	ztinetzt.exe
1236	ztinetzt.exe
1060	ztinetzt.exe
1060	ztinetzt.exe
1060	ztinetzt.exe
1060	ztinetzt.exe
2636	ztinetzt.exe
2636	ztinetzt.exe
2636	ztinetzt.exe
2636	ztinetzt.exe
264	ztinetzt.exe
264	ztinetzt.exe
264	ztinetzt.exe
264	ztinetzt.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2756 wrote to memory of 2796	2756	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe	30
PID 2756 wrote to memory of 2796	2756	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe	30
PID 2756 wrote to memory of 2796	2756	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe	30
PID 2756 wrote to memory of 2796	2756	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe	30
PID 2756 wrote to memory of 2680	2756	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe	31
PID 2756 wrote to memory of 2680	2756	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe	31
PID 2756 wrote to memory of 2680	2756	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe	31
PID 2756 wrote to memory of 2680	2756	4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe	31
PID 2796 wrote to memory of 2700	2796	ztinetzt.exe	33
PID 2796 wrote to memory of 2700	2796	ztinetzt.exe	33
PID 2796 wrote to memory of 2700	2796	ztinetzt.exe	33
PID 2796 wrote to memory of 2700	2796	ztinetzt.exe	33
PID 2796 wrote to memory of 2840	2796	ztinetzt.exe	34
PID 2796 wrote to memory of 2840	2796	ztinetzt.exe	34
PID 2796 wrote to memory of 2840	2796	ztinetzt.exe	34
PID 2796 wrote to memory of 2840	2796	ztinetzt.exe	34
PID 2700 wrote to memory of 2652	2700	ztinetzt.exe	36
PID 2700 wrote to memory of 2652	2700	ztinetzt.exe	36
PID 2700 wrote to memory of 2652	2700	ztinetzt.exe	36
PID 2700 wrote to memory of 2652	2700	ztinetzt.exe	36
PID 2700 wrote to memory of 2544	2700	ztinetzt.exe	37
PID 2700 wrote to memory of 2544	2700	ztinetzt.exe	37
PID 2700 wrote to memory of 2544	2700	ztinetzt.exe	37
PID 2700 wrote to memory of 2544	2700	ztinetzt.exe	37
PID 2652 wrote to memory of 2592	2652	ztinetzt.exe	39
PID 2652 wrote to memory of 2592	2652	ztinetzt.exe	39
PID 2652 wrote to memory of 2592	2652	ztinetzt.exe	39
PID 2652 wrote to memory of 2592	2652	ztinetzt.exe	39
PID 2652 wrote to memory of 2020	2652	ztinetzt.exe	40
PID 2652 wrote to memory of 2020	2652	ztinetzt.exe	40
PID 2652 wrote to memory of 2020	2652	ztinetzt.exe	40
PID 2652 wrote to memory of 2020	2652	ztinetzt.exe	40
PID 2592 wrote to memory of 2588	2592	ztinetzt.exe	42
PID 2592 wrote to memory of 2588	2592	ztinetzt.exe	42
PID 2592 wrote to memory of 2588	2592	ztinetzt.exe	42
PID 2592 wrote to memory of 2588	2592	ztinetzt.exe	42
PID 2592 wrote to memory of 3032	2592	ztinetzt.exe	43
PID 2592 wrote to memory of 3032	2592	ztinetzt.exe	43
PID 2592 wrote to memory of 3032	2592	ztinetzt.exe	43
PID 2592 wrote to memory of 3032	2592	ztinetzt.exe	43
PID 2588 wrote to memory of 1840	2588	ztinetzt.exe	45
PID 2588 wrote to memory of 1840	2588	ztinetzt.exe	45
PID 2588 wrote to memory of 1840	2588	ztinetzt.exe	45
PID 2588 wrote to memory of 1840	2588	ztinetzt.exe	45
PID 2588 wrote to memory of 2864	2588	ztinetzt.exe	46
PID 2588 wrote to memory of 2864	2588	ztinetzt.exe	46
PID 2588 wrote to memory of 2864	2588	ztinetzt.exe	46
PID 2588 wrote to memory of 2864	2588	ztinetzt.exe	46
PID 1840 wrote to memory of 2412	1840	ztinetzt.exe	48
PID 1840 wrote to memory of 2412	1840	ztinetzt.exe	48
PID 1840 wrote to memory of 2412	1840	ztinetzt.exe	48
PID 1840 wrote to memory of 2412	1840	ztinetzt.exe	48
PID 1840 wrote to memory of 2120	1840	ztinetzt.exe	49
PID 1840 wrote to memory of 2120	1840	ztinetzt.exe	49
PID 1840 wrote to memory of 2120	1840	ztinetzt.exe	49
PID 1840 wrote to memory of 2120	1840	ztinetzt.exe	49
PID 2412 wrote to memory of 2176	2412	ztinetzt.exe	51
PID 2412 wrote to memory of 2176	2412	ztinetzt.exe	51
PID 2412 wrote to memory of 2176	2412	ztinetzt.exe	51
PID 2412 wrote to memory of 2176	2412	ztinetzt.exe	51
PID 2412 wrote to memory of 2268	2412	ztinetzt.exe	52
PID 2412 wrote to memory of 2268	2412	ztinetzt.exe	52
PID 2412 wrote to memory of 2268	2412	ztinetzt.exe	52
PID 2412 wrote to memory of 2268	2412	ztinetzt.exe	52

C:\Users\Admin\AppData\Local\Temp\4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe"
1⤵
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:2756
- C:\Windows\SysWOW64\ztinetzt.exe
  C:\Windows\system32\ztinetzt.exe
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of WriteProcessMemory
  PID:2796
- - C:\Windows\SysWOW64\ztinetzt.exe
    C:\Windows\system32\ztinetzt.exe
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Drops file in System32 directory
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of WriteProcessMemory
    PID:2700
  - - C:\Windows\SysWOW64\ztinetzt.exe
      C:\Windows\system32\ztinetzt.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Drops file in System32 directory
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of WriteProcessMemory
      PID:2652
    - - C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:2592
      - C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        6⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:2588
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        7⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:1840
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        8⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:2412
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        9⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        
        PID:2176
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        10⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        
        PID:2876
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        11⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        
        PID:992
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        12⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        
        PID:908
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        13⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        
        PID:1236
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        14⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        
        PID:1060
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        15⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        
        PID:2636
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        16⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        
        PID:264
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        17⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2112
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        18⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2100
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        19⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:2992
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        20⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:2392
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        21⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2088
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        22⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1932
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        23⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:1436
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        24⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1668
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        25⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1528
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        26⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2280
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        27⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2308
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        28⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:1736
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        29⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:2324
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        30⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:2952
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        31⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:1744
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        32⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2856
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        33⤵
        Executes dropped EXE
        
        PID:2692
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        34⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:2944
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        35⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:2960
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        36⤵
        Executes dropped EXE
        
        PID:2596
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        37⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:2560
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        38⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:3020
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        39⤵
        Executes dropped EXE
        
        PID:2592
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        40⤵
        Executes dropped EXE
        
        PID:2172
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        41⤵
        Executes dropped EXE
        
        PID:2716
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        42⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:2972
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        43⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:1512
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        44⤵
        Executes dropped EXE
        
        PID:1640
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        45⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:1000
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        46⤵
        Executes dropped EXE
        
        PID:820
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        47⤵
        Executes dropped EXE
        
        PID:2884
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        48⤵
        Executes dropped EXE
        
        PID:624
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        49⤵
        Executes dropped EXE
        
        PID:1084
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        50⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:296
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        51⤵
        Executes dropped EXE
        
        PID:2376
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        52⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:1472
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        53⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:2368
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        54⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:1856
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        55⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:1400
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        56⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:2100
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        57⤵
        Executes dropped EXE
        
        PID:2072
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        58⤵
        Executes dropped EXE
        
        PID:1904
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        59⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:1308
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        60⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:1364
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        61⤵
        Executes dropped EXE
        
        PID:1756
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        62⤵
        Executes dropped EXE
        
        PID:1724
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        63⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:2940
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        64⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:2428
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        65⤵
        Executes dropped EXE
        
        PID:3036
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        66⤵
        Drops file in System32 directory
        
        PID:1492
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        67⤵
        
        PID:640
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        68⤵
        
        PID:2484
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        69⤵
        Drops file in System32 directory
        
        PID:896
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        70⤵
        Drops file in System32 directory
        
        PID:1588
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        71⤵
        
        PID:2836
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        72⤵
        Drops file in System32 directory
        
        PID:2692
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        73⤵
        Drops file in System32 directory
        
        PID:2944
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        74⤵
        Drops file in System32 directory
        
        PID:2880
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        75⤵
        Drops file in System32 directory
        
        PID:2544
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        76⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        77⤵
        Drops file in System32 directory
        
        PID:3028
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        78⤵
        
        PID:376
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        79⤵
        Drops file in System32 directory
        
        PID:1840
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        80⤵
        Drops file in System32 directory
        
        PID:2716
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        81⤵
        Drops file in System32 directory
        
        PID:2972
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        82⤵
        
        PID:952
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        83⤵
        
        PID:1360
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        84⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        85⤵
        
        PID:1160
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        86⤵
        
        PID:1860
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        87⤵
        
        PID:1380
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        88⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        89⤵
        
        PID:2156
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        90⤵
        Drops file in System32 directory
        
        PID:1908
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        91⤵
        
        PID:2160
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        92⤵
        
        PID:1520
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        93⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        94⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        95⤵
        
        PID:2348
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        96⤵
        Drops file in System32 directory
        
        PID:1832
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        97⤵
        
        PID:700
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        98⤵
        
        PID:2792
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        99⤵
        Drops file in System32 directory
        
        PID:2088
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        100⤵
        Drops file in System32 directory
        
        PID:1428
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        101⤵
        
        PID:2056
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        102⤵
        
        PID:1852
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        103⤵
        Drops file in System32 directory
        
        PID:2224
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        104⤵
        Drops file in System32 directory
        
        PID:1240
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        105⤵
        Drops file in System32 directory
        
        PID:2900
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        106⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        107⤵
        Drops file in System32 directory
        
        PID:1092
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        108⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        109⤵
        Drops file in System32 directory
        
        PID:2976
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        110⤵
        
        PID:2480
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        111⤵
        
        PID:1596
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        112⤵
        Drops file in System32 directory
        
        PID:2468
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        113⤵
        
        PID:2856
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        114⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        115⤵
        
        PID:2704
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        116⤵
        
        PID:2960
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        117⤵
        Drops file in System32 directory
        
        PID:2552
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        118⤵
        
        PID:2020
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        119⤵
        Drops file in System32 directory
        
        PID:3020
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        120⤵
        Drops file in System32 directory
        
        PID:376
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        121⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        122⤵
        Drops file in System32 directory
        
        PID:2716
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        123⤵
        Drops file in System32 directory
        
        PID:2972
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        124⤵
        Drops file in System32 directory
        
        PID:952
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        125⤵
        Drops file in System32 directory
        
        PID:1360
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        126⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        127⤵
        
        PID:1160
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        128⤵
        
        PID:1860
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        129⤵
        Drops file in System32 directory
        
        PID:1380
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        130⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        131⤵
        
        PID:2156
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        132⤵
        
        PID:1908
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        133⤵
        Drops file in System32 directory
        
        PID:2400
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        134⤵
        
        PID:2132
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        135⤵
        Drops file in System32 directory
        
        PID:2000
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        136⤵
        Drops file in System32 directory
        
        PID:1544
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        137⤵
        
        PID:1404
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        138⤵
        
        PID:2232
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        139⤵
        Drops file in System32 directory
        
        PID:960
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        140⤵
        
        PID:968
        
        C:\Windows\SysWOW64\ztinetzt.exe
        
        C:\Windows\system32\ztinetzt.exe
        141⤵
        
        PID:3000
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        140⤵
        
        PID:1608
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        139⤵
        
        PID:2344
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        138⤵
        
        PID:688
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        137⤵
        
        PID:2008
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        136⤵
        
        PID:964
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        135⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        134⤵
        
        PID:1568
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        133⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        132⤵
        
        PID:2396
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        131⤵
        
        PID:320
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        130⤵
        
        PID:2256
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        129⤵
        
        PID:448
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        128⤵
        
        PID:624
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        127⤵
        
        PID:908
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        126⤵
        
        PID:1808
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        125⤵
        
        PID:3040
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        124⤵
        
        PID:600
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        123⤵
        
        PID:2336
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        122⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        121⤵
        
        PID:1928
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        120⤵
        
        PID:1080
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        119⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        118⤵
        
        PID:1504
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        117⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        116⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        115⤵
        
        PID:1868
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        114⤵
        
        PID:2764
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        113⤵
        
        PID:2576
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        112⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        111⤵
        
        PID:1592
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        110⤵
        
        PID:1252
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        109⤵
        
        PID:1680
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        108⤵
        
        PID:1616
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        107⤵
        
        PID:2304
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        106⤵
        
        PID:1460
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        105⤵
        
        PID:2316
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        104⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        103⤵
        
        PID:1668
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        102⤵
        
        PID:1436
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        101⤵
        
        PID:2180
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        100⤵
        
        PID:1932
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        99⤵
        
        PID:928
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        98⤵
        
        PID:1632
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        97⤵
        
        PID:816
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        96⤵
        
        PID:1924
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        95⤵
        
        PID:1936
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        94⤵
        
        PID:2996
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        93⤵
        
        PID:2068
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        92⤵
        
        PID:1276
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        91⤵
        
        PID:2372
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        90⤵
        
        PID:592
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        89⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        88⤵
        
        PID:860
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        87⤵
        
        PID:924
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        86⤵
        
        PID:1636
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        85⤵
        
        PID:1828
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        84⤵
        
        PID:2876
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        83⤵
        
        PID:2176
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        82⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        81⤵
        
        PID:1960
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        80⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        79⤵
        
        PID:2964
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        78⤵
        
        PID:1584
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        77⤵
        
        PID:576
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        76⤵
        
        PID:1820
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        75⤵
        
        PID:2572
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        74⤵
        
        PID:2700
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        73⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        72⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        71⤵
        
        PID:2848
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        70⤵
        
        PID:1600
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        69⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        68⤵
        
        PID:904
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        67⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        66⤵
        
        PID:1092
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        65⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        64⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        63⤵
        
        PID:1948
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        62⤵
        
        PID:1708
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        61⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        60⤵
        
        PID:856
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        59⤵
        
        PID:1608
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        58⤵
        
        PID:2344
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        57⤵
        
        PID:688
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        56⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        55⤵
        
        PID:3064
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        54⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        53⤵
        
        PID:1148
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        52⤵
        
        PID:684
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        51⤵
        
        PID:2136
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        50⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        49⤵
        
        PID:1236
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        48⤵
        
        PID:556
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        47⤵
        
        PID:2668
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        46⤵
        
        PID:1684
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        45⤵
        
        PID:2600
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        44⤵
        
        PID:1360
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        43⤵
        
        PID:2268
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        42⤵
        
        PID:1928
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        41⤵
        
        PID:1080
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        40⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        39⤵
        
        PID:1504
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        38⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        37⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        36⤵
        
        PID:1868
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        35⤵
        
        PID:2796
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        34⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        33⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        32⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        31⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        30⤵
        
        PID:904
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        29⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        28⤵
        
        PID:1492
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        27⤵
        
        PID:3036
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        26⤵
        
        PID:2460
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        25⤵
        
        PID:1948
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        24⤵
        
        PID:1708
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        23⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        22⤵
        
        PID:856
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        21⤵
        
        PID:928
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        20⤵
        
        PID:1344
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        19⤵
        
        PID:2348
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        18⤵
        
        PID:1400
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        17⤵
        
        PID:2400
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        16⤵
        
        PID:1100
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        15⤵
        
        PID:536
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        14⤵
        
        PID:2116
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        13⤵
        
        PID:1864
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        12⤵
        
        PID:1828
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        11⤵
        
        PID:484
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        10⤵
        
        PID:1360
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        9⤵
        
        PID:2268
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        8⤵
        
        PID:2120
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        7⤵
        
        PID:2864
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        6⤵
        
        PID:3032
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
        5⤵
        
        PID:2020
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
      4⤵
      PID:2544
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c del "C:\Windows\SysWOW64\ztinetzt.exe"
    3⤵
    PID:2840
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c del "C:\Users\Admin\AppData\Local\Temp\4245e3a5d0a8a64e0ccc11622f115449_JaffaCakes118.exe"
  2⤵
  - Deletes itself
  PID:2680

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

\Windows\SysWOW64\ztinetzt.exe

Filesize
8KB

MD5
4245e3a5d0a8a64e0ccc11622f115449

SHA1
509f8582dfeca5dd4c695c472280b8ddbf9a87d3

SHA256
2925c2e654dc730e7613ea270fb13280386252674b90a0eed1005d3e37370035

SHA512
c978ce582841fdad23ddb03a43d2ce63815dc319971d5e33dad5bb01198a46405a23d731d4fb2973e7191a65ddb35f4e385c4844534a7f6f217c2c82cfb07ee4

Download Submit
memory/1768-70-0x00000000774C0000-0x00000000775BA000-memory.dmp

Filesize
1000KB

Download
memory/1768-69-0x00000000775C0000-0x00000000776DF000-memory.dmp

Filesize
1.1MB

Download