d19d78137a0b253b3747093745d14efe55e55e2a90d4dc746bed58396ccb706e

Resubmissions

19/08/2024, 00:01

240819-aa131awarj 1

18/08/2024, 23:59

240818-312fnswamn 1

Analysis

max time kernel
149s
max time network
150s
platform
windows10-2004_x64
resource
win10v2004-20240802-en
resource tags

arch:x64arch:x86image:win10v2004-20240802-enlocale:en-usos:windows10-2004-x64system
submitted
19/08/2024, 00:01

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

haha.bat
Size

32B
MD5

4fa20417df4e4fadad2002dff38672ef
SHA1

af1eec2e3164235d3dea758224f06ec818a95b28
SHA256

d19d78137a0b253b3747093745d14efe55e55e2a90d4dc746bed58396ccb706e
SHA512

bd1f834811edc0bb3d0d294562aa014312673ab0c1eeded3a08110331d9447914fc4fc345d45998b3432a57bb0d247e6bab93a19a03b58d9c6901b4b869a8497

Score

1^/10

Malware Config

Signatures

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2928 wrote to memory of 1424	2928	cmd.exe	86
PID 2928 wrote to memory of 1424	2928	cmd.exe	86
PID 2928 wrote to memory of 3684	2928	cmd.exe	87
PID 2928 wrote to memory of 3684	2928	cmd.exe	87
PID 2928 wrote to memory of 4612	2928	cmd.exe	89
PID 2928 wrote to memory of 4612	2928	cmd.exe	89
PID 3684 wrote to memory of 1464	3684	cmd.exe	90
PID 3684 wrote to memory of 1464	3684	cmd.exe	90
PID 2928 wrote to memory of 4684	2928	cmd.exe	91
PID 2928 wrote to memory of 4684	2928	cmd.exe	91
PID 2928 wrote to memory of 2540	2928	cmd.exe	93
PID 2928 wrote to memory of 2540	2928	cmd.exe	93
PID 2928 wrote to memory of 2952	2928	cmd.exe	94
PID 2928 wrote to memory of 2952	2928	cmd.exe	94
PID 2928 wrote to memory of 4112	2928	cmd.exe	95
PID 2928 wrote to memory of 4112	2928	cmd.exe	95
PID 4684 wrote to memory of 4348	4684	cmd.exe	97
PID 4684 wrote to memory of 4348	4684	cmd.exe	97
PID 3684 wrote to memory of 1476	3684	cmd.exe	98
PID 3684 wrote to memory of 1476	3684	cmd.exe	98
PID 3684 wrote to memory of 4032	3684	cmd.exe	99
PID 3684 wrote to memory of 4032	3684	cmd.exe	99
PID 2928 wrote to memory of 228	2928	cmd.exe	101
PID 2928 wrote to memory of 228	2928	cmd.exe	101
PID 2928 wrote to memory of 2924	2928	cmd.exe	102
PID 2928 wrote to memory of 2924	2928	cmd.exe	102
PID 4684 wrote to memory of 3040	4684	cmd.exe	104
PID 4684 wrote to memory of 3040	4684	cmd.exe	104
PID 4684 wrote to memory of 1928	4684	cmd.exe	105
PID 4684 wrote to memory of 1928	4684	cmd.exe	105
PID 2952 wrote to memory of 2320	2952	cmd.exe	107
PID 2952 wrote to memory of 2320	2952	cmd.exe	107
PID 1476 wrote to memory of 4512	1476	cmd.exe	108
PID 1476 wrote to memory of 4512	1476	cmd.exe	108
PID 3684 wrote to memory of 1452	3684	cmd.exe	109
PID 3684 wrote to memory of 1452	3684	cmd.exe	109
PID 3684 wrote to memory of 1268	3684	cmd.exe	111
PID 3684 wrote to memory of 1268	3684	cmd.exe	111
PID 2928 wrote to memory of 4056	2928	cmd.exe	112
PID 2928 wrote to memory of 4056	2928	cmd.exe	112
PID 2928 wrote to memory of 5080	2928	cmd.exe	113
PID 2928 wrote to memory of 5080	2928	cmd.exe	113
PID 228 wrote to memory of 3136	228	cmd.exe	115
PID 228 wrote to memory of 3136	228	cmd.exe	115
PID 4684 wrote to memory of 4392	4684	cmd.exe	116
PID 4684 wrote to memory of 4392	4684	cmd.exe	116
PID 3040 wrote to memory of 2960	3040	cmd.exe	117
PID 3040 wrote to memory of 2960	3040	cmd.exe	117
PID 2952 wrote to memory of 3112	2952	cmd.exe	118
PID 2952 wrote to memory of 3112	2952	cmd.exe	118
PID 1476 wrote to memory of 4936	1476	cmd.exe	119
PID 1476 wrote to memory of 4936	1476	cmd.exe	119
PID 4684 wrote to memory of 4956	4684	cmd.exe	123
PID 4684 wrote to memory of 4956	4684	cmd.exe	123
PID 3040 wrote to memory of 3656	3040	cmd.exe	124
PID 3040 wrote to memory of 3656	3040	cmd.exe	124
PID 3040 wrote to memory of 1968	3040	cmd.exe	192
PID 3040 wrote to memory of 1968	3040	cmd.exe	192
PID 3040 wrote to memory of 740	3040	cmd.exe	127
PID 3040 wrote to memory of 740	3040	cmd.exe	127
PID 3040 wrote to memory of 1944	3040	cmd.exe	128
PID 3040 wrote to memory of 1944	3040	cmd.exe	128
PID 3684 wrote to memory of 4048	3684	cmd.exe	130
PID 3684 wrote to memory of 4048	3684	cmd.exe	130

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\haha.bat"
1⤵
- Suspicious use of WriteProcessMemory
PID:2928
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:1424
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:3684
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:1464
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:1476
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4512
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:4936
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3064
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3252
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2400
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:5764
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:6244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:7592
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:6716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:8720
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:11856
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:6992
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:10628
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:10728
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:16200
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:15892
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:11232
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5832
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7876
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:8416
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:12784
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:13992
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:13700
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8376
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:12776
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:14000
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:13732
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:4360
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        7⤵
        
        PID:11964
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:10692
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3164
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:1836
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4524
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:5624
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:6756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:8528
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:11156
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:15020
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:14476
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:7784
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:10636
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5652
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7632
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:7368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:12488
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:13196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        8⤵
        
        PID:14632
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        8⤵
        
        PID:12944
        
        C:\Windows\system32\tree.com
        
        tree
        9⤵
        
        PID:12432
        
        C:\Windows\system32\tree.com
        
        tree
        9⤵
        
        PID:16320
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:1348
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:14464
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:13520
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:3724
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:12412
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:11208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:14692
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:14700
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:3812
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11036
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5216
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6104
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6848
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:8536
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:10396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:13580
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:13632
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:10684
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6868
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8640
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11164
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12668
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12444
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10776
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:14028
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4144
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:4452
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4968
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5544
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5312
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7932
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:9448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:10200
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:6432
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:9664
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:10020
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:13892
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:468
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:15944
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5568
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5512
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:3824
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:9196
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:11612
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11244
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:11084
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:15480
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:15968
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11108
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6596
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:9364
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12140
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:12440
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12804
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11528
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:12272
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:15908
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:13864
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3160
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5884
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6896
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8500
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6060
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10620
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6696
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:8248
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10436
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:10312
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:13556
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:4032
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:1452
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2016
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1556
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4524
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5812
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6628
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7480
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:7288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:988
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:14252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:15672
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:13572
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:2752
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:10608
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4908
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:11340
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6656
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7300
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:10796
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:11788
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5132
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3280
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:15132
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:11416
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4276
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5264
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5784
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:9304
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12124
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11332
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:9024
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:16184
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:14356
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:14896
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11632
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:16180
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:15044
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2292
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:15368
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        7⤵
        
        PID:13792
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:13440
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:15472
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:13984
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7096
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:9012
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11712
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:12968
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:12820
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:11108
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:1268
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:4048
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4628
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:1372
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:1944
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5684
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6356
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:6872
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        7⤵
        
        PID:6656
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:7724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:11124
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:10176
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:11224
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6568
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7472
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7964
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:10808
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:12896
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12820
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:11236
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6312
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:12008
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4756
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:14624
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:14640
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:13128
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:12540
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:14472
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:15068
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3712
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7236
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6228
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:11832
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:9020
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:6224
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:14896
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:15656
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:16148
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11892
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:14020
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6320
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:11636
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10548
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:14816
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10880
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:9112
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:12764
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:16036
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:10848
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:11852
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:11056
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:14996
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:11788
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:15620
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:8116
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:16032
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6196
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:13104
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:11624
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3208
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:2380
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4092
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5488
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6708
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8408
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:10244
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:13344
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8028
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6760
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:11712
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12892
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:15056
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5536
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5004
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6716
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8340
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:10444
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:13588
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:13320
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11136
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6524
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:11972
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6364
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:9224
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10252
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:13352
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:15512
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:14972
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:11416
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:11628
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:15812
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3840
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:5348
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6480
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5956
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10136
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5048
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10460
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7836
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:10444
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:12664
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3980
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:16304
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:13812
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:14276
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7584
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:12756
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:11804
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:16036
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:15364
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:14276
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:6184
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:6728
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:9840
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7976
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11440
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:9936
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:10720
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:10616
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:14168
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:10604
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3980
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:4612
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:4684
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:4348
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:3040
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2960
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3656
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:1536
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:1968
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2220
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:6532
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:7744
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:10288
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:12664
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        8⤵
        
        PID:6316
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:6232
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:11340
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:12536
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:11144
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:15892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:14380
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        8⤵
        
        PID:11032
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7648
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:8004
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:12404
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12444
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3064
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5172
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5168
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:6356
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:9708
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:10004
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:13780
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        8⤵
        
        PID:12772
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:11572
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8764
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:12984
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:10872
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:13004
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:14976
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:14104
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5564
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6384
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8864
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7956
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:11776
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12356
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:12532
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        7⤵
        
        PID:8004
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:16176
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:3280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:11020
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        8⤵
        
        PID:12768
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:15712
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:15372
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:16296
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:13384
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:11820
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:15832
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:11616
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:14076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:13824
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        8⤵
        
        PID:11056
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:14724
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12844
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:13828
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7584
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:13276
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:7580
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12824
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:14288
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:13440
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:15796
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:15792
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:13044
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1968
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:740
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3712
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:2084
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:1944
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:5552
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:6372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:7228
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:9464
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        8⤵
        
        PID:11732
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        9⤵
        
        PID:11436
        
        C:\Windows\system32\WerFault.exe
        
        C:\Windows\system32\WerFault.exe -u -p 11436 -s 464
        10⤵
        
        PID:11856
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:13812
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:14468
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:15740
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:13720
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        8⤵
        
        PID:15760
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:10424
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:7840
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:11368
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6196
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7316
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:6528
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:12108
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:10244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        8⤵
        
        PID:4236
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:14092
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        8⤵
        
        PID:15932
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        8⤵
        
        PID:10788
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:10532
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:11912
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:1424
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:11660
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:7360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:7964
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:12992
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:11020
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:9588
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2956
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:13768
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:9644
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:15972
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:14760
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:4776
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5504
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5412
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:9172
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:11564
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11252
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:13560
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:15924
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5240
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5832
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:4340
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:9400
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:9860
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:11976
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:11328
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        8⤵
        
        PID:14632
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7628
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:13212
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11256
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:14800
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:13296
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1944
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2248
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5180
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6024
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7088
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:8892
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:11348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:13516
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:12800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:14916
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11028
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6764
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8508
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11144
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10628
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4848
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5708
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6928
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8724
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11172
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10872
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5716
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7292
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7908
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:11828
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8116
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:9760
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:13080
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        8⤵
        
        PID:11572
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:10604
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12340
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11900
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:14916
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:14472
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:13492
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:15476
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7300
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:9536
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:12116
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:11588
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:1928
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:4392
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1980
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2676
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:2436
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6236
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7700
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7772
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:12428
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12340
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:14924
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:13572
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6408
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7640
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12100
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11340
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:11232
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:1916
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4196
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5380
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6252
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6956
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:9480
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:11144
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10192
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:11236
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:15044
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5416
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6400
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7792
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8388
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11124
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:15148
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        7⤵
        
        PID:5716
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10424
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6412
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7152
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7712
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3552
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:13104
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:16156
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:10212
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:10780
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:15696
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:10816
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:14020
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:4956
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:1480
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2028
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3260
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3396
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5440
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5336
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:5656
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:7940
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:10840
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:8380
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        8⤵
        
        PID:12320
        
        C:\Windows\system32\tree.com
        
        tree
        9⤵
        
        PID:15672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        9⤵
        
        PID:13012
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:11600
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:12840
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5716
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:11652
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:10256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:7620
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        8⤵
        
        PID:988
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:6232
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        8⤵
        
        PID:15148
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        9⤵
        
        PID:13700
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:13032
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:9108
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:15552
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6212
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6696
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:10232
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:12752
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10016
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:10860
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:10620
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:12680
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4092
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6648
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7688
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7704
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12616
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:12420
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:14852
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:14812
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7724
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:10260
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11604
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:12500
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:14680
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2628
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:5748
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7068
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:8924
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11444
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:11072
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:6616
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:6620
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:9272
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:9712
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:9920
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:9432
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:9448
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:14088
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:16088
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:14068
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:2540
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2952
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2320
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:3112
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3572
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:3248
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3164
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:5992
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:6224
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7032
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:10048
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:10936
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:7908
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        8⤵
        
        PID:15100
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:13460
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:9972
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:10312
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:14472
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6380
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7664
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8164
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:2232
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:9956
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:9940
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:4176
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:13380
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7124
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7100
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:12468
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:13388
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:1228
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:1132
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:15868
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:15972
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11616
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3936
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2764
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:1980
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5128
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6676
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:8048
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:9188
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:11324
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:13928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:15712
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:15752
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:15620
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11260
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:11372
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:16240
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8024
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6512
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:9320
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:14052
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:13384
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:7272
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:11700
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:1236
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:12668
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:13220
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:13520
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:12576
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:8664
        
        C:\Windows\system32\tree.com
        
        tree
        8⤵
        
        PID:4576
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:16116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:15492
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:10572
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:5432
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:10492
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:15580
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:13076
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5408
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7120
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8004
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8076
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:2292
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:2964
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:14716
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:15916
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        7⤵
        
        PID:11236
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:13064
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:8012
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6216
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:6408
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:9800
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:13096
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:15144
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2304
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:4784
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:3940
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6260
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7580
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:10056
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:10768
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:10880
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:14808
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:14844
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8232
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7060
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:8884
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11200
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7124
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:11036
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2992
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:1760
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:5128
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:8060
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:11188
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:9760
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:13380
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:13220
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:13012
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:8084
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:10348
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:12800
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:10908
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:10784
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:11124
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:12744
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:15572
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:16048
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:13104
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:12760
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:15116
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:4112
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:228
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3136
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:2664
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1760
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5248
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5208
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8032
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:9108
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:13156
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:14036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:12748
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        8⤵
        
        PID:6680
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:6524
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:6360
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8840
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:13036
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:14308
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:13392
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:5280
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:2960
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:3064
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7080
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8996
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11436
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11132
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:9752
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:15972
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6840
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:8660
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11064
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:10820
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:14112
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:12928
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:1656
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:4960
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:736
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6808
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7912
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6824
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:7792
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:9920
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:7712
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:10728
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:14888
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:9496
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:8144
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        8⤵
        
        PID:11200
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:16016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        7⤵
        
        PID:10608
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10004
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:10216
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7860
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:10676
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:12760
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:10684
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:12940
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6728
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:14808
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:16140
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:15520
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:15524
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:9588
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:9416
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:12928
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:14476
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:12700
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:15876
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:16052
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7088
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11604
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:5464
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:5744
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7032
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:8092
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6760
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:8416
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:7404
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10856
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6736
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:14920
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:16236
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:9020
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:13136
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:2948
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:13460
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:15760
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:14724
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:10572
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:12216
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        7⤵
        
        PID:10616
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10232
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:13704
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:14484
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5820
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8144
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6336
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:10872
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:15656
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:12824
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6188
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:10244
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:13856
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:16256
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:15572
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10780
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:11920
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11944
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:14176
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:15948
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:13184
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:16096
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:16320
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:11260
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:10924
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:1156
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:6188
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:12764
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:16172
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:6220
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:8580
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:12216
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:12628
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10660
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:12428
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:11632
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:11428
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:11760
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:14040
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:11852
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:6620
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:2924
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:4056
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3828
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:4992
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4964
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:6440
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7780
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:10408
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12712
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:14064
        
        C:\Windows\system32\tree.com
        
        tree
        7⤵
        
        PID:13976
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:12540
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:12592
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10532
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:8184
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:15616
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6452
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:7076
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7976
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:11628
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:3812
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:10220
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:11128
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:2716
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:5200
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:3164
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6380
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:9348
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:12132
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:11472
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:12144
    - - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        5⤵
        
        PID:12100
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:13824
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6308
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:4696
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:7016
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:8932
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:11576
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:13188
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:11080
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:5080
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:4800
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:1512
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:3428
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:2032
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5848
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:6296
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7060
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:7096
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:5716
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:13320
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:7688
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:11708
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10232
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:6680
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:8236
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:10828
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:14120
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:15516
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:11132
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:16360
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:5380
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:10304
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:13468
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:4340
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:6948
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7640
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:5720
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:12436
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7784
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:14464
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:13220
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:16172
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:3660
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:12392
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:7956
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:10784
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:12904
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:12768
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:16208
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:9496
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:3996
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:4640
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:3208
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:6324
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:7772
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:10372
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:12368
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7248
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:14480
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:7124
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:13792
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:14040
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:1916
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:16272
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:12608
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:14680
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:6364
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:7196
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:8040
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:11180
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:9856
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:14896
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:13028
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:14944
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:7288
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:11844
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:10576
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:11776
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:11032
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:9752
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:4940
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:2016
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:5336
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:5212
  - - C:\Windows\System32\Conhost.exe
      \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
      4⤵
      PID:5280
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:1424
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:8148
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:9320
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        5⤵
        
        PID:9404
      - C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        6⤵
        
        PID:9956
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:13852
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /K haha.bat
        6⤵
        
        PID:12004
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:10604
      - C:\Windows\system32\tree.com
        
        tree
        6⤵
        
        PID:1348
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:9180
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:13288
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:9416
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:7040
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:8940
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:10748
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:13892
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:8964
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:11300
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:12972
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:12596
    - - C:\Windows\system32\tree.com
        
        tree
        5⤵
        
        PID:12680
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:13984
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:14132
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /K haha.bat
      4⤵
      PID:13368
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:13168
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:15792
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:5328
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:5272
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:7172
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:9424
  - - C:\Windows\system32\tree.com
      tree
      4⤵
      PID:11964
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:11512
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:11896
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:15144
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:16052
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:7052
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:6756
- - C:\Windows\system32\tree.com
    tree
    3⤵
    PID:7860
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /K haha.bat
    3⤵
    PID:11108
- C:\Windows\system32\tree.com
  tree
  2⤵
  PID:10144
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /K haha.bat
  2⤵
  PID:12620

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -u -p 15160 -s 328
1⤵
PID:12428

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -u -p 15104 -s 16
1⤵
PID:14640

C:\Windows\System32\Conhost.exe
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
1⤵
PID:6432

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 548 -p 15008 -ip 15008
1⤵
PID:14800

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 528 -p 8664 -ip 8664
1⤵
PID:10684

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -u -p 5560 -s 544
1⤵
PID:16240

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 576 -p 10304 -ip 10304
1⤵
PID:14464

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

memory/1348-8-0x00007FF992190000-0x00007FF992385000-memory.dmp

Filesize
2.0MB

Download
memory/2964-0-0x00007FF749A20000-0x00007FF749A87000-memory.dmp

Filesize
412KB

Download
memory/3280-4-0x00007FF749A20000-0x00007FF749A87000-memory.dmp

Filesize
412KB

Download
memory/4392-14-0x00007FF992190000-0x00007FF992385000-memory.dmp

Filesize
2.0MB

Download
memory/4392-13-0x00007FF749A20000-0x00007FF749A87000-memory.dmp

Filesize
412KB

Download
memory/10572-16-0x00007FF992190000-0x00007FF992385000-memory.dmp

Filesize
2.0MB

Download
memory/11132-9-0x00007FF992190000-0x00007FF992385000-memory.dmp

Filesize
2.0MB

Download
memory/11912-3-0x00007FF749A20000-0x00007FF749A87000-memory.dmp

Filesize
412KB

Download
memory/12532-15-0x00007FF992190000-0x00007FF992385000-memory.dmp

Filesize
2.0MB

Download
memory/14472-1-0x00007FF9880A0000-0x00007FF9880D0000-memory.dmp

Filesize
192KB

Download
memory/14972-7-0x00007FF992190000-0x00007FF992385000-memory.dmp

Filesize
2.0MB

Download
memory/15148-2-0x00007FF749A20000-0x00007FF749A87000-memory.dmp

Filesize
412KB

Download
memory/15476-12-0x00007FF749A20000-0x00007FF749A87000-memory.dmp

Filesize
412KB

Download
memory/15656-5-0x00007FF749A20000-0x00007FF749A87000-memory.dmp

Filesize
412KB

Download
memory/16140-11-0x00007FF991FF0000-0x00007FF9920AE000-memory.dmp

Filesize
760KB

Download
memory/16200-6-0x00007FF992190000-0x00007FF992385000-memory.dmp

Filesize
2.0MB

Download
memory/16236-10-0x00007FF749A20000-0x00007FF749A87000-memory.dmp

Filesize
412KB

Download

Resubmissions

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads