a5052edb687e99d63fc929f4e32e9dd34b642d811399e296256eee87c4e8e2e6

Analysis

max time kernel
14s
max time network
63s
platform
windows10-2004_x64
resource
win10v2004-20240709-en
resource tags

arch:x64arch:x86image:win10v2004-20240709-enlocale:en-usos:windows10-2004-x64system
submitted
26/07/2024, 06:03

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

8a0def42aa18ed20e88f42e3abb32e10N.exe
Size

1.5MB
MD5

8a0def42aa18ed20e88f42e3abb32e10
SHA1

67d9364735d136ea33b36d9735f7cf8312af248e
SHA256

a5052edb687e99d63fc929f4e32e9dd34b642d811399e296256eee87c4e8e2e6
SHA512

c662b61d6d176bcf4aaa58f4389929c4ab3eaf93ecb3f919cd7e805a6e8e7368d75de8ef10681a6ba3b5cecf62a1556fc7c6611290ac5322a63d57097f2021ec
SSDEEP

24576:2wRKZgl2cfRpq3DbitJ3XfwwCdgxG75JW2+bNohRrp8w3LxCyHrykci2y8:h0ZglTRpe6J3Xfj3EW2aaLxxHrDcry8

Score

7^/10

discovery persistence spyware stealer

Malware Config

Signatures

Checks computer location settings 2 TTPs 18 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	8a0def42aa18ed20e88f42e3abb32e10N.exe

Reads user/profile data of web browsers 2 TTPs
Infostealers often target stored browser data, which can include saved credentials etc.
spyware stealer

Data from Local System
T1005

Credentials In Files
T1552.001

Adds Run key to start application 2 TTPs 1 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\mssrv32 = "C:\\Windows\\mssrv.exe"	8a0def42aa18ed20e88f42e3abb32e10N.exe

Enumerates connected drives 3 TTPs 23 IoCs

Attempts to read the root path of hard drives other than the default C: drive.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
File opened (read-only)	\??\K:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\L:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\S:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\U:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\G:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\N:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\O:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\V:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\W:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\Y:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\A:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\E:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\H:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\J:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\M:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\P:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\Z:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\B:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\I:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\Q:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\R:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\T:	8a0def42aa18ed20e88f42e3abb32e10N.exe
File opened (read-only)	\??\X:	8a0def42aa18ed20e88f42e3abb32e10N.exe

Drops file in System32 directory 12 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\config\systemprofile\hardcore big hole pregnant .avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\SysWOW64\IME\SHARED\brasilian animal gay [free] feet .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\PSDesiredStateConfiguration\WebDownloadManager\american beastiality bukkake masturbation .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\SysWOW64\config\systemprofile\trambling hidden hole ¼ë .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\PSDesiredStateConfiguration\WebDownloadManager\horse lesbian shoes .avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\SmbShare\danish fetish hardcore full movie hole lady .zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\System32\LogFiles\Fax\Incoming\japanese action horse girls titts .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\SysWOW64\FxsTmp\tyrkish kicking sperm girls gorgeoushorny .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\SmbShare\tyrkish handjob fucking uncut (Janette).rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\System32\DriverStore\Temp\malaysia horse full movie beautyfull (Britney,Curtney).zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\SysWOW64\FxsTmp\french lingerie girls fishy .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\SysWOW64\IME\SHARED\xxx several models swallow .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe

Drops file in Program Files directory 17 IoCs

description	ioc	Process
File created	C:\Program Files\Common Files\microsoft shared\xxx [bangbus] glans beautyfull (Karin).rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX86\Microsoft Shared\bukkake catfight feet leather .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files\Microsoft Office\root\vfs\ProgramFilesX64\Microsoft SQL Server\130\Shared\japanese kicking hardcore big .zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files\WindowsApps\Microsoft.WindowsMaps_5.1906.1972.0_x64__8wekyb3d8bbwe\Assets\Images\PrintAndShare\swedish porn beast girls feet .zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files\Microsoft Office\root\vfs\ProgramFilesX86\Microsoft SQL Server\130\Shared\tyrkish fetish beast sleeping 50+ .avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files (x86)\Common Files\Microsoft Shared\lesbian [bangbus] redhair (Britney,Karin).avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files (x86)\Google\Temp\bukkake uncut black hairunshaved .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files (x86)\Windows Sidebar\Shared Gadgets\lesbian sleeping blondie .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files (x86)\Google\Update\Download\swedish fetish horse masturbation glans .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files (x86)\Microsoft\EdgeUpdate_bk\Download\gay public fishy .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files\Microsoft Office\root\Templates\brasilian fetish lesbian hidden hole .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX64\Microsoft Shared\danish beastiality trambling uncut (Samantha).mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files\Microsoft Office\Updates\Download\indian gang bang lingerie hidden .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\IDTemplates\russian animal trambling licking glans blondie .zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\WebResources\Resource0\static\js\plugins\unified-share\indian gang bang horse catfight 40+ .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files\dotnet\shared\lingerie [free] cock .avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Program Files\Windows Sidebar\Shared Gadgets\beast catfight cock .avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe

Drops file in Windows directory 64 IoCs

description	ioc	Process
File created	C:\Windows\PLA\Templates\american animal bukkake [milf] .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\templates\fucking hidden hole swallow .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.789_en-us_58ebf9ecc407e3c0\beastiality beast uncut stockings (Gina,Janette).zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..se-shared-datafiles_31bf3856ad364e35_10.0.19041.1_none_2f5f00d280dce9f6\african beast big swallow .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\InputMethod\SHARED\trambling girls cock bedroom .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.1_it-it_adfc5e0bfca53431\kicking gay hot (!) .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\italian beastiality gay masturbation shower .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\SoftwareDistribution\Download\beast hot (!) upskirt .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.867_en-us_49453482f1fb5356\chinese blowjob masturbation .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..ashared-candidateui_31bf3856ad364e35_10.0.19041.1_none_833abdc06c68d338\sperm voyeur cock .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..me-jkshared-roaming_31bf3856ad364e35_10.0.19041.746_none_2212358fc33cc10f\american handjob lingerie lesbian cock bedroom .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\CbsTemp\swedish porn sperm catfight cock .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Templates\sperm [bangbus] cock .avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_es-es_30d7585a049f5b52\asian gay catfight YEâPSè& .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..ime-eashared-imepad_31bf3856ad364e35_10.0.19041.1_none_f07d4fae3e8e883f\indian gang bang trambling lesbian hole high heels .avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\Microsoft.NET\assembly\GAC_64\Microsoft.GroupPolicy.AdmTmplEditor.Resources\japanese fetish blowjob big cock .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.1_ja-jp_5021dd18efc0460c\german blowjob public .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..-eashared-imebroker_31bf3856ad364e35_10.0.19041.844_none_67b5915b5651dd8a\xxx masturbation shower .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\swedish porn lingerie voyeur circumcision .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\security\templates\russian cum horse sleeping hole leather (Samantha).avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\SystemResources\Windows.UI.ShellCommon\SharePickerUI\italian nude fucking lesbian cock .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..utionservice-shared_31bf3856ad364e35_10.0.19041.928_none_33e0d5558cdd7c61\french trambling catfight cock .zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_it-it_bdb6c49fcea35732\malaysia lesbian hidden .zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_ja-jp_5fdc43acc1be690d\german sperm licking high heels .zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..ashared-filemanager_31bf3856ad364e35_10.0.19041.844_none_855aff45853749ef\lesbian girls pregnant (Sandy,Tatjana).mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..e-eashared-kjshared_31bf3856ad364e35_10.0.19041.1_none_f3b35d713ce0fc7f\german trambling big (Liz).mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\Downloaded Program Files\gay sleeping .zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Templates\fucking big cock latex .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..e-eashared-moimeexe_31bf3856ad364e35_10.0.19041.746_none_d01527cffa9c25bc\handjob lesbian [free] stockings .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-a..gement-uevtemplates_31bf3856ad364e35_10.0.19041.1_none_0d66b54875835a49\brasilian cumshot hardcore voyeur sm .avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..ces-ime-eashared-lm_31bf3856ad364e35_10.0.19041.1_none_3d0229d17c310f10\horse lingerie full movie hole fishy .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\assembly\temp\swedish action sperm girls 50+ .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_de-de_881b257d159a5de8\german beast several models feet (Gina,Janette).mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.1_fr-fr_c3d467c525734eb3\bukkake voyeur .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..-eashared-imebroker_31bf3856ad364e35_10.0.19041.84_none_81616275259e37fe\danish nude lingerie [bangbus] .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..me-jkshared-roaming_31bf3856ad364e35_10.0.19041.1_none_fa09f84703cb02c5\beastiality sperm hot (!) hairy .zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\assembly\NativeImages_v4.0.30319_64\Temp\italian handjob gay hidden pregnant .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\view\templates\danish kicking sperm hot (!) latex .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost_31bf3856ad364e35_10.0.19041.264_none_cb389cf57d74d691\gay big pregnant .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..s-ime-eashared-ihds_31bf3856ad364e35_10.0.19041.1_none_e8996b7d3512363f\kicking lingerie sleeping .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\Microsoft.NET\assembly\GAC_64\Microsoft.GroupPolicy.AdmTmplEditor\american cum lingerie hidden .avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_en-us_310bfb76047869ad\canadian gay full movie hairy (Anniston,Karin).mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-b..-bcdtemplate-client_31bf3856ad364e35_10.0.19041.1_none_de1581e9a275faf8\russian porn xxx big feet .zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-devdispitemprovider_31bf3856ad364e35_10.0.19041.1_none_9aa486d790131d4e\lingerie girls glans balls .zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\american horse gay full movie mistress .avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.1_es-es_211cf1c632a13851\black handjob gay public titts .zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\ServiceProfiles\LocalService\Downloads\swedish animal xxx [milf] (Sarah).avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..-ime-eashared-proxy_31bf3856ad364e35_10.0.19041.1_none_4c786ae2f508e6d5\chinese hardcore voyeur cock .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..e-eashared-kjshared_31bf3856ad364e35_10.0.19041.746_none_1bbb9ab9fc52bac9\spanish blowjob [bangbus] titts .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..me-eashared-coretip_31bf3856ad364e35_10.0.19041.1_none_2fe79eae2833b9b1\chinese beast [bangbus] (Samantha).avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..me-eashared-coretip_31bf3856ad364e35_10.0.19041.844_none_57eddd48e7a74274\asian lingerie [milf] cock boots .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\SoftwareDistribution\Download\SharedFileCache\brasilian handjob bukkake [bangbus] (Samantha).avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..utionservice-shared_31bf3856ad364e35_10.0.19041.1_none_0bc0f3d4cd7dc8fd\nude sperm hidden (Sylvia).mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-composable-sharepicker_31bf3856ad364e35_10.0.19041.1_none_c87e96327faffd0e\fucking sleeping (Melissa).zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_uk-ua_5b152a8d329397ec\brasilian animal trambling uncut .zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..ashared-filemanager_31bf3856ad364e35_10.0.19041.1_none_5d54c0aac5c3c12c\bukkake hidden Ôï .rar.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\assembly\NativeImages_v4.0.30319_32\Temp\gay sleeping .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\Microsoft.NET\assembly\GAC_32\Microsoft.GroupPolicy.AdmTmplEditor\russian cumshot bukkake [free] hole sm .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-devdispitemprovider_31bf3856ad364e35_10.0.19041.867_none_c29826784f9429f8\cum lesbian girls (Tatjana).avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.1_en-us_215194e2327a46ac\lesbian hidden cock .zip.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_fr-fr_d38ece58f77171b4\xxx hidden feet black hairunshaved .mpeg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.1_de-de_7860bee9439c3ae7\japanese cumshot lesbian uncut ejaculation .avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\assembly\NativeImages_v2.0.50727_32\Temp\italian cum hardcore sleeping bedroom .avi.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe
File created	C:\Windows\assembly\tmp\american cum beast public .mpg.exe	8a0def42aa18ed20e88f42e3abb32e10N.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

System Location Discovery: System Language Discovery 1 TTPs 22 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	8a0def42aa18ed20e88f42e3abb32e10N.exe

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
4108	8a0def42aa18ed20e88f42e3abb32e10N.exe
4108	8a0def42aa18ed20e88f42e3abb32e10N.exe
3696	8a0def42aa18ed20e88f42e3abb32e10N.exe
3696	8a0def42aa18ed20e88f42e3abb32e10N.exe
4108	8a0def42aa18ed20e88f42e3abb32e10N.exe
4108	8a0def42aa18ed20e88f42e3abb32e10N.exe
3616	8a0def42aa18ed20e88f42e3abb32e10N.exe
3616	8a0def42aa18ed20e88f42e3abb32e10N.exe
208	8a0def42aa18ed20e88f42e3abb32e10N.exe
208	8a0def42aa18ed20e88f42e3abb32e10N.exe
3696	8a0def42aa18ed20e88f42e3abb32e10N.exe
3696	8a0def42aa18ed20e88f42e3abb32e10N.exe
4108	8a0def42aa18ed20e88f42e3abb32e10N.exe
4108	8a0def42aa18ed20e88f42e3abb32e10N.exe
1580	8a0def42aa18ed20e88f42e3abb32e10N.exe
1580	8a0def42aa18ed20e88f42e3abb32e10N.exe
4548	8a0def42aa18ed20e88f42e3abb32e10N.exe
4548	8a0def42aa18ed20e88f42e3abb32e10N.exe
3696	8a0def42aa18ed20e88f42e3abb32e10N.exe
3696	8a0def42aa18ed20e88f42e3abb32e10N.exe
2708	8a0def42aa18ed20e88f42e3abb32e10N.exe
2708	8a0def42aa18ed20e88f42e3abb32e10N.exe
4108	8a0def42aa18ed20e88f42e3abb32e10N.exe
4108	8a0def42aa18ed20e88f42e3abb32e10N.exe
3616	8a0def42aa18ed20e88f42e3abb32e10N.exe
3616	8a0def42aa18ed20e88f42e3abb32e10N.exe
2280	8a0def42aa18ed20e88f42e3abb32e10N.exe
2280	8a0def42aa18ed20e88f42e3abb32e10N.exe
208	8a0def42aa18ed20e88f42e3abb32e10N.exe
208	8a0def42aa18ed20e88f42e3abb32e10N.exe
4652	8a0def42aa18ed20e88f42e3abb32e10N.exe
4652	8a0def42aa18ed20e88f42e3abb32e10N.exe
3696	8a0def42aa18ed20e88f42e3abb32e10N.exe
3696	8a0def42aa18ed20e88f42e3abb32e10N.exe
4732	8a0def42aa18ed20e88f42e3abb32e10N.exe
4732	8a0def42aa18ed20e88f42e3abb32e10N.exe
2480	8a0def42aa18ed20e88f42e3abb32e10N.exe
2480	8a0def42aa18ed20e88f42e3abb32e10N.exe
1940	8a0def42aa18ed20e88f42e3abb32e10N.exe
1940	8a0def42aa18ed20e88f42e3abb32e10N.exe
4108	8a0def42aa18ed20e88f42e3abb32e10N.exe
4108	8a0def42aa18ed20e88f42e3abb32e10N.exe
3616	8a0def42aa18ed20e88f42e3abb32e10N.exe
3616	8a0def42aa18ed20e88f42e3abb32e10N.exe
4832	8a0def42aa18ed20e88f42e3abb32e10N.exe
4832	8a0def42aa18ed20e88f42e3abb32e10N.exe
1580	8a0def42aa18ed20e88f42e3abb32e10N.exe
1580	8a0def42aa18ed20e88f42e3abb32e10N.exe
208	8a0def42aa18ed20e88f42e3abb32e10N.exe
208	8a0def42aa18ed20e88f42e3abb32e10N.exe
3312	8a0def42aa18ed20e88f42e3abb32e10N.exe
3312	8a0def42aa18ed20e88f42e3abb32e10N.exe
3932	8a0def42aa18ed20e88f42e3abb32e10N.exe
3932	8a0def42aa18ed20e88f42e3abb32e10N.exe
4548	8a0def42aa18ed20e88f42e3abb32e10N.exe
4548	8a0def42aa18ed20e88f42e3abb32e10N.exe
2708	8a0def42aa18ed20e88f42e3abb32e10N.exe
2708	8a0def42aa18ed20e88f42e3abb32e10N.exe
4036	8a0def42aa18ed20e88f42e3abb32e10N.exe
4036	8a0def42aa18ed20e88f42e3abb32e10N.exe
2280	8a0def42aa18ed20e88f42e3abb32e10N.exe
2280	8a0def42aa18ed20e88f42e3abb32e10N.exe
1696	8a0def42aa18ed20e88f42e3abb32e10N.exe
1696	8a0def42aa18ed20e88f42e3abb32e10N.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4108 wrote to memory of 3696	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	88
PID 4108 wrote to memory of 3696	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	88
PID 4108 wrote to memory of 3696	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	88
PID 3696 wrote to memory of 3616	3696	8a0def42aa18ed20e88f42e3abb32e10N.exe	91
PID 3696 wrote to memory of 3616	3696	8a0def42aa18ed20e88f42e3abb32e10N.exe	91
PID 3696 wrote to memory of 3616	3696	8a0def42aa18ed20e88f42e3abb32e10N.exe	91
PID 4108 wrote to memory of 208	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	92
PID 4108 wrote to memory of 208	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	92
PID 4108 wrote to memory of 208	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	92
PID 3696 wrote to memory of 1580	3696	8a0def42aa18ed20e88f42e3abb32e10N.exe	95
PID 3696 wrote to memory of 1580	3696	8a0def42aa18ed20e88f42e3abb32e10N.exe	95
PID 3696 wrote to memory of 1580	3696	8a0def42aa18ed20e88f42e3abb32e10N.exe	95
PID 3616 wrote to memory of 4548	3616	8a0def42aa18ed20e88f42e3abb32e10N.exe	96
PID 3616 wrote to memory of 4548	3616	8a0def42aa18ed20e88f42e3abb32e10N.exe	96
PID 3616 wrote to memory of 4548	3616	8a0def42aa18ed20e88f42e3abb32e10N.exe	96
PID 4108 wrote to memory of 2708	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	97
PID 4108 wrote to memory of 2708	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	97
PID 4108 wrote to memory of 2708	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	97
PID 208 wrote to memory of 2280	208	8a0def42aa18ed20e88f42e3abb32e10N.exe	98
PID 208 wrote to memory of 2280	208	8a0def42aa18ed20e88f42e3abb32e10N.exe	98
PID 208 wrote to memory of 2280	208	8a0def42aa18ed20e88f42e3abb32e10N.exe	98
PID 3696 wrote to memory of 4652	3696	8a0def42aa18ed20e88f42e3abb32e10N.exe	100
PID 3696 wrote to memory of 4652	3696	8a0def42aa18ed20e88f42e3abb32e10N.exe	100
PID 3696 wrote to memory of 4652	3696	8a0def42aa18ed20e88f42e3abb32e10N.exe	100
PID 1580 wrote to memory of 1940	1580	8a0def42aa18ed20e88f42e3abb32e10N.exe	101
PID 1580 wrote to memory of 1940	1580	8a0def42aa18ed20e88f42e3abb32e10N.exe	101
PID 1580 wrote to memory of 1940	1580	8a0def42aa18ed20e88f42e3abb32e10N.exe	101
PID 4108 wrote to memory of 4732	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	102
PID 4108 wrote to memory of 4732	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	102
PID 4108 wrote to memory of 4732	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	102
PID 3616 wrote to memory of 2480	3616	8a0def42aa18ed20e88f42e3abb32e10N.exe	103
PID 3616 wrote to memory of 2480	3616	8a0def42aa18ed20e88f42e3abb32e10N.exe	103
PID 3616 wrote to memory of 2480	3616	8a0def42aa18ed20e88f42e3abb32e10N.exe	103
PID 208 wrote to memory of 4832	208	8a0def42aa18ed20e88f42e3abb32e10N.exe	104
PID 208 wrote to memory of 4832	208	8a0def42aa18ed20e88f42e3abb32e10N.exe	104
PID 208 wrote to memory of 4832	208	8a0def42aa18ed20e88f42e3abb32e10N.exe	104
PID 4548 wrote to memory of 3312	4548	8a0def42aa18ed20e88f42e3abb32e10N.exe	105
PID 4548 wrote to memory of 3312	4548	8a0def42aa18ed20e88f42e3abb32e10N.exe	105
PID 4548 wrote to memory of 3312	4548	8a0def42aa18ed20e88f42e3abb32e10N.exe	105
PID 2708 wrote to memory of 3932	2708	8a0def42aa18ed20e88f42e3abb32e10N.exe	106
PID 2708 wrote to memory of 3932	2708	8a0def42aa18ed20e88f42e3abb32e10N.exe	106
PID 2708 wrote to memory of 3932	2708	8a0def42aa18ed20e88f42e3abb32e10N.exe	106
PID 2280 wrote to memory of 4036	2280	8a0def42aa18ed20e88f42e3abb32e10N.exe	107
PID 2280 wrote to memory of 4036	2280	8a0def42aa18ed20e88f42e3abb32e10N.exe	107
PID 2280 wrote to memory of 4036	2280	8a0def42aa18ed20e88f42e3abb32e10N.exe	107
PID 3696 wrote to memory of 1696	3696	8a0def42aa18ed20e88f42e3abb32e10N.exe	108
PID 3696 wrote to memory of 1696	3696	8a0def42aa18ed20e88f42e3abb32e10N.exe	108
PID 3696 wrote to memory of 1696	3696	8a0def42aa18ed20e88f42e3abb32e10N.exe	108
PID 4652 wrote to memory of 3404	4652	8a0def42aa18ed20e88f42e3abb32e10N.exe	109
PID 4652 wrote to memory of 3404	4652	8a0def42aa18ed20e88f42e3abb32e10N.exe	109
PID 4652 wrote to memory of 3404	4652	8a0def42aa18ed20e88f42e3abb32e10N.exe	109
PID 3616 wrote to memory of 624	3616	8a0def42aa18ed20e88f42e3abb32e10N.exe	110
PID 3616 wrote to memory of 624	3616	8a0def42aa18ed20e88f42e3abb32e10N.exe	110
PID 3616 wrote to memory of 624	3616	8a0def42aa18ed20e88f42e3abb32e10N.exe	110
PID 1580 wrote to memory of 3120	1580	8a0def42aa18ed20e88f42e3abb32e10N.exe	111
PID 1580 wrote to memory of 3120	1580	8a0def42aa18ed20e88f42e3abb32e10N.exe	111
PID 1580 wrote to memory of 3120	1580	8a0def42aa18ed20e88f42e3abb32e10N.exe	111
PID 4108 wrote to memory of 5000	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	112
PID 4108 wrote to memory of 5000	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	112
PID 4108 wrote to memory of 5000	4108	8a0def42aa18ed20e88f42e3abb32e10N.exe	112
PID 208 wrote to memory of 3188	208	8a0def42aa18ed20e88f42e3abb32e10N.exe	113
PID 208 wrote to memory of 3188	208	8a0def42aa18ed20e88f42e3abb32e10N.exe	113
PID 208 wrote to memory of 3188	208	8a0def42aa18ed20e88f42e3abb32e10N.exe	113
PID 4548 wrote to memory of 3160	4548	8a0def42aa18ed20e88f42e3abb32e10N.exe	114

C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
"C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
1⤵
- Checks computer location settings
- Adds Run key to start application
- Enumerates connected drives
- Drops file in System32 directory
- Drops file in Program Files directory
- Drops file in Windows directory
- System Location Discovery: System Language Discovery
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:4108
- C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
  2⤵
  - Checks computer location settings
  - System Location Discovery: System Language Discovery
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of WriteProcessMemory
  PID:3696
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    - Checks computer location settings
    - System Location Discovery: System Language Discovery
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of WriteProcessMemory
    PID:3616
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      Checks computer location settings
      System Location Discovery: System Language Discovery
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of WriteProcessMemory
      PID:4548
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        Checks computer location settings
        System Location Discovery: System Language Discovery
        Suspicious behavior: EnumeratesProcesses
        
        PID:3312
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:1108
        
        C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        7⤵
        
        PID:7124
        
        C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        8⤵
        
        PID:13228
        
        C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        7⤵
        
        PID:10272
        
        C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        7⤵
        
        PID:12264
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:6052
        
        C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        7⤵
        
        PID:11464
        
        C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        7⤵
        
        PID:15288
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:8052
        
        C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        7⤵
        
        PID:12572
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:10072
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:12184
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:3160
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:6668
        
        C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        7⤵
        
        PID:12920
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:8888
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:10024
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:12164
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:5440
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:7604
        
        C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        7⤵
        
        PID:13008
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:2704
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:12472
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:5980
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:10668
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:14548
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:7716
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:12968
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10104
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12240
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      Checks computer location settings
      System Location Discovery: System Language Discovery
      Suspicious behavior: EnumeratesProcesses
      PID:2480
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:1444
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:7496
        
        C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        7⤵
        
        PID:13220
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:9976
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:12636
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:6068
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:12888
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:8028
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:12588
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10168
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:1004
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      System Location Discovery: System Language Discovery
      PID:624
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:4800
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:13096
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:8036
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:12552
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10064
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12204
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:5432
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:7172
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:13260
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10200
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12852
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:6012
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:13268
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:7708
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12936
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:10256
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:9996
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    - Checks computer location settings
    - System Location Discovery: System Language Discovery
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of WriteProcessMemory
    PID:1580
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      Checks computer location settings
      System Location Discovery: System Language Discovery
      Suspicious behavior: EnumeratesProcesses
      PID:1940
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:792
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:7284
        
        C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        7⤵
        
        PID:13088
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:10224
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:12232
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:5940
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:13212
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:7612
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:12704
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:3476
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12248
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      Checks computer location settings
      System Location Discovery: System Language Discovery
      PID:3120
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:5420
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:7364
        
        C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        7⤵
        
        PID:12952
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:7296
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:12696
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:6028
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:11404
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:15368
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:8044
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:13252
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10080
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12652
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:5456
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:7324
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:13276
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10208
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12660
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:5988
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10904
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:14416
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:7956
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:10120
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:12224
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    - Checks computer location settings
    - System Location Discovery: System Language Discovery
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of WriteProcessMemory
    PID:4652
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      System Location Discovery: System Language Discovery
      PID:3404
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:6560
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:12984
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:8216
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10016
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:11712
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:5480
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:4348
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:13072
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10492
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:14388
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:6020
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:11384
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:11564
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:7988
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12944
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:10160
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:12616
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    - Checks computer location settings
    - System Location Discovery: System Language Discovery
    - Suspicious behavior: EnumeratesProcesses
    PID:1696
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:5364
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:7592
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:14488
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10000
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12144
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:6036
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:13000
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:8020
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:13236
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:10248
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:12456
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:5332
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:7488
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:13032
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:9104
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:12256
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:6044
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:13016
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:7732
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:14368
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:10096
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:12272
- C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
  2⤵
  - Checks computer location settings
  - System Location Discovery: System Language Discovery
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of WriteProcessMemory
  PID:208
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    - Checks computer location settings
    - System Location Discovery: System Language Discovery
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of WriteProcessMemory
    PID:2280
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      Checks computer location settings
      System Location Discovery: System Language Discovery
      Suspicious behavior: EnumeratesProcesses
      PID:4036
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:5148
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:7372
        
        C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        7⤵
        
        PID:12868
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:8548
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:4696
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:6060
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:13816
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:8088
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:12580
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10056
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12212
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:3560
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:7116
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:12976
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10192
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:13308
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:5688
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:7688
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:13480
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:9984
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12448
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:5948
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10888
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:15184
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:7696
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12912
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:4428
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:12464
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    - Checks computer location settings
    - System Location Discovery: System Language Discovery
    - Suspicious behavior: EnumeratesProcesses
    PID:4832
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:1316
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:6652
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:13292
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:8404
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:13244
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10040
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12172
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:5676
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:7300
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:13064
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10232
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12440
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:5956
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12904
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:7972
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10896
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:14724
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:10152
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:12496
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    - System Location Discovery: System Language Discovery
    PID:3188
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:6660
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:13040
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:8396
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:16396
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:10032
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:848
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:5552
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:7276
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12876
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:10216
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:13300
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:5964
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:13048
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:7904
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:12540
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:10112
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:12488
- C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
  2⤵
  - Checks computer location settings
  - System Location Discovery: System Language Discovery
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of WriteProcessMemory
  PID:2708
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    - Checks computer location settings
    - System Location Discovery: System Language Discovery
    - Suspicious behavior: EnumeratesProcesses
    PID:3932
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:1424
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:7196
      - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        6⤵
        
        PID:13196
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:10184
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12280
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:6076
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:13080
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:7964
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:13056
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:10128
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:13424
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:1416
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:6848
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12928
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:8648
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:10048
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:12480
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:5484
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:7584
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:13024
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:4812
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:2832
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:5996
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:10880
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:13440
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:7724
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:12896
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:10088
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:3668
- C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
  2⤵
  - Checks computer location settings
  - System Location Discovery: System Language Discovery
  - Suspicious behavior: EnumeratesProcesses
  PID:4732
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:4156
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:6140
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12960
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:7980
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:12644
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:10144
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:12668
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:5496
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:7136
    - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
        5⤵
        
        PID:13432
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:10176
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:2384
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:6004
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:12992
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:7940
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:12860
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:10136
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:4408
- C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
  2⤵
  PID:5000
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:6676
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:13204
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:8640
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:10008
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:12052
- C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
  2⤵
  PID:5448
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:7680
  - - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
      "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
      4⤵
      PID:12712
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:4464
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:1408
- C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
  2⤵
  PID:5972
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:10912
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:14636
- C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
  2⤵
  PID:7948
- - C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
    "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
    3⤵
    PID:13284
- C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
  2⤵
  PID:10264
- C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe
  "C:\Users\Admin\AppData\Local\Temp\8a0def42aa18ed20e88f42e3abb32e10N.exe"
  2⤵
  PID:4928

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Modify Registry

T1112

Credential Access

Unsecured Credentials

T1552

Credentials In Files

T1552.001

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Data from Local System

T1005

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX64\Microsoft Shared\danish beastiality trambling uncut (Samantha).mpeg.exe

Filesize
1.3MB

MD5
30543da3170cadc8d09b65cb42b5b553

SHA1
5bc5193939a5e6a48ab49e198b1543eb41804382

SHA256
f7aece737383bead62e9da5acc06585f1efd358ea12340ecf90d653fec70a6fe

SHA512
866f3c5163766f26b958dc9a9401ab59f42fe8af09574c14953b1309a70c34649f9e2c0d4ba73d72f174209a2132d0ee61e52807b016abf469379bd98bd36fa3

Download Submit