Analysis
-
max time kernel
120s -
max time network
96s -
platform
windows10-2004_x64 -
resource
win10v2004-20240709-en -
resource tags
-
submitted
22/07/2024, 03:56
General
-
Target
57f8e93f90b914bf567dcfa9bcd2ec60N.exe
-
Size
119KB
-
MD5
57f8e93f90b914bf567dcfa9bcd2ec60
-
SHA1
3b9b8b264798d2b9c30f75e4aee9f2f88dc64d08
-
SHA256
b4820532b916dfef99ebaa74f940cd502ed9ee1e859571c0fb64437df509e628
-
SHA512
d8aebe8dc0fbc5c78b2024f274303b5502a3c50570406aa5959471d36dd5e7258ccb24345c48680ff6aebbb99e1a722709bd60692bcf0afb9f1cff1ad61e8624
-
SSDEEP
1536:dH+aignyGOf/+B4vnZ/pLh1as2LP5wOgfTy4LgJMkSO7FE2l6IUY1M29ndgY:dugOf/+BgV3asEROuQg+OEIL9gY
Score
10/10
Malware Config
Signatures
-
Modifies visibility of file extensions in Explorer 2 TTPs 64 IoCs
-
UAC bypass 3 TTPs 64 IoCs
-
Renames multiple (82) files with added filename extension
This suggests ransomware activity of encrypting all the files on the system.
-
Checks computer location settings 2 TTPs 1 IoCs
Looks up country code configured in the registry, likely geofence.
-
Executes dropped EXE 2 IoCs
-
Reads user/profile data of web browsers 2 TTPs
Infostealers often target stored browser data, which can include saved credentials etc.
-
Adds Run key to start application 2 TTPs 4 IoCs
-
Drops file in System32 directory 1 IoCs
-
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
Modifies registry key 1 TTPs 64 IoCs
-
Suspicious behavior: EnumeratesProcesses 64 IoCs
-
Suspicious behavior: GetForegroundWindowSpam 1 IoCs
-
Suspicious use of FindShellTrayWindow 64 IoCs
-
Suspicious use of WriteProcessMemory 64 IoCs
Processes
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exe"C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exe"1⤵
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\YeoEkgwQ\mosYkAYI.exe"C:\Users\Admin\YeoEkgwQ\mosYkAYI.exe"2⤵
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of FindShellTrayWindow
-
-
C:\ProgramData\jUcMQgQs\VasIAkYY.exe"C:\ProgramData\jUcMQgQs\VasIAkYY.exe"2⤵
- Executes dropped EXE
- Adds Run key to start application
-
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"2⤵
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N3⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"4⤵
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N5⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"6⤵
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N7⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"8⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N9⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"10⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N11⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"12⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N13⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"14⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N15⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"16⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N17⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"18⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N19⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"20⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N21⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"22⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N23⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"24⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N25⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"26⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N27⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"28⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N29⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"30⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N31⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"32⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N33⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"34⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N35⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"36⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N37⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"38⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N39⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"40⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N41⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"42⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N43⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"44⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N45⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"46⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N47⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"48⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N49⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"50⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N51⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"52⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N53⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"54⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N55⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"56⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N57⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"58⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N59⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"60⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N61⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"62⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N63⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"64⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N65⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"66⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N67⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"68⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N69⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"70⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N71⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"72⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N73⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"74⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N75⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"76⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N77⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"78⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N79⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"80⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N81⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"82⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N83⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"84⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N85⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"86⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N87⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"88⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N89⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"90⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N91⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"92⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N93⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"94⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N95⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"96⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N97⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"98⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N99⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"100⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N101⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"102⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N103⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"104⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N105⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"106⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N107⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"108⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N109⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"110⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N111⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"112⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N113⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"114⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N115⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"116⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N117⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"118⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N119⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N"120⤵
-
C:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N.exeC:\Users\Admin\AppData\Local\Temp\57f8e93f90b914bf567dcfa9bcd2ec60N121⤵
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-