f0f9a12e2f1410b68cfffb9292a0174b905f220b342cead585f530edfb8e188b

Resubmissions

26/07/2024, 20:40

240726-zgdcystclr 7

26/07/2024, 17:50

240726-went5avaml 7

Analysis

max time kernel
1357s
max time network
1145s
platform
windows10-2004_x64
resource
win10v2004-20240709-en
resource tags

arch:x64arch:x86image:win10v2004-20240709-enlocale:en-usos:windows10-2004-x64system
submitted
26/07/2024, 17:50

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

Bootstrapper.exe
Size

18KB
MD5

d0d53fb776373cd44fe81ae2588359a2
SHA1

5680cce16b289caff87cd4e756305898a85c554b
SHA256

f0f9a12e2f1410b68cfffb9292a0174b905f220b342cead585f530edfb8e188b
SHA512

82bfa0543ff8b6e1ad8f4bd8a372645b6034b4695fb0332128619a867a64953ffa10842b57a2754af4e13c714b69a409cba5335981de8585116715bcd30d96c2
SSDEEP

384:kLAXFrjFFdaLihuhPLTuT1sICJbt5j8KoQrJ+ETu:yAVFiquI9FES

Score

7^/10

persistence

Malware Config

Signatures

Checks computer location settings 2 TTPs 2 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	Bootstrapper.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	cmd.exe

Adds Run key to start application 2 TTPs 4 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVAADA = "C:\\Windows\\Bootstrapper.bat"	reg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVAADA = "C:\\Windows\\Bootstrapper.bat"	reg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVAADA = "C:\\Windows\\Bootstrapper.bat"	reg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVAADA = "C:\\Windows\\Bootstrapper.bat"	reg.exe

Drops file in Windows directory 4 IoCs

description	ioc	Process
File created	C:\Windows\Bootstrapper.bat	cmd.exe
File opened for modification	C:\Windows\Bootstrapper.bat	cmd.exe
File opened for modification	C:\Windows\win.ini	cmd.exe
File opened for modification	C:\Windows\system.ini	cmd.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Modifies registry class 1 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000_Classes\Local Settings	cmd.exe

Modifies registry key 1 TTPs 4 IoCs

Modify Registry

T1112

pid	Process
21692	reg.exe
21704	reg.exe
26572	reg.exe
26284	reg.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1228 wrote to memory of 3424	1228	Bootstrapper.exe	84
PID 1228 wrote to memory of 3424	1228	Bootstrapper.exe	84
PID 3424 wrote to memory of 3916	3424	cmd.exe	86
PID 3424 wrote to memory of 3916	3424	cmd.exe	86
PID 3424 wrote to memory of 3604	3424	cmd.exe	87
PID 3424 wrote to memory of 3604	3424	cmd.exe	87
PID 3424 wrote to memory of 1720	3424	cmd.exe	88
PID 3424 wrote to memory of 1720	3424	cmd.exe	88
PID 3424 wrote to memory of 2196	3424	cmd.exe	89
PID 3424 wrote to memory of 2196	3424	cmd.exe	89
PID 3424 wrote to memory of 1924	3424	cmd.exe	90
PID 3424 wrote to memory of 1924	3424	cmd.exe	90
PID 3424 wrote to memory of 1456	3424	cmd.exe	91
PID 3424 wrote to memory of 1456	3424	cmd.exe	91
PID 3424 wrote to memory of 4972	3424	cmd.exe	92
PID 3424 wrote to memory of 4972	3424	cmd.exe	92
PID 3424 wrote to memory of 3944	3424	cmd.exe	93
PID 3424 wrote to memory of 3944	3424	cmd.exe	93
PID 3424 wrote to memory of 1948	3424	cmd.exe	94
PID 3424 wrote to memory of 1948	3424	cmd.exe	94
PID 3424 wrote to memory of 2736	3424	cmd.exe	95
PID 3424 wrote to memory of 2736	3424	cmd.exe	95
PID 3424 wrote to memory of 1072	3424	cmd.exe	96
PID 3424 wrote to memory of 1072	3424	cmd.exe	96
PID 3424 wrote to memory of 3100	3424	cmd.exe	97
PID 3424 wrote to memory of 3100	3424	cmd.exe	97
PID 3424 wrote to memory of 1020	3424	cmd.exe	98
PID 3424 wrote to memory of 1020	3424	cmd.exe	98
PID 3424 wrote to memory of 4796	3424	cmd.exe	99
PID 3424 wrote to memory of 4796	3424	cmd.exe	99
PID 3424 wrote to memory of 4908	3424	cmd.exe	100
PID 3424 wrote to memory of 4908	3424	cmd.exe	100
PID 3424 wrote to memory of 2104	3424	cmd.exe	101
PID 3424 wrote to memory of 2104	3424	cmd.exe	101
PID 3424 wrote to memory of 1148	3424	cmd.exe	102
PID 3424 wrote to memory of 1148	3424	cmd.exe	102
PID 3424 wrote to memory of 4932	3424	cmd.exe	103
PID 3424 wrote to memory of 4932	3424	cmd.exe	103
PID 3424 wrote to memory of 772	3424	cmd.exe	104
PID 3424 wrote to memory of 772	3424	cmd.exe	104
PID 3424 wrote to memory of 2852	3424	cmd.exe	105
PID 3424 wrote to memory of 2852	3424	cmd.exe	105
PID 3424 wrote to memory of 3384	3424	cmd.exe	106
PID 3424 wrote to memory of 3384	3424	cmd.exe	106
PID 3424 wrote to memory of 4916	3424	cmd.exe	107
PID 3424 wrote to memory of 4916	3424	cmd.exe	107
PID 3424 wrote to memory of 116	3424	cmd.exe	108
PID 3424 wrote to memory of 116	3424	cmd.exe	108
PID 3424 wrote to memory of 4368	3424	cmd.exe	109
PID 3424 wrote to memory of 4368	3424	cmd.exe	109
PID 3424 wrote to memory of 4364	3424	cmd.exe	110
PID 3424 wrote to memory of 4364	3424	cmd.exe	110
PID 3424 wrote to memory of 4320	3424	cmd.exe	111
PID 3424 wrote to memory of 4320	3424	cmd.exe	111
PID 3424 wrote to memory of 4060	3424	cmd.exe	112
PID 3424 wrote to memory of 4060	3424	cmd.exe	112
PID 3424 wrote to memory of 4628	3424	cmd.exe	113
PID 3424 wrote to memory of 4628	3424	cmd.exe	113
PID 3424 wrote to memory of 4696	3424	cmd.exe	114
PID 3424 wrote to memory of 4696	3424	cmd.exe	114
PID 3424 wrote to memory of 3852	3424	cmd.exe	115
PID 3424 wrote to memory of 3852	3424	cmd.exe	115
PID 3424 wrote to memory of 1972	3424	cmd.exe	116
PID 3424 wrote to memory of 1972	3424	cmd.exe	116

C:\Users\Admin\AppData\Local\Temp\Bootstrapper.exe
"C:\Users\Admin\AppData\Local\Temp\Bootstrapper.exe"
1⤵
- Checks computer location settings
- Suspicious use of WriteProcessMemory
PID:1228
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\cmd.bat" "
  2⤵
  - Checks computer location settings
  - Drops file in Windows directory
  - Modifies registry class
  - Suspicious use of WriteProcessMemory
  PID:3424
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:3916
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:3604
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1720
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2196
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1924
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1456
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4972
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:3944
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1948
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2736
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1072
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:3100
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1020
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4796
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4908
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2104
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1148
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4932
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:772
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2852
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:3384
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4916
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:116
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4368
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4364
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4320
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4060
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4628
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4696
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:3852
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1972
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2924
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2884
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1428
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5084
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4348
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2152
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2092
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1556
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2340
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:3208
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2156
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1236
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2256
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:640
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1232
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1092
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2212
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4664
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4792
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4228
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:3040
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2464
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1628
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4776
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:3312
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:844
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2096
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4976
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4504
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:3032
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4128
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2132
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5124
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5132
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5144
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5152
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5160
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5172
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5180
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5192
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5200
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5216
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5228
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5236
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5248
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5256
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5272
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5280
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5288
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5296
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5308
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5316
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5328
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5336
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5344
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5352
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5360
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5372
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5380
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5388
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5404
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5416
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5428
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5436
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5444
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5452
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5460
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5472
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5488
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5496
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5504
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5512
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5528
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5540
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5552
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5564
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5572
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5584
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5596
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5608
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5620
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5628
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5640
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5652
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5664
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5680
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5696
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5708
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5720
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5728
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5740
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5752
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5760
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5772
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5784
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5792
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6212
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6224
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6236
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6244
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6252
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6264
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6280
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6288
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6296
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6308
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6316
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6324
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6336
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6352
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6360
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6372
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6384
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6400
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6412
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6424
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6432
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6440
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6464
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6472
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6484
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6492
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6500
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6512
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6532
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6540
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6552
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6568
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6588
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6596
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6608
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6620
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6632
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6644
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6660
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6676
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6688
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6704
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6996
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:7316
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8532
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8560
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8568
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8576
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8584
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8592
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8656
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8772
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8784
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8796
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8804
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8812
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8820
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8828
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8836
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8844
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8852
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8860
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8868
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8876
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8884
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8896
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8904
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:8916
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9084
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9236
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9244
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9252
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9260
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9268
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9276
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9288
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9300
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9312
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9324
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9332
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9344
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9356
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9364
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9372
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9380
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9388
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9396
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9404
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9412
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9420
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9428
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9436
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9448
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9464
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9476
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9488
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9496
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9504
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9520
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9528
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9536
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9544
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9556
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9568
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9580
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9588
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9596
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9604
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9612
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9620
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9628
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9636
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9644
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9652
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9664
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9676
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9688
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9696
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9704
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9712
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9720
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9728
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9736
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9744
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9752
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9764
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9772
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9780
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9788
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9796
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9804
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9812
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9820
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9828
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9836
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9844
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9860
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:9868
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10700
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10736
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10744
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10752
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10776
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10796
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10804
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10812
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10820
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10828
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10836
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10844
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10856
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10864
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10872
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10884
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10900
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:10928
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11716
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11744
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11752
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11760
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11768
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11776
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11784
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11792
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11800
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11808
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11816
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11828
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11840
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11848
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11856
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11864
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11872
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11880
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11888
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11896
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11904
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11912
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11920
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11928
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11936
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11944
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11952
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11960
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11968
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11976
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11984
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:11996
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12004
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12016
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12024
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12032
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12040
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12048
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12056
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12068
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12080
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12516
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12540
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12560
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12572
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12580
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12588
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12596
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12604
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12612
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12620
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12628
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12636
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12644
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12652
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12660
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12668
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12684
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:12696
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13364
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13376
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13384
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13392
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13400
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13408
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13416
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13424
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13436
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13628
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13640
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13648
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13656
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13668
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13680
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13688
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13696
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13704
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13712
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13720
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13728
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13736
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13744
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13752
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13760
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13768
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13776
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13784
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13792
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13800
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13808
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13816
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13824
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13836
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13844
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13852
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13860
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13868
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13876
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13884
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13892
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13900
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13912
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13920
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13928
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13936
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13944
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13952
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13960
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13968
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:13976
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:14916
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:14928
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:14936
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:14944
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:14952
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:14960
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:14968
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15012
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15020
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15028
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15036
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15044
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15052
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15060
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15068
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15076
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15084
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15092
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15100
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15108
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15116
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15124
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15132
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15140
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15148
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15156
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15164
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15184
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15204
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15212
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15220
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15764
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15796
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15804
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15812
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15820
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15828
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15836
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15844
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15852
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15860
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15868
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15876
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15884
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15892
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15900
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15908
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15916
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15924
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15932
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15940
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15948
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15956
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15964
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15972
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15984
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:15992
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16000
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16008
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16016
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16024
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16032
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16040
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16048
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16056
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16064
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16072
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16080
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16088
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16096
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16104
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16112
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16120
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16128
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16136
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16144
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17060
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17092
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17100
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17108
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17116
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17124
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17132
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17140
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17148
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17156
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17164
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17388
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17400
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:14840
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16780
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:16960
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17412
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17424
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17432
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17440
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17448
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17456
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17464
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17472
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17480
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17488
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17496
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17504
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17512
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17524
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17532
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17540
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17548
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17556
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17564
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17572
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17580
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17588
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17596
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17604
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17612
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17620
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17628
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17636
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17644
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17652
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17660
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17668
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17676
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17684
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17692
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17704
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17716
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17724
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17732
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17740
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17748
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17756
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17764
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17772
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17780
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17788
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17796
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17804
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17812
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17820
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17828
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17836
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17844
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17852
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17860
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17868
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17876
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17884
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17892
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17900
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17908
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17916
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17924
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17932
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17940
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17948
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17956
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17964
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17972
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17980
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17988
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17996
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:18004
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:18012
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:18020
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:18028
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:18036
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:18044
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:18052
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:18064
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:18076
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:18780
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:19872
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:19908
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:19936
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:19944
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:19952
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:19960
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:19968
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:19976
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:19984
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:19992
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20000
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20008
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20016
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20024
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20032
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20040
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20048
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20056
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20064
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20072
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20080
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20088
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20096
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20104
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20112
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20120
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20420
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20556
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20564
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20572
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20580
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20588
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20596
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20604
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20612
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20620
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20628
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20636
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20644
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20652
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20660
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20668
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20676
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20684
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20692
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20700
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21100
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21132
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21140
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21148
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21156
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21164
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21172
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21180
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21188
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21196
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21204
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21212
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21220
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21228
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21236
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21244
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21252
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21260
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21268
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21276
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21284
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21292
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21300
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21308
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21416
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21444
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21472
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21500
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20496
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:19788
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:14672
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:14316
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:17080
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:20548
- - C:\Windows\System32\WScript.exe
    "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\msg.vbs"
    3⤵
    PID:21652
- - C:\Windows\system32\reg.exe
    reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v AVAADA /t REG_SZ /d C:\Windows\Bootstrapper.bat /f
    3⤵
    - Adds Run key to start application
    - Modifies registry key
    PID:21692
- - C:\Windows\system32\reg.exe
    reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AVAADA /t REG_SZ /d C:\Windows\Bootstrapper.bat /f
    3⤵
    - Adds Run key to start application
    - Modifies registry key
    PID:21704
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21780
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21796
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21804
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21812
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21820
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21828
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21840
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21852
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21860
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21872
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21880
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21888
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21896
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21904
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21916
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21924
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22060
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22072
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22084
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22092
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22100
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22216
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22224
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22372
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22480
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22488
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22524
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21604
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21692
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21740
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21756
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21772
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21612
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4004
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22532
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22540
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22552
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22560
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22568
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22576
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22584
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22592
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22716
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22728
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22808
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22944
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22952
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22964
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22972
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22980
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22988
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22996
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23060
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23164
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23176
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23184
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23236
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23252
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23260
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23332
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23404
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23420
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23428
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23436
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23472
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23480
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23504
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22420
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:216
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4764
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1564
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1888
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:22756
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23624
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23728
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23744
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23764
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23792
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23816
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23824
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23860
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23868
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23876
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23888
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23896
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23904
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24008
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24020
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24028
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24056
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24080
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24088
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24096
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24136
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24300
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24312
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24368
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24432
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24500
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24524
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24540
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24556
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24564
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24572
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2192
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:2788
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4888
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:1904
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4472
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5856
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:744
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5044
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:852
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4240
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:3448
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4940
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:3756
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:3440
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24592
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24600
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24612
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24656
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24676
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24688
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24696
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24772
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24828
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24844
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24852
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24872
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24880
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24888
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25032
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25068
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25076
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25084
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25092
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25100
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25196
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25236
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25244
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25252
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25260
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25268
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25332
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25348
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25364
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25372
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25380
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25436
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25548
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25564
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25572
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25580
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4588
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:4488
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5208
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5812
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5484
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5524
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5852
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5904
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5676
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5704
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5892
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5956
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:5964
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6052
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6108
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6200
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6156
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:24948
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6260
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6392
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6368
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6396
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6576
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6580
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6640
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6668
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6864
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6868
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6800
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6820
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6892
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6900
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:6904
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25716
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25772
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25784
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25792
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25812
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25828
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25836
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25852
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25860
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25884
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:25892
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26024
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26088
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26100
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26108
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26116
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26164
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26204
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26276
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26304
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26316
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26348
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26360
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26372
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26456
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26464
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26496
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26544
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26604
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:26620
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:18336
- - C:\Windows\System32\WScript.exe
    "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\msg.vbs"
    3⤵
    PID:2400
- - C:\Windows\system32\reg.exe
    reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v AVAADA /t REG_SZ /d C:\Windows\Bootstrapper.bat /f
    3⤵
    - Adds Run key to start application
    - Modifies registry key
    PID:26572
- - C:\Windows\system32\reg.exe
    reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AVAADA /t REG_SZ /d C:\Windows\Bootstrapper.bat /f
    3⤵
    - Adds Run key to start application
    - Modifies registry key
    PID:26284
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23320
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21940
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23316
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:23328
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21792
- - C:\Windows\system32\notepad.exe
    notepad.exe
    3⤵
    PID:21776

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 448 -p 5940 -ip 5940
1⤵
PID:26572

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\cmd.bat

Filesize
3KB

MD5
6944404b1b6e1d219f463e89965c52ab

SHA1
2dd91dcb6fcf0947e018ef188a6f726264c9b638

SHA256
9eaa1b6db6e28f108437778365bb277abcbba8453a341591e74ae8e51d5dd4bf

SHA512
153f1fd542002dee56837ca250a8c7b422df43b0fd2bd02d5a7d25dd6db5bcded037ac3d9be908b9e7047e49a2994aefe94e61118a6aaa2a65b8d0107df7c231

Download Submit
C:\Users\Admin\AppData\Local\Temp\msg.vbs

Filesize
153B

MD5
ffbc14a87dd0e98c1e4c6b203624b88d

SHA1
17dbd7925df1c3242935c336d403d48ff1183344

SHA256
3479c84d26357441e3904207d5aed8baf241d2d4f59edaad65eb35a6f53c828b

SHA512
90059d0211b890e6c70f62c52a87b2ec0312b24f75e28b80acab7ab595a24725fb131676e9099d323c0dd18c8ea6edf811b2c96bcd969bca42e2441805e3e806

Download Submit
memory/1228-0-0x00007FFCD2353000-0x00007FFCD2355000-memory.dmp

Filesize
8KB

Download
memory/1228-1-0x00000000007C0000-0x00000000007CA000-memory.dmp

Filesize
40KB

Download

Resubmissions

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads