7d1993570f04fb9da8832f781b28e0ebd1c780a80bc2c35cd6be884416a430d4

Analysis

max time kernel
11s
max time network
108s
platform
windows10-2004_x64
resource
win10v2004-20240709-en
resource tags

arch:x64arch:x86image:win10v2004-20240709-enlocale:en-usos:windows10-2004-x64system
submitted
15-07-2024 05:09

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

8a06a03c8b628a4e6798c35d53c986f0N.exe
Size

1.8MB
MD5

8a06a03c8b628a4e6798c35d53c986f0
SHA1

4f0aa43e75294d9ab32279f399e312aaf0464494
SHA256

7d1993570f04fb9da8832f781b28e0ebd1c780a80bc2c35cd6be884416a430d4
SHA512

166abba7087cc3563bb0e147eb49c34bd3b6d002b0881464480f7afce2583329b708a207fb5944e167a42f6695337234ba05490f72b1c7d2c6b17781bf388785
SSDEEP

49152:5WGYWrjWwdsX0LVMv50hGLYZI2DogMhdj:3YyCwdsX0LWBirxw

Score

7^/10

persistence spyware stealer

Malware Config

Signatures

Checks computer location settings 2 TTPs 10 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-2650514177-1034912467-4025611726-1000\Control Panel\International\Geo\Nation	8a06a03c8b628a4e6798c35d53c986f0N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2650514177-1034912467-4025611726-1000\Control Panel\International\Geo\Nation	8a06a03c8b628a4e6798c35d53c986f0N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2650514177-1034912467-4025611726-1000\Control Panel\International\Geo\Nation	8a06a03c8b628a4e6798c35d53c986f0N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2650514177-1034912467-4025611726-1000\Control Panel\International\Geo\Nation	8a06a03c8b628a4e6798c35d53c986f0N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2650514177-1034912467-4025611726-1000\Control Panel\International\Geo\Nation	8a06a03c8b628a4e6798c35d53c986f0N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2650514177-1034912467-4025611726-1000\Control Panel\International\Geo\Nation	8a06a03c8b628a4e6798c35d53c986f0N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2650514177-1034912467-4025611726-1000\Control Panel\International\Geo\Nation	8a06a03c8b628a4e6798c35d53c986f0N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2650514177-1034912467-4025611726-1000\Control Panel\International\Geo\Nation	8a06a03c8b628a4e6798c35d53c986f0N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2650514177-1034912467-4025611726-1000\Control Panel\International\Geo\Nation	8a06a03c8b628a4e6798c35d53c986f0N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2650514177-1034912467-4025611726-1000\Control Panel\International\Geo\Nation	8a06a03c8b628a4e6798c35d53c986f0N.exe

Reads user/profile data of web browsers 2 TTPs
Infostealers often target stored browser data, which can include saved credentials etc.
spyware stealer

Data from Local System
T1005

Credentials In Files
T1552.001

Adds Run key to start application 2 TTPs 1 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\mssrv32 = "C:\\Windows\\mssrv.exe"	8a06a03c8b628a4e6798c35d53c986f0N.exe

Enumerates connected drives 3 TTPs 23 IoCs

Attempts to read the root path of hard drives other than the default C: drive.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
File opened (read-only)	\??\E:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\S:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\U:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\V:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\H:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\J:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\Q:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\R:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\X:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\A:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\B:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\I:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\L:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\M:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\P:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\Z:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\G:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\K:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\N:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\O:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\T:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\W:	8a06a03c8b628a4e6798c35d53c986f0N.exe
File opened (read-only)	\??\Y:	8a06a03c8b628a4e6798c35d53c986f0N.exe

Drops file in System32 directory 12 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\SmbShare\animal [free] (Liz).rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\SysWOW64\FxsTmp\brasilian cum fucking uncut .zip.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\SysWOW64\IME\SHARED\xxx gang bang uncut 50+ .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\System32\LogFiles\Fax\Incoming\norwegian sperm horse [bangbus] traffic .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\PSDesiredStateConfiguration\WebDownloadManager\spanish hardcore fucking sleeping titts (Gina).zip.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\SysWOW64\config\systemprofile\bukkake cum public titts .avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\SysWOW64\IME\SHARED\chinese cumshot beast [bangbus] vagina swallow .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\SysWOW64\config\systemprofile\african bukkake several models .zip.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\System32\DriverStore\Temp\beastiality sleeping (Gina).mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\SmbShare\action licking boots .rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\SysWOW64\FxsTmp\sperm handjob [free] (Karin).mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\PSDesiredStateConfiguration\WebDownloadManager\american lingerie girls nipples .rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe

Drops file in Program Files directory 18 IoCs

description	ioc	Process
File created	C:\Program Files\Common Files\microsoft shared\blowjob voyeur YEâPSè& .zip.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files\dotnet\shared\black xxx big hotel .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files\Microsoft Office\root\vfs\ProgramFilesX64\Microsoft SQL Server\130\Shared\handjob fetish hot (!) castration (Jade).rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files\WindowsApps\Microsoft.WindowsMaps_5.1906.1972.0_x64__8wekyb3d8bbwe\Assets\Images\PrintAndShare\indian hardcore big .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files (x86)\Google\Temp\african xxx uncut boots .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files (x86)\Google\Update\Download\lingerie [free] feet girly (Sandy,Gina).mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX64\Microsoft Shared\swedish lesbian public vagina .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files\Microsoft Office\root\vfs\ProgramFilesX86\Microsoft SQL Server\130\Shared\fetish public (Tatjana,Britney).rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\WebResources\Resource0\static\js\plugins\unified-share\animal hidden bedroom .zip.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files (x86)\Common Files\Microsoft Shared\italian sperm beast girls glans shower (Sonja,Tatjana).avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files (x86)\Microsoft\Temp\bukkake nude girls .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files\Microsoft Office\root\Templates\french lesbian public (Samantha).rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX86\Microsoft Shared\french lingerie beastiality [bangbus] .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files (x86)\Windows Sidebar\Shared Gadgets\sperm [milf] (Gina,Sonja).zip.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files\Microsoft Office\Updates\Download\british bukkake gang bang voyeur ash (Jade,Sonja).avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files\Windows Sidebar\Shared Gadgets\lesbian horse licking .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\IDTemplates\american porn [bangbus] ash .rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Program Files (x86)\Microsoft\EdgeUpdate_bk\Download\cum girls hole .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe

Drops file in Windows directory 64 IoCs

description	ioc	Process
File created	C:\Windows\assembly\NativeImages_v4.0.30319_32\Temp\fucking big nipples (Melissa,Sandy).avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.1_it-it_adfc5e0bfca53431\russian beast [milf] (Curtney,Sonja).rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..-eashared-imebroker_31bf3856ad364e35_10.0.19041.844_none_67b5915b5651dd8a\asian trambling lesbian vagina .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.1_en-us_215194e2327a46ac\beastiality [bangbus] pregnant .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-i..nearshareexperience_31bf3856ad364e35_10.0.19041.1288_none_ca3007304990b2ea\french horse handjob licking Ôï (Melissa,Gina).avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-g..olicy-admin-admtmpl_31bf3856ad364e35_10.0.19041.1_none_a7ad1894592cfa12\russian blowjob handjob public hole Ôï .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-h..public-utils-shared_31bf3856ad364e35_10.0.19041.1202_none_d8a1416ab7cccdcf\indian gay [bangbus] nipples .zip.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-nfs-shared.resources_31bf3856ad364e35_10.0.19041.1_it-it_e79b400a6df5fd2c\lingerie full movie .avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\assembly\NativeImages_v2.0.50727_32\Temp\russian fetish action sleeping .zip.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.1_ja-jp_5021dd18efc0460c\spanish porn [free] redhair (Sonja).mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_fr-fr_d38ece58f77171b4\malaysia cumshot beastiality hot (!) .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..s-ime-eashared-ihds_31bf3856ad364e35_10.0.19041.1_none_e8996b7d3512363f\canadian handjob voyeur ash (Sylvia).avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-g..n-admtmpl.resources_31bf3856ad364e35_10.0.19041.1_en-us_bfae5918c0443f83\french gay horse [free] (Sonja,Tatjana).rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-g..n-admtmpl.resources_31bf3856ad364e35_10.0.19041.1_ja-jp_ee7ea14f7d8a3ee3\indian action [milf] .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-m..ineshared.resources_31bf3856ad364e35_10.0.19041.1_en-us_99ddc8ce8d3d6dac\black fetish fetish girls titts bondage .zip.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-p..al-securitytemplate_31bf3856ad364e35_10.0.19041.1_none_a3d9a07cf2290837\brasilian beastiality [free] .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\ServiceProfiles\NetworkService\Downloads\malaysia fetish full movie glans .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..utionservice-shared_31bf3856ad364e35_10.0.19041.1_none_0bc0f3d4cd7dc8fd\german action lesbian [free] feet .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..e-eashared-kjshared_31bf3856ad364e35_10.0.19041.746_none_1bbb9ab9fc52bac9\fetish cum catfight castration .rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-i..ore-shareexperience_31bf3856ad364e35_10.0.19041.1_none_f42978969c79336a\black action handjob licking fishy .avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..ashared-candidateui_31bf3856ad364e35_10.0.19041.746_none_ab42fb092bda9182\american xxx hot (!) .rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_es-es_30d7585a049f5b52\american lingerie [free] .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_uk-ua_5b152a8d329397ec\cum cum uncut (Sandy).mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.1_fr-fr_c3d467c525734eb3\nude handjob [free] glans shoes .avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-nfs-shared.resources_31bf3856ad364e35_10.0.19041.1_ja-jp_89c0bf1761110f07\fucking porn hot (!) boobs castration .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\Microsoft.NET\assembly\GAC_32\Microsoft.GroupPolicy.AdmTmplEditor\african beast cum hot (!) .rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\Microsoft.NET\assembly\GAC_32\Microsoft.GroupPolicy.AdmTmplEditor.Resources\malaysia sperm bukkake catfight .rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..-eashared-imebroker_31bf3856ad364e35_10.0.19041.84_none_81616275259e37fe\black lesbian horse licking granny .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\Downloaded Program Files\german cum nude girls (Kathrin,Samantha).mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Templates\asian kicking hidden vagina boots .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-hvsi-service-shared_31bf3856ad364e35_10.0.19041.1151_none_fbdc4c5f677dc2ec\gay nude girls pregnant .avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..e-eashared-moimeexe_31bf3856ad364e35_10.0.19041.746_none_d01527cffa9c25bc\porn bukkake [bangbus] beautyfull .rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..ime-eashared-imepad_31bf3856ad364e35_10.0.19041.1_none_f07d4fae3e8e883f\japanese beastiality lesbian several models shoes .rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\CbsTemp\tyrkish gay licking .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost_31bf3856ad364e35_10.0.19041.264_none_cb389cf57d74d691\french gang bang [bangbus] mature .avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-i..nearshareexperience_31bf3856ad364e35_10.0.19041.1_none_0b596e2a33be7d4c\malaysia cum hardcore licking .rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\PLA\Templates\tyrkish kicking handjob masturbation beautyfull (Kathrin,Ashley).mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\ServiceProfiles\LocalService\Downloads\danish fucking porn masturbation .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Templates\norwegian kicking fetish voyeur bondage (Anniston,Samantha).mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-hvsi-manager-shared_31bf3856ad364e35_10.0.19041.153_none_e23c926e32d07dc1\black hardcore gay lesbian .rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-mccs-engineshared_31bf3856ad364e35_10.0.19041.746_none_d404daff82e97769\italian gay catfight cock circumcision .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\xxx beast [bangbus] .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\lingerie public .avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..me-jkshared-roaming_31bf3856ad364e35_10.0.19041.1_none_fa09f84703cb02c5\horse [milf] fishy (Jade).mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-devdispitemprovider_31bf3856ad364e35_10.0.19041.867_none_c29826784f9429f8\cum bukkake sleeping legs mature .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-hvsi-manager-shared_31bf3856ad364e35_10.0.19041.1266_none_7916f7558927ae23\kicking [free] nipples shoes .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-i..ore-shareexperience_31bf3856ad364e35_10.0.19041.964_none_1c1a193f5bfcf136\chinese fucking blowjob uncut .avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-nfs-shared.resources_31bf3856ad364e35_10.0.19041.1_fr-fr_fd7349c396c417ae\beastiality cumshot several models ash .rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\Microsoft.NET\assembly\GAC_64\Microsoft.GroupPolicy.AdmTmplEditor\cumshot masturbation upskirt (Samantha,Curtney).mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_it-it_bdb6c49fcea35732\chinese beast action catfight vagina hotel .zip.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..-ime-eashared-proxy_31bf3856ad364e35_10.0.19041.1_none_4c786ae2f508e6d5\canadian lingerie lesbian .zip.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\SoftwareDistribution\Download\SharedFileCache\indian kicking hot (!) lady (Janette,Jenna).mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\templates\black cumshot sleeping glans (Tatjana,Karin).mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_de-de_881b257d159a5de8\canadian gang bang voyeur ash (Liz,Gina).avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..ashared-filemanager_31bf3856ad364e35_10.0.19041.1_none_5d54c0aac5c3c12c\russian nude kicking hidden .rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-mccs-engineshared_31bf3856ad364e35_10.0.19041.1_none_abfc9db6c377b91f\asian cum lingerie voyeur .mpg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\mssrv.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\SoftwareDistribution\Download\black fetish [milf] black hairunshaved .zip.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\SystemResources\Windows.ShellCommon.SharedResources\swedish kicking sleeping vagina .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\assembly\NativeImages_v4.0.30319_64\Temp\nude big .rar.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost_31bf3856ad364e35_10.0.19041.1202_none_621728fcd3c9d5f6\tyrkish animal full movie YEâPSè& (Sonja).mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-g..olicy-admin-admtmpl_31bf3856ad364e35_10.0.19041.572_none_cf90e12518baac85\african porn gang bang sleeping hole pregnant .mpeg.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\view\templates\asian porn full movie .avi.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..me-jkshared-roaming_31bf3856ad364e35_10.0.19041.746_none_2212358fc33cc10f\cum [bangbus] .zip.exe	8a06a03c8b628a4e6798c35d53c986f0N.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 62 IoCs

pid	Process
4860	8a06a03c8b628a4e6798c35d53c986f0N.exe
4860	8a06a03c8b628a4e6798c35d53c986f0N.exe
1636	8a06a03c8b628a4e6798c35d53c986f0N.exe
1636	8a06a03c8b628a4e6798c35d53c986f0N.exe
4860	8a06a03c8b628a4e6798c35d53c986f0N.exe
4860	8a06a03c8b628a4e6798c35d53c986f0N.exe
4696	8a06a03c8b628a4e6798c35d53c986f0N.exe
4696	8a06a03c8b628a4e6798c35d53c986f0N.exe
1348	8a06a03c8b628a4e6798c35d53c986f0N.exe
1348	8a06a03c8b628a4e6798c35d53c986f0N.exe
1636	8a06a03c8b628a4e6798c35d53c986f0N.exe
1636	8a06a03c8b628a4e6798c35d53c986f0N.exe
4860	8a06a03c8b628a4e6798c35d53c986f0N.exe
4860	8a06a03c8b628a4e6798c35d53c986f0N.exe
2244	8a06a03c8b628a4e6798c35d53c986f0N.exe
2244	8a06a03c8b628a4e6798c35d53c986f0N.exe
5028	8a06a03c8b628a4e6798c35d53c986f0N.exe
5028	8a06a03c8b628a4e6798c35d53c986f0N.exe
1580	8a06a03c8b628a4e6798c35d53c986f0N.exe
1580	8a06a03c8b628a4e6798c35d53c986f0N.exe
552	8a06a03c8b628a4e6798c35d53c986f0N.exe
552	8a06a03c8b628a4e6798c35d53c986f0N.exe
4696	8a06a03c8b628a4e6798c35d53c986f0N.exe
4696	8a06a03c8b628a4e6798c35d53c986f0N.exe
1348	8a06a03c8b628a4e6798c35d53c986f0N.exe
1348	8a06a03c8b628a4e6798c35d53c986f0N.exe
1636	8a06a03c8b628a4e6798c35d53c986f0N.exe
1636	8a06a03c8b628a4e6798c35d53c986f0N.exe
4860	8a06a03c8b628a4e6798c35d53c986f0N.exe
4860	8a06a03c8b628a4e6798c35d53c986f0N.exe
3292	8a06a03c8b628a4e6798c35d53c986f0N.exe
3292	8a06a03c8b628a4e6798c35d53c986f0N.exe
4696	8a06a03c8b628a4e6798c35d53c986f0N.exe
4696	8a06a03c8b628a4e6798c35d53c986f0N.exe
3588	8a06a03c8b628a4e6798c35d53c986f0N.exe
3588	8a06a03c8b628a4e6798c35d53c986f0N.exe
4080	8a06a03c8b628a4e6798c35d53c986f0N.exe
4080	8a06a03c8b628a4e6798c35d53c986f0N.exe
3516	8a06a03c8b628a4e6798c35d53c986f0N.exe
3516	8a06a03c8b628a4e6798c35d53c986f0N.exe
2244	8a06a03c8b628a4e6798c35d53c986f0N.exe
2244	8a06a03c8b628a4e6798c35d53c986f0N.exe
2188	8a06a03c8b628a4e6798c35d53c986f0N.exe
2188	8a06a03c8b628a4e6798c35d53c986f0N.exe
1636	8a06a03c8b628a4e6798c35d53c986f0N.exe
1636	8a06a03c8b628a4e6798c35d53c986f0N.exe
1348	8a06a03c8b628a4e6798c35d53c986f0N.exe
1348	8a06a03c8b628a4e6798c35d53c986f0N.exe
4860	8a06a03c8b628a4e6798c35d53c986f0N.exe
4860	8a06a03c8b628a4e6798c35d53c986f0N.exe
4496	8a06a03c8b628a4e6798c35d53c986f0N.exe
4496	8a06a03c8b628a4e6798c35d53c986f0N.exe
5108	8a06a03c8b628a4e6798c35d53c986f0N.exe
5108	8a06a03c8b628a4e6798c35d53c986f0N.exe
552	8a06a03c8b628a4e6798c35d53c986f0N.exe
552	8a06a03c8b628a4e6798c35d53c986f0N.exe
1892	8a06a03c8b628a4e6798c35d53c986f0N.exe
1892	8a06a03c8b628a4e6798c35d53c986f0N.exe
5028	8a06a03c8b628a4e6798c35d53c986f0N.exe
5028	8a06a03c8b628a4e6798c35d53c986f0N.exe
1580	8a06a03c8b628a4e6798c35d53c986f0N.exe
1580	8a06a03c8b628a4e6798c35d53c986f0N.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4860 wrote to memory of 1636	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	86
PID 4860 wrote to memory of 1636	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	86
PID 4860 wrote to memory of 1636	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	86
PID 1636 wrote to memory of 4696	1636	8a06a03c8b628a4e6798c35d53c986f0N.exe	87
PID 1636 wrote to memory of 4696	1636	8a06a03c8b628a4e6798c35d53c986f0N.exe	87
PID 1636 wrote to memory of 4696	1636	8a06a03c8b628a4e6798c35d53c986f0N.exe	87
PID 4860 wrote to memory of 1348	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	88
PID 4860 wrote to memory of 1348	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	88
PID 4860 wrote to memory of 1348	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	88
PID 4696 wrote to memory of 2244	4696	8a06a03c8b628a4e6798c35d53c986f0N.exe	89
PID 4696 wrote to memory of 2244	4696	8a06a03c8b628a4e6798c35d53c986f0N.exe	89
PID 4696 wrote to memory of 2244	4696	8a06a03c8b628a4e6798c35d53c986f0N.exe	89
PID 1348 wrote to memory of 5028	1348	8a06a03c8b628a4e6798c35d53c986f0N.exe	90
PID 1348 wrote to memory of 5028	1348	8a06a03c8b628a4e6798c35d53c986f0N.exe	90
PID 1348 wrote to memory of 5028	1348	8a06a03c8b628a4e6798c35d53c986f0N.exe	90
PID 1636 wrote to memory of 1580	1636	8a06a03c8b628a4e6798c35d53c986f0N.exe	91
PID 1636 wrote to memory of 1580	1636	8a06a03c8b628a4e6798c35d53c986f0N.exe	91
PID 1636 wrote to memory of 1580	1636	8a06a03c8b628a4e6798c35d53c986f0N.exe	91
PID 4860 wrote to memory of 552	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	92
PID 4860 wrote to memory of 552	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	92
PID 4860 wrote to memory of 552	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	92
PID 4696 wrote to memory of 3292	4696	8a06a03c8b628a4e6798c35d53c986f0N.exe	93
PID 4696 wrote to memory of 3292	4696	8a06a03c8b628a4e6798c35d53c986f0N.exe	93
PID 4696 wrote to memory of 3292	4696	8a06a03c8b628a4e6798c35d53c986f0N.exe	93
PID 2244 wrote to memory of 4080	2244	8a06a03c8b628a4e6798c35d53c986f0N.exe	94
PID 2244 wrote to memory of 4080	2244	8a06a03c8b628a4e6798c35d53c986f0N.exe	94
PID 2244 wrote to memory of 4080	2244	8a06a03c8b628a4e6798c35d53c986f0N.exe	94
PID 1348 wrote to memory of 3588	1348	8a06a03c8b628a4e6798c35d53c986f0N.exe	95
PID 1348 wrote to memory of 3588	1348	8a06a03c8b628a4e6798c35d53c986f0N.exe	95
PID 1348 wrote to memory of 3588	1348	8a06a03c8b628a4e6798c35d53c986f0N.exe	95
PID 1636 wrote to memory of 3516	1636	8a06a03c8b628a4e6798c35d53c986f0N.exe	96
PID 1636 wrote to memory of 3516	1636	8a06a03c8b628a4e6798c35d53c986f0N.exe	96
PID 1636 wrote to memory of 3516	1636	8a06a03c8b628a4e6798c35d53c986f0N.exe	96
PID 4860 wrote to memory of 2188	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	97
PID 4860 wrote to memory of 2188	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	97
PID 4860 wrote to memory of 2188	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	97
PID 552 wrote to memory of 4496	552	8a06a03c8b628a4e6798c35d53c986f0N.exe	98
PID 552 wrote to memory of 4496	552	8a06a03c8b628a4e6798c35d53c986f0N.exe	98
PID 552 wrote to memory of 4496	552	8a06a03c8b628a4e6798c35d53c986f0N.exe	98
PID 5028 wrote to memory of 5108	5028	8a06a03c8b628a4e6798c35d53c986f0N.exe	99
PID 5028 wrote to memory of 5108	5028	8a06a03c8b628a4e6798c35d53c986f0N.exe	99
PID 5028 wrote to memory of 5108	5028	8a06a03c8b628a4e6798c35d53c986f0N.exe	99
PID 1580 wrote to memory of 1892	1580	8a06a03c8b628a4e6798c35d53c986f0N.exe	100
PID 1580 wrote to memory of 1892	1580	8a06a03c8b628a4e6798c35d53c986f0N.exe	100
PID 1580 wrote to memory of 1892	1580	8a06a03c8b628a4e6798c35d53c986f0N.exe	100
PID 4696 wrote to memory of 2992	4696	8a06a03c8b628a4e6798c35d53c986f0N.exe	101
PID 4696 wrote to memory of 2992	4696	8a06a03c8b628a4e6798c35d53c986f0N.exe	101
PID 4696 wrote to memory of 2992	4696	8a06a03c8b628a4e6798c35d53c986f0N.exe	101
PID 2244 wrote to memory of 2264	2244	8a06a03c8b628a4e6798c35d53c986f0N.exe	102
PID 2244 wrote to memory of 2264	2244	8a06a03c8b628a4e6798c35d53c986f0N.exe	102
PID 2244 wrote to memory of 2264	2244	8a06a03c8b628a4e6798c35d53c986f0N.exe	102
PID 1348 wrote to memory of 2416	1348	8a06a03c8b628a4e6798c35d53c986f0N.exe	103
PID 1348 wrote to memory of 2416	1348	8a06a03c8b628a4e6798c35d53c986f0N.exe	103
PID 1348 wrote to memory of 2416	1348	8a06a03c8b628a4e6798c35d53c986f0N.exe	103
PID 1636 wrote to memory of 2912	1636	8a06a03c8b628a4e6798c35d53c986f0N.exe	104
PID 1636 wrote to memory of 2912	1636	8a06a03c8b628a4e6798c35d53c986f0N.exe	104
PID 1636 wrote to memory of 2912	1636	8a06a03c8b628a4e6798c35d53c986f0N.exe	104
PID 4860 wrote to memory of 3604	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	105
PID 4860 wrote to memory of 3604	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	105
PID 4860 wrote to memory of 3604	4860	8a06a03c8b628a4e6798c35d53c986f0N.exe	105
PID 552 wrote to memory of 4608	552	8a06a03c8b628a4e6798c35d53c986f0N.exe	106
PID 552 wrote to memory of 4608	552	8a06a03c8b628a4e6798c35d53c986f0N.exe	106
PID 552 wrote to memory of 4608	552	8a06a03c8b628a4e6798c35d53c986f0N.exe	106
PID 3292 wrote to memory of 4356	3292	8a06a03c8b628a4e6798c35d53c986f0N.exe	107

C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
"C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
1⤵
- Checks computer location settings
- Adds Run key to start application
- Enumerates connected drives
- Drops file in System32 directory
- Drops file in Program Files directory
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:4860
- C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
  2⤵
  - Checks computer location settings
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of WriteProcessMemory
  PID:1636
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    - Checks computer location settings
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of WriteProcessMemory
    PID:4696
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      Checks computer location settings
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of WriteProcessMemory
      PID:2244
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        Checks computer location settings
        Suspicious behavior: EnumeratesProcesses
        
        PID:4080
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:4884
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:5596
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        8⤵
        
        PID:9816
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        9⤵
        
        PID:17972
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        8⤵
        
        PID:13436
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        8⤵
        
        PID:1036
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:7248
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        8⤵
        
        PID:15428
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        8⤵
        
        PID:24116
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:9992
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        8⤵
        
        PID:18036
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:13412
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:17168
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:4004
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:6580
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        8⤵
        
        PID:13524
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        8⤵
        
        PID:5688
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:8812
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:13636
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:17868
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:6068
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:11460
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:4424
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:17200
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:8284
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:18896
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:11536
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:2864
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17312
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:2264
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:5524
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:9836
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        8⤵
        
        PID:18148
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:13220
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:17016
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:7128
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:15648
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:22424
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:9492
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:17892
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13484
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:5532
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:3952
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:8944
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:18108
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13596
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17900
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:6672
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13476
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:912
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:8844
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13628
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17836
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      Checks computer location settings
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of WriteProcessMemory
      PID:3292
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:4356
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:5744
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:10556
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        8⤵
        
        PID:1840
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:13324
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:17288
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:7472
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:19608
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:10632
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:18020
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:384
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17272
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:3584
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:7408
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:18568
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:10332
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:6120
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13356
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:5852
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:6080
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:12104
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13276
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17080
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:8292
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18928
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:11680
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:11964
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:2620
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:2992
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:4404
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:7388
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:10340
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:5724
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13340
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17852
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:6152
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13548
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17812
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:8428
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18912
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:11688
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:11148
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17120
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:760
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:8140
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18620
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:11228
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:1540
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17192
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:6176
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13540
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:5068
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:8564
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:11968
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:13236
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:17064
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    - Checks computer location settings
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of WriteProcessMemory
    PID:1580
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      Suspicious behavior: EnumeratesProcesses
      PID:1892
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:4968
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:5636
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:9892
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        8⤵
        
        PID:18100
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:13180
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:17032
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:7328
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:18864
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:10384
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13316
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17380
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:2108
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:6936
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:13428
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:17368
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:9232
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:18028
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13572
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17876
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:6004
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13644
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17932
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:8308
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18052
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:11544
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:1488
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17144
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:2496
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:5664
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:10800
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:5892
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13136
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17828
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:7344
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18012
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:10376
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13160
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:2552
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:3656
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:7200
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:15404
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18840
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:10012
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:6276
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13372
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17176
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:6020
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13556
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17544
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:8532
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17980
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:11976
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:13260
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:17072
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    - Suspicious behavior: EnumeratesProcesses
    PID:3516
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:3740
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:5492
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:9532
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:6212
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13500
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17280
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:6916
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13460
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:4896
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:9360
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13580
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17948
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:4480
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:7256
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:15436
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:20800
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:10068
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:5836
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13404
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:5660
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:5996
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13612
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17860
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:8300
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:18116
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:11516
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:3296
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:636
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:2912
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:5500
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:9824
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:6140
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13188
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17056
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:7180
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:15416
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:20228
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:9724
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:13452
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:5644
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:1552
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:8012
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:18644
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:11176
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:13172
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:17088
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:6044
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:11736
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:13300
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:17320
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:8524
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:17988
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:11952
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:13284
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:17096
- C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
  2⤵
  - Checks computer location settings
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of WriteProcessMemory
  PID:1348
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    - Checks computer location settings
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of WriteProcessMemory
    PID:5028
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      Suspicious behavior: EnumeratesProcesses
      PID:5108
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:2040
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:5680
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:10052
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        8⤵
        
        PID:18164
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:13396
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:17184
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:7336
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:10316
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:5856
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13364
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17844
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:3596
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:7992
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:18124
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:10992
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:17996
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13204
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17008
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:6160
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13652
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17804
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:8332
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18060
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:11664
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13108
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17304
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:3468
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:5516
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:9792
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:18132
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13228
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17104
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:7052
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:15388
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:22416
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:9524
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18180
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13508
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17248
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:2936
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:6976
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13468
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17232
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:9224
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13588
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17916
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:6036
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13676
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17884
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:8580
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:18960
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:11992
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:13252
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:17040
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    - Suspicious behavior: EnumeratesProcesses
    PID:3588
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:2476
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:5768
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:11024
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:18084
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:452
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:2304
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:7748
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18156
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:10940
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18068
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:4228
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17208
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:1588
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:6732
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13564
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18588
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:8900
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18888
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13620
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17924
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:6012
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:12008
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13244
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17048
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:8348
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:18880
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:11656
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:13116
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:17388
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:2416
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:5672
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:10000
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18092
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13420
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:3708
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:7372
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:10648
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:4360
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:18612
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:756
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:7940
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:18596
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:10980
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:4488
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:17216
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:6092
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:12016
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:13292
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:17128
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:8420
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:18140
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:11696
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:13196
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:16912
- C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
  2⤵
  - Checks computer location settings
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of WriteProcessMemory
  PID:552
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    - Suspicious behavior: EnumeratesProcesses
    PID:4496
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:3260
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:5692
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:10776
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:15672
        
        C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        7⤵
        
        PID:24152
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13144
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18852
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:7444
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:10616
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13660
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17908
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:3664
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:6856
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:13492
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17240
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:9052
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:18872
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13604
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:18172
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:6028
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:11712
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:3804
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17136
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:8324
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:20216
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:11704
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:13308
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:17956
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:4608
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:5876
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:10060
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:6184
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13388
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17360
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:7740
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:18004
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:10828
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:18076
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:13128
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:17224
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:2716
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:8152
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:24272
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:11372
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:3328
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:17152
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:6168
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:13668
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:18604
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:8572
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:18920
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:12000
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:13268
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:16860
- C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
  2⤵
  - Suspicious behavior: EnumeratesProcesses
  PID:2188
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:3108
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:5508
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:10156
      - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        6⤵
        
        PID:17744
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13380
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:1584
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:7116
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:13444
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17256
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:9460
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:18044
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:13516
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:1852
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:4552
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:7028
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:15396
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:18636
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:9388
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:17964
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:13532
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:17820
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:5984
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:11436
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:3472
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:17160
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:8316
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:18944
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:11524
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:13120
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:17264
- C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
  2⤵
  PID:3604
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:5712
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:10348
    - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
        5⤵
        
        PID:5872
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:13332
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:5632
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:7380
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:10324
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:5832
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:13348
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:17940
- C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
  2⤵
  PID:4016
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:7464
  - - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
      4⤵
      PID:18936
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:10624
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:13152
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:17296
- C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
  2⤵
  PID:6060
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:11452
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:13212
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:17024
- C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
  2⤵
  PID:8340
- - C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
    3⤵
    PID:18628
- C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
  2⤵
  PID:11672
- C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
  2⤵
  PID:12572
- C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a06a03c8b628a4e6798c35d53c986f0N.exe"
  2⤵
  PID:17112

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Modify Registry

T1112

Credential Access

Unsecured Credentials

T1552

Credentials In Files

T1552.001

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Data from Local System

T1005

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX86\Microsoft Shared\french lingerie beastiality [bangbus] .mpeg.exe

Filesize
1.1MB

MD5
03f92932640d64fb05d41cfd763138e9

SHA1
98af61ca3904cd97db118f7dc57532a7fcad6993

SHA256
98133a1ef040a9d42165501eb31386de33194eb4fdd8535c3042ef201eaa384d

SHA512
74120390b510b3bfb68e9c1cb51ed578ae053bef551d4eb0ef33c7558d826171005dcd34d0f8e8811e16787b9a92ec3bf823c4af9e584ff4a95b3c59cdf59cc9

Download Submit