d19d78137a0b253b3747093745d14efe55e55e2a90d4dc746bed58396ccb706e

Resubmissions

19/08/2024, 00:01

240819-aa131awarj 1

18/08/2024, 23:59

240818-312fnswamn 1

Analysis

max time kernel
129s
max time network
16s
platform
windows7_x64
resource
win7-20240704-en
resource tags

arch:x64arch:x86image:win7-20240704-enlocale:en-usos:windows7-x64system
submitted
18/08/2024, 23:59

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

haha.bat
Size

32B
MD5

4fa20417df4e4fadad2002dff38672ef
SHA1

af1eec2e3164235d3dea758224f06ec818a95b28
SHA256

d19d78137a0b253b3747093745d14efe55e55e2a90d4dc746bed58396ccb706e
SHA512

bd1f834811edc0bb3d0d294562aa014312673ab0c1eeded3a08110331d9447914fc4fc345d45998b3432a57bb0d247e6bab93a19a03b58d9c6901b4b869a8497

Score

1^/10

Malware Config

Signatures

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2544 wrote to memory of 1240	2544	cmd.exe	31
PID 2544 wrote to memory of 1240	2544	cmd.exe	31
PID 2544 wrote to memory of 1240	2544	cmd.exe	31
PID 2544 wrote to memory of 1620	2544	cmd.exe	32
PID 2544 wrote to memory of 1620	2544	cmd.exe	32
PID 2544 wrote to memory of 1620	2544	cmd.exe	32
PID 2544 wrote to memory of 520	2544	cmd.exe	33
PID 2544 wrote to memory of 520	2544	cmd.exe	33
PID 2544 wrote to memory of 520	2544	cmd.exe	33
PID 1620 wrote to memory of 2008	1620	cmd.exe	35
PID 1620 wrote to memory of 2008	1620	cmd.exe	35
PID 1620 wrote to memory of 2008	1620	cmd.exe	35
PID 2544 wrote to memory of 2708	2544	cmd.exe	36
PID 2544 wrote to memory of 2708	2544	cmd.exe	36
PID 2544 wrote to memory of 2708	2544	cmd.exe	36
PID 2544 wrote to memory of 2744	2544	cmd.exe	37
PID 2544 wrote to memory of 2744	2544	cmd.exe	37
PID 2544 wrote to memory of 2744	2544	cmd.exe	37
PID 2708 wrote to memory of 2816	2708	cmd.exe	39
PID 2708 wrote to memory of 2816	2708	cmd.exe	39
PID 2708 wrote to memory of 2816	2708	cmd.exe	39
PID 1620 wrote to memory of 2896	1620	cmd.exe	40
PID 1620 wrote to memory of 2896	1620	cmd.exe	40
PID 1620 wrote to memory of 2896	1620	cmd.exe	40
PID 1620 wrote to memory of 2900	1620	cmd.exe	41
PID 1620 wrote to memory of 2900	1620	cmd.exe	41
PID 1620 wrote to memory of 2900	1620	cmd.exe	41
PID 2896 wrote to memory of 2740	2896	cmd.exe	43
PID 2896 wrote to memory of 2740	2896	cmd.exe	43
PID 2896 wrote to memory of 2740	2896	cmd.exe	43
PID 2544 wrote to memory of 2732	2544	cmd.exe	44
PID 2544 wrote to memory of 2732	2544	cmd.exe	44
PID 2544 wrote to memory of 2732	2544	cmd.exe	44
PID 2544 wrote to memory of 2124	2544	cmd.exe	45
PID 2544 wrote to memory of 2124	2544	cmd.exe	45
PID 2544 wrote to memory of 2124	2544	cmd.exe	45
PID 2732 wrote to memory of 2868	2732	cmd.exe	47
PID 2732 wrote to memory of 2868	2732	cmd.exe	47
PID 2732 wrote to memory of 2868	2732	cmd.exe	47
PID 1620 wrote to memory of 2636	1620	cmd.exe	48
PID 1620 wrote to memory of 2636	1620	cmd.exe	48
PID 1620 wrote to memory of 2636	1620	cmd.exe	48
PID 1620 wrote to memory of 2852	1620	cmd.exe	49
PID 1620 wrote to memory of 2852	1620	cmd.exe	49
PID 1620 wrote to memory of 2852	1620	cmd.exe	49
PID 2636 wrote to memory of 2624	2636	cmd.exe	51
PID 2636 wrote to memory of 2624	2636	cmd.exe	51
PID 2636 wrote to memory of 2624	2636	cmd.exe	51
PID 2896 wrote to memory of 2628	2896	cmd.exe	52
PID 2896 wrote to memory of 2628	2896	cmd.exe	52
PID 2896 wrote to memory of 2628	2896	cmd.exe	52
PID 2896 wrote to memory of 1220	2896	cmd.exe	53
PID 2896 wrote to memory of 1220	2896	cmd.exe	53
PID 2896 wrote to memory of 1220	2896	cmd.exe	53
PID 2628 wrote to memory of 2828	2628	cmd.exe	55
PID 2628 wrote to memory of 2828	2628	cmd.exe	55
PID 2628 wrote to memory of 2828	2628	cmd.exe	55
PID 2708 wrote to memory of 2840	2708	cmd.exe	56
PID 2708 wrote to memory of 2840	2708	cmd.exe	56
PID 2708 wrote to memory of 2840	2708	cmd.exe	56
PID 2708 wrote to memory of 2612	2708	cmd.exe	58
PID 2708 wrote to memory of 2612	2708	cmd.exe	58
PID 2708 wrote to memory of 2612	2708	cmd.exe	58
PID 2840 wrote to memory of 2644	2840	cmd.exe	59

C:\Windows\system32\cmd.exe
cmd /c "C:\Users\Admin\AppData\Local\Temp\haha.bat"
1⤵
- Suspicious use of WriteProcessMemory
PID:2544
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:1240
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:1620
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2008
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:2896
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2740
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      Suspicious use of WriteProcessMemory
      PID:2628
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2828
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:2096
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:512
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:2552
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:2348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:3928
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:4124
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        8⤵
        
        PID:8312
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:8328
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:3944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:4892
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:5036
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:4976
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:5712
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:5760
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:7036
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:7108
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:8504
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:8560
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2280
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:3664
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:5044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:5476
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:5596
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:3720
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:4648
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:5380
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4664
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:5632
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:8912
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5680
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7144
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:3164
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:8704
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8748
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:652
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:1692
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:924
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:3192
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:3288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:9104
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:9144
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:3216
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:4304
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:6804
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4344
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:2336
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:8416
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5124
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:6184
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6256
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:8036
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8068
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:896
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:520
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:3124
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:3412
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2200
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2512
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3536
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5968
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2200
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:1500
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7944
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4748
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4976
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4956
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7700
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7728
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1220
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2508
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2256
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:2836
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2140
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:3540
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:4900
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:6888
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:6920
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:8880
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:8936
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:3556
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:3644
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:7292
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:3164
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:6200
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6296
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:8244
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8276
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2948
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:2640
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2480
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:4024
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:5444
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4040
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:4944
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:7248
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5028
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:6088
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6112
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7492
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7524
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:1400
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3380
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4620
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:6936
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6976
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:9036
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:9088
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3440
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4472
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6832
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4512
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5332
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8836
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5388
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6664
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6736
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:1736
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6724
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2272
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2484
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2236
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:628
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:3744
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7440
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7484
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:1848
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:2844
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5772
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3996
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3892
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7984
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3880
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4668
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4804
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7552
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7580
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2500
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1336
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2656
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:2964
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5856
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3428
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4456
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7564
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4556
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:1556
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2264
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7364
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7416
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2196
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3372
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4640
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8520
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8592
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3416
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:4220
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6576
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4248
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5220
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8676
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5264
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6500
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6516
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3456
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7784
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2900
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:2636
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2624
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2432
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2884
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:1640
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2824
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:3976
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:5196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:8208
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:8228
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4000
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:4868
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:6916
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4960
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:5720
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5776
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7044
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7100
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:8536
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8616
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2716
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3564
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5036
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:2428
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5136
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3592
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4328
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6592
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4360
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5276
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8432
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5292
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6876
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6904
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8872
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8896
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2456
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2668
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:1464
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:908
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2768
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:4032
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:5532
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4064
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:3700
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:7840
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:1512
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:5876
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4356
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:2224
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7184
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:1548
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3268
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:3908
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3276
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4380
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6632
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4388
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5228
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8684
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5256
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6524
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6540
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6148
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6388
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2860
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1644
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2304
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:2868
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5936
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:1588
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5484
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8764
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5500
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6560
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5292
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1040
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3448
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4568
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:1720
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:1512
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3504
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:4480
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6984
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4544
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5324
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8528
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5364
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6656
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6704
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5144
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6712
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2852
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:1608
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1156
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1796
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:1716
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:2452
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:608
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:4576
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:6868
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4596
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:5752
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5808
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:5868
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6000
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3064
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3600
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:3460
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7976
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8012
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3640
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4212
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6792
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4264
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4348
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8404
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5148
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6344
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6372
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8180
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6968
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1532
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2320
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:1700
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3856
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:1736
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:844
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7576
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3896
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4876
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5680
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4952
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5892
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5924
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5260
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6476
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8984
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:9044
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:676
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3632
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3420
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6688
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4620
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3700
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:4692
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7124
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4728
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5624
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:9152
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5664
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7132
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7164
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:8712
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:8740
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2580
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:2276
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1072
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1340
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3356
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7356
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7408
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2340
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2816
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5472
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1736
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2532
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8080
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3676
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5804
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3408
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7796
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7828
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2264
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:788
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2152
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1380
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3248
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:9064
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:9120
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2148
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2412
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5032
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1740
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:4784
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7996
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3064
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1076
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2200
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7888
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7928
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2504
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:3292
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3080
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:8088
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:8136
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3300
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:1944
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6192
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:4116
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:4108
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6284
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:1720
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:6208
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:6280
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:8108
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:8160
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:520
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2708
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2816
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:2840
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2644
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1688
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2928
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:1908
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:1244
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:4156
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:6328
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4172
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:4060
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:3184
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2312
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:6076
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:3900
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7772
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7812
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:732
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3616
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5084
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:5044
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5808
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3684
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4704
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:3040
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4736
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5564
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5596
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6928
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6956
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8544
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8624
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1092
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2136
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2192
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3816
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2700
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3832
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4768
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7096
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4804
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5736
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5792
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7000
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7068
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8512
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8584
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2212
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:760
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3260
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7708
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7744
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1740
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3404
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6008
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1252
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5060
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7508
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5092
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6040
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6064
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5792
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5664
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:8888
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:8964
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2612
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:2448
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2920
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1900
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:1184
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:2164
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:556
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:3200
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:2724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:5640
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:9028
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:5696
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:4568
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:7032
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:3224
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:2040
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:6336
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4124
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:896
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:8056
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4064
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:5560
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4064
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:8096
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8144
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2700
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3140
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2176
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3164
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4256
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6480
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4280
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4524
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8388
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5132
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6352
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6388
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8188
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5848
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1340
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1392
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2720
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4132
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6452
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4148
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4724
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8304
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4148
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6220
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6304
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8028
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8060
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2616
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3388
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4844
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3456
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:4488
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7020
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4536
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5456
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8640
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5476
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6744
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6768
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:8256
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:8292
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2452
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:1992
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2408
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1596
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2900
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3840
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4172
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3880
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:4884
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7256
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4984
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5960
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5996
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3100
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5760
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:9052
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:9096
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2904
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3472
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4676
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3488
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:4496
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6860
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4560
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5348
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8480
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5420
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6640
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6720
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3124
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6740
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:1584
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:1348
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2264
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5544
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5572
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6732
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7196
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:832
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:3848
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2224
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7348
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7392
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3888
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:4760
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5924
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:4788
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:5828
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:9184
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:5864
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:5424
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:5388
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:9136
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:9172
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:2744
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2732
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2868
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:2068
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1320
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:884
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:1516
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:1704
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2032
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:5816
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5844
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7320
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7340
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:1708
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3984
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5340
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:8336
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8344
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4016
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3484
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7544
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3224
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6096
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6128
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3660
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6764
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2392
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1592
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3108
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6548
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6564
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8440
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8460
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2408
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:4076
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5304
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3040
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3276
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7448
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3408
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:4176
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5144
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7212
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7232
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2856
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:2400
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:844
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1464
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3340
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:896
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2148
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6420
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3304
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3428
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3744
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:832
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6124
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2556
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7852
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7876
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:560
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:2116
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2532
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:4912
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5572
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5008
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6048
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6080
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7432
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7476
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:1556
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:3608
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3440
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3656
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:4296
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6600
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:4312
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:4284
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6544
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:5164
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:6444
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:6488
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:7724
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3076
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:2124
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:2672
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3064
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:1744
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2368
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1516
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3180
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7628
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7672
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2412
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2196
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5704
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8808
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8844
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2616
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3592
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7500
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4356
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:4312
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4464
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3108
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4512
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3008
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:1528
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1544
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2684
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3100
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6992
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7084
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2868
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2280
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5988
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8756
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8792
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3652
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5112
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7536
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2720
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:4248
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4512
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:4464
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7188
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3040
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:3132
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2772
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7608
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3260
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3156
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:2304
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3064
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:4108
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:5104
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:8104
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:920
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:5984
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:4004
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:7896
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:7936
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:2776
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:1904
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2784
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:2860
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1732
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7760
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7788
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2040
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:4084
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5436
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2700
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:4812
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6368
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:4828
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:5616
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:5656
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:7012
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:7076
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:8648
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:8668
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:3052
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:432
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:1524
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:1920
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3572
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6116
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5676
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3076
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:2372
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5732
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:4060
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:3836
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7952
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:4000
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:2724
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:5652
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:7612
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:7656
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:664
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:2596
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:736
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:1280
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5884
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:8928
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:8992
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:676
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:3560
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7648
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:812
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:6164
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:6240
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:6372
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3576
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:2772
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:3364
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:4712
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:3408
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:4440
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:6812
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:4464
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:5316
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:8856
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:5380
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:6648
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:6712
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:6492
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:8196

Windows 7 deprecation

Loading Replay Monitor...

Resubmissions

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads