Windows 7 deprecation

Windows 7 will be removed from tria.ge on 2025-03-31

Analysis

  • max time kernel
    17s
  • max time network
    36s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20240802-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20240802-enlocale:en-usos:windows10-2004-x64system
  • submitted
    02/09/2024, 15:44

General

  • Target

    Public.exe

  • Size

    25.0MB

  • MD5

    351a8f255c9ec050957fad6feccaef4e

  • SHA1

    7f640025be59f7b8a6872a94cc267327aea7114a

  • SHA256

    3af8a3c2acc030605bb3d6832dc5a7a47a8374be2bf940b2be72b66f2dd9bd19

  • SHA512

    996fa2be6cb334a0ab43d18981e64c01f5fddfb6a81d90a5c881a9ff63424c0e3725f898f205da8d0b1742f443367294709c78aac1165df596a4dea1994423dc

  • SSDEEP

    786432:soNl21gQ2pM4XyBssbuo9x80w5bel4R/bamW:sGco/y+1oA1elm/ep

Score
8/10

Malware Config

Signatures

  • Stops running service(s) 4 TTPs
  • Suspicious use of NtSetInformationThreadHideFromDebugger 2 IoCs
  • Launches sc.exe 21 IoCs

    Sc.exe is a Windows utlilty to control services on the system.

  • Kills process with taskkill 39 IoCs
  • Suspicious behavior: EnumeratesProcesses 2 IoCs
  • Suspicious use of AdjustPrivilegeToken 37 IoCs
  • Suspicious use of WriteProcessMemory 64 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\Public.exe
    "C:\Users\Admin\AppData\Local\Temp\Public.exe"
    1⤵
    • Suspicious use of NtSetInformationThreadHideFromDebugger
    • Suspicious behavior: EnumeratesProcesses
    • Suspicious use of WriteProcessMemory
    PID:3372
    • C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c taskkill /f /im HTTPDebuggerUI.exe >nul 2>&1
      2⤵
      • Suspicious use of WriteProcessMemory
      PID:1608
      • C:\Windows\system32\taskkill.exe
        taskkill /f /im HTTPDebuggerUI.exe
        3⤵
        • Kills process with taskkill
        • Suspicious use of AdjustPrivilegeToken
        PID:3480
    • C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c cls
      2⤵
        PID:2756
      • C:\Windows\system32\cmd.exe
        C:\Windows\system32\cmd.exe /c taskkill /f /im HTTPDebuggerSvc.exe >nul 2>&1
        2⤵
        • Suspicious use of WriteProcessMemory
        PID:4928
        • C:\Windows\system32\taskkill.exe
          taskkill /f /im HTTPDebuggerSvc.exe
          3⤵
          • Kills process with taskkill
          • Suspicious use of AdjustPrivilegeToken
          PID:3992
      • C:\Windows\system32\cmd.exe
        C:\Windows\system32\cmd.exe /c cls
        2⤵
          PID:2900
        • C:\Windows\system32\cmd.exe
          C:\Windows\system32\cmd.exe /c sc stop HTTPDebuggerPro >nul 2>&1
          2⤵
          • Suspicious use of WriteProcessMemory
          PID:396
          • C:\Windows\system32\sc.exe
            sc stop HTTPDebuggerPro
            3⤵
            • Launches sc.exe
            PID:1768
        • C:\Windows\system32\cmd.exe
          C:\Windows\system32\cmd.exe /c cls
          2⤵
            PID:3532
          • C:\Windows\system32\cmd.exe
            C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq cheatengine*" /IM * /F /T >nul 2>&1
            2⤵
            • Suspicious use of WriteProcessMemory
            PID:4932
            • C:\Windows\system32\taskkill.exe
              taskkill /FI "IMAGENAME eq cheatengine*" /IM * /F /T
              3⤵
              • Kills process with taskkill
              • Suspicious use of AdjustPrivilegeToken
              PID:3036
          • C:\Windows\system32\cmd.exe
            C:\Windows\system32\cmd.exe /c cls
            2⤵
              PID:4228
            • C:\Windows\system32\cmd.exe
              C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq httpdebugger*" /IM * /F /T >nul 2>&1
              2⤵
              • Suspicious use of WriteProcessMemory
              PID:3600
              • C:\Windows\system32\taskkill.exe
                taskkill /FI "IMAGENAME eq httpdebugger*" /IM * /F /T
                3⤵
                • Kills process with taskkill
                • Suspicious use of AdjustPrivilegeToken
                PID:4824
            • C:\Windows\system32\cmd.exe
              C:\Windows\system32\cmd.exe /c cls
              2⤵
                PID:1640
              • C:\Windows\system32\cmd.exe
                C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq processhacker*" /IM * /F /T >nul 2>&1
                2⤵
                • Suspicious use of WriteProcessMemory
                PID:4204
                • C:\Windows\system32\taskkill.exe
                  taskkill /FI "IMAGENAME eq processhacker*" /IM * /F /T
                  3⤵
                  • Kills process with taskkill
                  • Suspicious use of AdjustPrivilegeToken
                  PID:2140
              • C:\Windows\system32\cmd.exe
                C:\Windows\system32\cmd.exe /c cls
                2⤵
                  PID:2904
                • C:\Windows\system32\cmd.exe
                  C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq fiddler*" /IM * /F /T >nul 2>&1
                  2⤵
                  • Suspicious use of WriteProcessMemory
                  PID:2836
                  • C:\Windows\system32\taskkill.exe
                    taskkill /FI "IMAGENAME eq fiddler*" /IM * /F /T
                    3⤵
                    • Kills process with taskkill
                    • Suspicious use of AdjustPrivilegeToken
                    PID:1612
                • C:\Windows\system32\cmd.exe
                  C:\Windows\system32\cmd.exe /c cls
                  2⤵
                    PID:3652
                  • C:\Windows\system32\cmd.exe
                    C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq wireshark*" /IM * /F /T >nul 2>&1
                    2⤵
                    • Suspicious use of WriteProcessMemory
                    PID:1408
                    • C:\Windows\system32\taskkill.exe
                      taskkill /FI "IMAGENAME eq wireshark*" /IM * /F /T
                      3⤵
                      • Kills process with taskkill
                      • Suspicious use of AdjustPrivilegeToken
                      PID:4132
                  • C:\Windows\system32\cmd.exe
                    C:\Windows\system32\cmd.exe /c cls
                    2⤵
                      PID:2400
                    • C:\Windows\system32\cmd.exe
                      C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq rawshark*" /IM * /F /T >nul 2>&1
                      2⤵
                      • Suspicious use of WriteProcessMemory
                      PID:456
                      • C:\Windows\system32\taskkill.exe
                        taskkill /FI "IMAGENAME eq rawshark*" /IM * /F /T
                        3⤵
                        • Kills process with taskkill
                        • Suspicious use of AdjustPrivilegeToken
                        PID:4728
                    • C:\Windows\system32\cmd.exe
                      C:\Windows\system32\cmd.exe /c cls
                      2⤵
                        PID:1536
                      • C:\Windows\system32\cmd.exe
                        C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq charles*" /IM * /F /T >nul 2>&1
                        2⤵
                        • Suspicious use of WriteProcessMemory
                        PID:4332
                        • C:\Windows\system32\taskkill.exe
                          taskkill /FI "IMAGENAME eq charles*" /IM * /F /T
                          3⤵
                          • Kills process with taskkill
                          • Suspicious use of AdjustPrivilegeToken
                          PID:1856
                      • C:\Windows\system32\cmd.exe
                        C:\Windows\system32\cmd.exe /c cls
                        2⤵
                          PID:332
                        • C:\Windows\system32\cmd.exe
                          C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq cheatengine*" /IM * /F /T >nul 2>&1
                          2⤵
                          • Suspicious use of WriteProcessMemory
                          PID:740
                          • C:\Windows\system32\taskkill.exe
                            taskkill /FI "IMAGENAME eq cheatengine*" /IM * /F /T
                            3⤵
                            • Kills process with taskkill
                            • Suspicious use of AdjustPrivilegeToken
                            PID:4768
                        • C:\Windows\system32\cmd.exe
                          C:\Windows\system32\cmd.exe /c cls
                          2⤵
                            PID:860
                          • C:\Windows\system32\cmd.exe
                            C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq ida*" /IM * /F /T >nul 2>&1
                            2⤵
                              PID:4732
                              • C:\Windows\system32\taskkill.exe
                                taskkill /FI "IMAGENAME eq ida*" /IM * /F /T
                                3⤵
                                • Kills process with taskkill
                                • Suspicious use of AdjustPrivilegeToken
                                PID:1444
                            • C:\Windows\system32\cmd.exe
                              C:\Windows\system32\cmd.exe /c cls
                              2⤵
                                PID:896
                              • C:\Windows\system32\cmd.exe
                                C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq httpdebugger*" /IM * /F /T >nul 2>&1
                                2⤵
                                  PID:3696
                                  • C:\Windows\system32\taskkill.exe
                                    taskkill /FI "IMAGENAME eq httpdebugger*" /IM * /F /T
                                    3⤵
                                    • Kills process with taskkill
                                    • Suspicious use of AdjustPrivilegeToken
                                    PID:3940
                                • C:\Windows\system32\cmd.exe
                                  C:\Windows\system32\cmd.exe /c cls
                                  2⤵
                                    PID:1716
                                  • C:\Windows\system32\cmd.exe
                                    C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq processhacker*" /IM * /F /T >nul 2>&1
                                    2⤵
                                      PID:4588
                                      • C:\Windows\system32\taskkill.exe
                                        taskkill /FI "IMAGENAME eq processhacker*" /IM * /F /T
                                        3⤵
                                        • Kills process with taskkill
                                        • Suspicious use of AdjustPrivilegeToken
                                        PID:3000
                                    • C:\Windows\system32\cmd.exe
                                      C:\Windows\system32\cmd.exe /c cls
                                      2⤵
                                        PID:3160
                                      • C:\Windows\system32\cmd.exe
                                        C:\Windows\system32\cmd.exe /c sc stop HTTPDebuggerPro >nul 2>&1
                                        2⤵
                                          PID:3756
                                          • C:\Windows\system32\sc.exe
                                            sc stop HTTPDebuggerPro
                                            3⤵
                                            • Launches sc.exe
                                            PID:924
                                        • C:\Windows\system32\cmd.exe
                                          C:\Windows\system32\cmd.exe /c cls
                                          2⤵
                                            PID:1520
                                          • C:\Windows\system32\cmd.exe
                                            C:\Windows\system32\cmd.exe /c sc stop KProcessHacker3 >nul 2>&1
                                            2⤵
                                              PID:2312
                                              • C:\Windows\system32\sc.exe
                                                sc stop KProcessHacker3
                                                3⤵
                                                • Launches sc.exe
                                                PID:448
                                            • C:\Windows\system32\cmd.exe
                                              C:\Windows\system32\cmd.exe /c cls
                                              2⤵
                                                PID:1456
                                              • C:\Windows\system32\cmd.exe
                                                C:\Windows\system32\cmd.exe /c sc stop KProcessHacker2 >nul 2>&1
                                                2⤵
                                                  PID:4960
                                                  • C:\Windows\system32\sc.exe
                                                    sc stop KProcessHacker2
                                                    3⤵
                                                    • Launches sc.exe
                                                    PID:2624
                                                • C:\Windows\system32\cmd.exe
                                                  C:\Windows\system32\cmd.exe /c cls
                                                  2⤵
                                                    PID:3724
                                                  • C:\Windows\system32\cmd.exe
                                                    C:\Windows\system32\cmd.exe /c sc stop KProcessHacker1 >nul 2>&1
                                                    2⤵
                                                      PID:3732
                                                      • C:\Windows\system32\sc.exe
                                                        sc stop KProcessHacker1
                                                        3⤵
                                                        • Launches sc.exe
                                                        PID:1432
                                                    • C:\Windows\system32\cmd.exe
                                                      C:\Windows\system32\cmd.exe /c cls
                                                      2⤵
                                                        PID:2952
                                                      • C:\Windows\system32\cmd.exe
                                                        C:\Windows\system32\cmd.exe /c sc stop wireshark >nul 2>&1
                                                        2⤵
                                                          PID:1944
                                                          • C:\Windows\system32\sc.exe
                                                            sc stop wireshark
                                                            3⤵
                                                            • Launches sc.exe
                                                            PID:2040
                                                        • C:\Windows\system32\cmd.exe
                                                          C:\Windows\system32\cmd.exe /c sc stop npf >nul 2>&1
                                                          2⤵
                                                            PID:2004
                                                            • C:\Windows\system32\sc.exe
                                                              sc stop npf
                                                              3⤵
                                                              • Launches sc.exe
                                                              PID:4072
                                                          • C:\Windows\system32\cmd.exe
                                                            C:\Windows\system32\cmd.exe /c cls
                                                            2⤵
                                                              PID:2740
                                                            • C:\Windows\system32\cmd.exe
                                                              C:\Windows\system32\cmd.exe /c taskkill /f /im HTTPDebuggerUI.exe >nul 2>&1
                                                              2⤵
                                                                PID:3572
                                                                • C:\Windows\system32\taskkill.exe
                                                                  taskkill /f /im HTTPDebuggerUI.exe
                                                                  3⤵
                                                                  • Kills process with taskkill
                                                                  • Suspicious use of AdjustPrivilegeToken
                                                                  PID:4388
                                                              • C:\Windows\system32\cmd.exe
                                                                C:\Windows\system32\cmd.exe /c cls
                                                                2⤵
                                                                  PID:1476
                                                                • C:\Windows\system32\cmd.exe
                                                                  C:\Windows\system32\cmd.exe /c taskkill /f /im HTTPDebuggerSvc.exe >nul 2>&1
                                                                  2⤵
                                                                    PID:3584
                                                                    • C:\Windows\system32\taskkill.exe
                                                                      taskkill /f /im HTTPDebuggerSvc.exe
                                                                      3⤵
                                                                      • Kills process with taskkill
                                                                      • Suspicious use of AdjustPrivilegeToken
                                                                      PID:3292
                                                                  • C:\Windows\system32\cmd.exe
                                                                    C:\Windows\system32\cmd.exe /c cls
                                                                    2⤵
                                                                      PID:3032
                                                                    • C:\Windows\system32\cmd.exe
                                                                      C:\Windows\system32\cmd.exe /c sc stop HTTPDebuggerPro >nul 2>&1
                                                                      2⤵
                                                                        PID:264
                                                                        • C:\Windows\system32\sc.exe
                                                                          sc stop HTTPDebuggerPro
                                                                          3⤵
                                                                          • Launches sc.exe
                                                                          PID:1988
                                                                      • C:\Windows\system32\cmd.exe
                                                                        C:\Windows\system32\cmd.exe /c cls
                                                                        2⤵
                                                                          PID:4948
                                                                        • C:\Windows\system32\cmd.exe
                                                                          C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq cheatengine*" /IM * /F /T >nul 2>&1
                                                                          2⤵
                                                                            PID:1088
                                                                            • C:\Windows\system32\taskkill.exe
                                                                              taskkill /FI "IMAGENAME eq cheatengine*" /IM * /F /T
                                                                              3⤵
                                                                              • Kills process with taskkill
                                                                              • Suspicious use of AdjustPrivilegeToken
                                                                              PID:1604
                                                                          • C:\Windows\system32\cmd.exe
                                                                            C:\Windows\system32\cmd.exe /c cls
                                                                            2⤵
                                                                              PID:3680
                                                                            • C:\Windows\system32\cmd.exe
                                                                              C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq httpdebugger*" /IM * /F /T >nul 2>&1
                                                                              2⤵
                                                                                PID:3760
                                                                                • C:\Windows\system32\taskkill.exe
                                                                                  taskkill /FI "IMAGENAME eq httpdebugger*" /IM * /F /T
                                                                                  3⤵
                                                                                  • Kills process with taskkill
                                                                                  • Suspicious use of AdjustPrivilegeToken
                                                                                  PID:5024
                                                                              • C:\Windows\system32\cmd.exe
                                                                                C:\Windows\system32\cmd.exe /c cls
                                                                                2⤵
                                                                                  PID:4084
                                                                                • C:\Windows\system32\cmd.exe
                                                                                  C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq processhacker*" /IM * /F /T >nul 2>&1
                                                                                  2⤵
                                                                                    PID:932
                                                                                    • C:\Windows\system32\taskkill.exe
                                                                                      taskkill /FI "IMAGENAME eq processhacker*" /IM * /F /T
                                                                                      3⤵
                                                                                      • Kills process with taskkill
                                                                                      • Suspicious use of AdjustPrivilegeToken
                                                                                      PID:2920
                                                                                  • C:\Windows\system32\cmd.exe
                                                                                    C:\Windows\system32\cmd.exe /c cls
                                                                                    2⤵
                                                                                      PID:1768
                                                                                    • C:\Windows\system32\cmd.exe
                                                                                      C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq fiddler*" /IM * /F /T >nul 2>&1
                                                                                      2⤵
                                                                                        PID:396
                                                                                        • C:\Windows\system32\taskkill.exe
                                                                                          taskkill /FI "IMAGENAME eq fiddler*" /IM * /F /T
                                                                                          3⤵
                                                                                          • Kills process with taskkill
                                                                                          • Suspicious use of AdjustPrivilegeToken
                                                                                          PID:3532
                                                                                      • C:\Windows\system32\cmd.exe
                                                                                        C:\Windows\system32\cmd.exe /c cls
                                                                                        2⤵
                                                                                          PID:3468
                                                                                        • C:\Windows\system32\cmd.exe
                                                                                          C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq wireshark*" /IM * /F /T >nul 2>&1
                                                                                          2⤵
                                                                                            PID:2252
                                                                                            • C:\Windows\system32\taskkill.exe
                                                                                              taskkill /FI "IMAGENAME eq wireshark*" /IM * /F /T
                                                                                              3⤵
                                                                                              • Kills process with taskkill
                                                                                              • Suspicious use of AdjustPrivilegeToken
                                                                                              PID:316
                                                                                          • C:\Windows\system32\cmd.exe
                                                                                            C:\Windows\system32\cmd.exe /c cls
                                                                                            2⤵
                                                                                              PID:4828
                                                                                            • C:\Windows\system32\cmd.exe
                                                                                              C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq rawshark*" /IM * /F /T >nul 2>&1
                                                                                              2⤵
                                                                                                PID:4328
                                                                                                • C:\Windows\system32\taskkill.exe
                                                                                                  taskkill /FI "IMAGENAME eq rawshark*" /IM * /F /T
                                                                                                  3⤵
                                                                                                  • Kills process with taskkill
                                                                                                  • Suspicious use of AdjustPrivilegeToken
                                                                                                  PID:3884
                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                C:\Windows\system32\cmd.exe /c cls
                                                                                                2⤵
                                                                                                  PID:3264
                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                  C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq charles*" /IM * /F /T >nul 2>&1
                                                                                                  2⤵
                                                                                                    PID:4100
                                                                                                    • C:\Windows\system32\taskkill.exe
                                                                                                      taskkill /FI "IMAGENAME eq charles*" /IM * /F /T
                                                                                                      3⤵
                                                                                                      • Kills process with taskkill
                                                                                                      • Suspicious use of AdjustPrivilegeToken
                                                                                                      PID:404
                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                    C:\Windows\system32\cmd.exe /c cls
                                                                                                    2⤵
                                                                                                      PID:4520
                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                      C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq cheatengine*" /IM * /F /T >nul 2>&1
                                                                                                      2⤵
                                                                                                        PID:1148
                                                                                                        • C:\Windows\system32\taskkill.exe
                                                                                                          taskkill /FI "IMAGENAME eq cheatengine*" /IM * /F /T
                                                                                                          3⤵
                                                                                                          • Kills process with taskkill
                                                                                                          • Suspicious use of AdjustPrivilegeToken
                                                                                                          PID:2244
                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                        C:\Windows\system32\cmd.exe /c cls
                                                                                                        2⤵
                                                                                                          PID:3712
                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                          C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq ida*" /IM * /F /T >nul 2>&1
                                                                                                          2⤵
                                                                                                            PID:1648
                                                                                                            • C:\Windows\system32\taskkill.exe
                                                                                                              taskkill /FI "IMAGENAME eq ida*" /IM * /F /T
                                                                                                              3⤵
                                                                                                              • Kills process with taskkill
                                                                                                              • Suspicious use of AdjustPrivilegeToken
                                                                                                              PID:1284
                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                            C:\Windows\system32\cmd.exe /c cls
                                                                                                            2⤵
                                                                                                              PID:2880
                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                              C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq httpdebugger*" /IM * /F /T >nul 2>&1
                                                                                                              2⤵
                                                                                                                PID:2008
                                                                                                                • C:\Windows\system32\taskkill.exe
                                                                                                                  taskkill /FI "IMAGENAME eq httpdebugger*" /IM * /F /T
                                                                                                                  3⤵
                                                                                                                  • Kills process with taskkill
                                                                                                                  • Suspicious use of AdjustPrivilegeToken
                                                                                                                  PID:3452
                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                C:\Windows\system32\cmd.exe /c cls
                                                                                                                2⤵
                                                                                                                  PID:332
                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                  C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq processhacker*" /IM * /F /T >nul 2>&1
                                                                                                                  2⤵
                                                                                                                    PID:880
                                                                                                                    • C:\Windows\system32\taskkill.exe
                                                                                                                      taskkill /FI "IMAGENAME eq processhacker*" /IM * /F /T
                                                                                                                      3⤵
                                                                                                                      • Kills process with taskkill
                                                                                                                      • Suspicious use of AdjustPrivilegeToken
                                                                                                                      PID:2832
                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                    C:\Windows\system32\cmd.exe /c cls
                                                                                                                    2⤵
                                                                                                                      PID:348
                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                      C:\Windows\system32\cmd.exe /c sc stop HTTPDebuggerPro >nul 2>&1
                                                                                                                      2⤵
                                                                                                                        PID:1344
                                                                                                                        • C:\Windows\system32\sc.exe
                                                                                                                          sc stop HTTPDebuggerPro
                                                                                                                          3⤵
                                                                                                                          • Launches sc.exe
                                                                                                                          PID:5096
                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                        C:\Windows\system32\cmd.exe /c cls
                                                                                                                        2⤵
                                                                                                                          PID:3940
                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                          C:\Windows\system32\cmd.exe /c sc stop KProcessHacker3 >nul 2>&1
                                                                                                                          2⤵
                                                                                                                            PID:3696
                                                                                                                            • C:\Windows\system32\sc.exe
                                                                                                                              sc stop KProcessHacker3
                                                                                                                              3⤵
                                                                                                                              • Launches sc.exe
                                                                                                                              PID:1072
                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                            C:\Windows\system32\cmd.exe /c cls
                                                                                                                            2⤵
                                                                                                                              PID:228
                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                              C:\Windows\system32\cmd.exe /c sc stop KProcessHacker2 >nul 2>&1
                                                                                                                              2⤵
                                                                                                                                PID:4812
                                                                                                                                • C:\Windows\system32\sc.exe
                                                                                                                                  sc stop KProcessHacker2
                                                                                                                                  3⤵
                                                                                                                                  • Launches sc.exe
                                                                                                                                  PID:1716
                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                C:\Windows\system32\cmd.exe /c cls
                                                                                                                                2⤵
                                                                                                                                  PID:3388
                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                  C:\Windows\system32\cmd.exe /c sc stop KProcessHacker1 >nul 2>&1
                                                                                                                                  2⤵
                                                                                                                                    PID:4780
                                                                                                                                    • C:\Windows\system32\sc.exe
                                                                                                                                      sc stop KProcessHacker1
                                                                                                                                      3⤵
                                                                                                                                      • Launches sc.exe
                                                                                                                                      PID:1048
                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                    C:\Windows\system32\cmd.exe /c cls
                                                                                                                                    2⤵
                                                                                                                                      PID:1632
                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                      C:\Windows\system32\cmd.exe /c sc stop wireshark >nul 2>&1
                                                                                                                                      2⤵
                                                                                                                                        PID:924
                                                                                                                                        • C:\Windows\system32\sc.exe
                                                                                                                                          sc stop wireshark
                                                                                                                                          3⤵
                                                                                                                                          • Launches sc.exe
                                                                                                                                          PID:464
                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                        C:\Windows\system32\cmd.exe /c sc stop npf >nul 2>&1
                                                                                                                                        2⤵
                                                                                                                                          PID:4608
                                                                                                                                          • C:\Windows\system32\sc.exe
                                                                                                                                            sc stop npf
                                                                                                                                            3⤵
                                                                                                                                            • Launches sc.exe
                                                                                                                                            PID:4764
                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                          C:\Windows\system32\cmd.exe /c cls
                                                                                                                                          2⤵
                                                                                                                                            PID:3960
                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                            C:\Windows\system32\cmd.exe /c certutil -hashfile "C:\Users\Admin\AppData\Local\Temp\Public.exe" MD5 | find /i /v "md5" | find /i /v "certutil"
                                                                                                                                            2⤵
                                                                                                                                              PID:760
                                                                                                                                              • C:\Windows\system32\certutil.exe
                                                                                                                                                certutil -hashfile "C:\Users\Admin\AppData\Local\Temp\Public.exe" MD5
                                                                                                                                                3⤵
                                                                                                                                                  PID:4936
                                                                                                                                                • C:\Windows\system32\find.exe
                                                                                                                                                  find /i /v "md5"
                                                                                                                                                  3⤵
                                                                                                                                                    PID:4960
                                                                                                                                                  • C:\Windows\system32\find.exe
                                                                                                                                                    find /i /v "certutil"
                                                                                                                                                    3⤵
                                                                                                                                                      PID:64
                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                    C:\Windows\system32\cmd.exe /c certutil -hashfile "C:\Users\Admin\AppData\Local\Temp\Public.exe" MD5 | find /i /v "md5" | find /i /v "certutil"
                                                                                                                                                    2⤵
                                                                                                                                                      PID:4908
                                                                                                                                                      • C:\Windows\system32\certutil.exe
                                                                                                                                                        certutil -hashfile "C:\Users\Admin\AppData\Local\Temp\Public.exe" MD5
                                                                                                                                                        3⤵
                                                                                                                                                          PID:3044
                                                                                                                                                        • C:\Windows\system32\find.exe
                                                                                                                                                          find /i /v "md5"
                                                                                                                                                          3⤵
                                                                                                                                                            PID:4604
                                                                                                                                                          • C:\Windows\system32\find.exe
                                                                                                                                                            find /i /v "certutil"
                                                                                                                                                            3⤵
                                                                                                                                                              PID:3292
                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                            C:\Windows\system32\cmd.exe /c taskkill /f /im HTTPDebuggerUI.exe >nul 2>&1
                                                                                                                                                            2⤵
                                                                                                                                                              PID:3916
                                                                                                                                                              • C:\Windows\system32\taskkill.exe
                                                                                                                                                                taskkill /f /im HTTPDebuggerUI.exe
                                                                                                                                                                3⤵
                                                                                                                                                                • Kills process with taskkill
                                                                                                                                                                • Suspicious use of AdjustPrivilegeToken
                                                                                                                                                                PID:3504
                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                              C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                              2⤵
                                                                                                                                                                PID:4804
                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                C:\Windows\system32\cmd.exe /c taskkill /f /im HTTPDebuggerSvc.exe >nul 2>&1
                                                                                                                                                                2⤵
                                                                                                                                                                  PID:4360
                                                                                                                                                                  • C:\Windows\system32\taskkill.exe
                                                                                                                                                                    taskkill /f /im HTTPDebuggerSvc.exe
                                                                                                                                                                    3⤵
                                                                                                                                                                    • Kills process with taskkill
                                                                                                                                                                    • Suspicious use of AdjustPrivilegeToken
                                                                                                                                                                    PID:5044
                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                  C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                  2⤵
                                                                                                                                                                    PID:3480
                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                    C:\Windows\system32\cmd.exe /c sc stop HTTPDebuggerPro >nul 2>&1
                                                                                                                                                                    2⤵
                                                                                                                                                                      PID:4776
                                                                                                                                                                      • C:\Windows\system32\sc.exe
                                                                                                                                                                        sc stop HTTPDebuggerPro
                                                                                                                                                                        3⤵
                                                                                                                                                                        • Launches sc.exe
                                                                                                                                                                        PID:2756
                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                      C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                      2⤵
                                                                                                                                                                        PID:2320
                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                        C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq cheatengine*" /IM * /F /T >nul 2>&1
                                                                                                                                                                        2⤵
                                                                                                                                                                          PID:2724
                                                                                                                                                                          • C:\Windows\system32\taskkill.exe
                                                                                                                                                                            taskkill /FI "IMAGENAME eq cheatengine*" /IM * /F /T
                                                                                                                                                                            3⤵
                                                                                                                                                                            • Kills process with taskkill
                                                                                                                                                                            • Suspicious use of AdjustPrivilegeToken
                                                                                                                                                                            PID:764
                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                          C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                          2⤵
                                                                                                                                                                            PID:780
                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                            C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq httpdebugger*" /IM * /F /T >nul 2>&1
                                                                                                                                                                            2⤵
                                                                                                                                                                              PID:2280
                                                                                                                                                                              • C:\Windows\system32\taskkill.exe
                                                                                                                                                                                taskkill /FI "IMAGENAME eq httpdebugger*" /IM * /F /T
                                                                                                                                                                                3⤵
                                                                                                                                                                                • Kills process with taskkill
                                                                                                                                                                                • Suspicious use of AdjustPrivilegeToken
                                                                                                                                                                                PID:4532
                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                              C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                              2⤵
                                                                                                                                                                                PID:2600
                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq processhacker*" /IM * /F /T >nul 2>&1
                                                                                                                                                                                2⤵
                                                                                                                                                                                  PID:4164
                                                                                                                                                                                  • C:\Windows\system32\taskkill.exe
                                                                                                                                                                                    taskkill /FI "IMAGENAME eq processhacker*" /IM * /F /T
                                                                                                                                                                                    3⤵
                                                                                                                                                                                    • Kills process with taskkill
                                                                                                                                                                                    • Suspicious use of AdjustPrivilegeToken
                                                                                                                                                                                    PID:3968
                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                                  2⤵
                                                                                                                                                                                    PID:1192
                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq fiddler*" /IM * /F /T >nul 2>&1
                                                                                                                                                                                    2⤵
                                                                                                                                                                                      PID:2220
                                                                                                                                                                                      • C:\Windows\system32\taskkill.exe
                                                                                                                                                                                        taskkill /FI "IMAGENAME eq fiddler*" /IM * /F /T
                                                                                                                                                                                        3⤵
                                                                                                                                                                                        • Kills process with taskkill
                                                                                                                                                                                        • Suspicious use of AdjustPrivilegeToken
                                                                                                                                                                                        PID:3600
                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                                      2⤵
                                                                                                                                                                                        PID:2656
                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq wireshark*" /IM * /F /T >nul 2>&1
                                                                                                                                                                                        2⤵
                                                                                                                                                                                          PID:2704
                                                                                                                                                                                          • C:\Windows\system32\taskkill.exe
                                                                                                                                                                                            taskkill /FI "IMAGENAME eq wireshark*" /IM * /F /T
                                                                                                                                                                                            3⤵
                                                                                                                                                                                            • Kills process with taskkill
                                                                                                                                                                                            • Suspicious use of AdjustPrivilegeToken
                                                                                                                                                                                            PID:4204
                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                                          2⤵
                                                                                                                                                                                            PID:1608
                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq rawshark*" /IM * /F /T >nul 2>&1
                                                                                                                                                                                            2⤵
                                                                                                                                                                                              PID:4992
                                                                                                                                                                                              • C:\Windows\system32\taskkill.exe
                                                                                                                                                                                                taskkill /FI "IMAGENAME eq rawshark*" /IM * /F /T
                                                                                                                                                                                                3⤵
                                                                                                                                                                                                • Kills process with taskkill
                                                                                                                                                                                                • Suspicious use of AdjustPrivilegeToken
                                                                                                                                                                                                PID:2836
                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                                              2⤵
                                                                                                                                                                                                PID:4728
                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq charles*" /IM * /F /T >nul 2>&1
                                                                                                                                                                                                2⤵
                                                                                                                                                                                                  PID:2788
                                                                                                                                                                                                  • C:\Windows\system32\taskkill.exe
                                                                                                                                                                                                    taskkill /FI "IMAGENAME eq charles*" /IM * /F /T
                                                                                                                                                                                                    3⤵
                                                                                                                                                                                                    • Kills process with taskkill
                                                                                                                                                                                                    • Suspicious use of AdjustPrivilegeToken
                                                                                                                                                                                                    PID:3036
                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                                                  2⤵
                                                                                                                                                                                                    PID:5032
                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq cheatengine*" /IM * /F /T >nul 2>&1
                                                                                                                                                                                                    2⤵
                                                                                                                                                                                                      PID:2980
                                                                                                                                                                                                      • C:\Windows\system32\taskkill.exe
                                                                                                                                                                                                        taskkill /FI "IMAGENAME eq cheatengine*" /IM * /F /T
                                                                                                                                                                                                        3⤵
                                                                                                                                                                                                        • Kills process with taskkill
                                                                                                                                                                                                        • Suspicious use of AdjustPrivilegeToken
                                                                                                                                                                                                        PID:332
                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                                                      2⤵
                                                                                                                                                                                                        PID:3620
                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq ida*" /IM * /F /T >nul 2>&1
                                                                                                                                                                                                        2⤵
                                                                                                                                                                                                          PID:944
                                                                                                                                                                                                          • C:\Windows\system32\taskkill.exe
                                                                                                                                                                                                            taskkill /FI "IMAGENAME eq ida*" /IM * /F /T
                                                                                                                                                                                                            3⤵
                                                                                                                                                                                                            • Kills process with taskkill
                                                                                                                                                                                                            • Suspicious use of AdjustPrivilegeToken
                                                                                                                                                                                                            PID:456
                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                                                          2⤵
                                                                                                                                                                                                            PID:1488
                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq httpdebugger*" /IM * /F /T >nul 2>&1
                                                                                                                                                                                                            2⤵
                                                                                                                                                                                                              PID:1224
                                                                                                                                                                                                              • C:\Windows\system32\taskkill.exe
                                                                                                                                                                                                                taskkill /FI "IMAGENAME eq httpdebugger*" /IM * /F /T
                                                                                                                                                                                                                3⤵
                                                                                                                                                                                                                • Kills process with taskkill
                                                                                                                                                                                                                PID:388
                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                                                              2⤵
                                                                                                                                                                                                                PID:4288
                                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c taskkill /FI "IMAGENAME eq processhacker*" /IM * /F /T >nul 2>&1
                                                                                                                                                                                                                2⤵
                                                                                                                                                                                                                  PID:1716
                                                                                                                                                                                                                  • C:\Windows\system32\taskkill.exe
                                                                                                                                                                                                                    taskkill /FI "IMAGENAME eq processhacker*" /IM * /F /T
                                                                                                                                                                                                                    3⤵
                                                                                                                                                                                                                    • Kills process with taskkill
                                                                                                                                                                                                                    PID:4684
                                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                                                                  2⤵
                                                                                                                                                                                                                    PID:1048
                                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c sc stop HTTPDebuggerPro >nul 2>&1
                                                                                                                                                                                                                    2⤵
                                                                                                                                                                                                                      PID:4780
                                                                                                                                                                                                                      • C:\Windows\system32\sc.exe
                                                                                                                                                                                                                        sc stop HTTPDebuggerPro
                                                                                                                                                                                                                        3⤵
                                                                                                                                                                                                                        • Launches sc.exe
                                                                                                                                                                                                                        PID:1632
                                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                                                                      2⤵
                                                                                                                                                                                                                        PID:1332
                                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c sc stop KProcessHacker3 >nul 2>&1
                                                                                                                                                                                                                        2⤵
                                                                                                                                                                                                                          PID:4612
                                                                                                                                                                                                                          • C:\Windows\system32\sc.exe
                                                                                                                                                                                                                            sc stop KProcessHacker3
                                                                                                                                                                                                                            3⤵
                                                                                                                                                                                                                            • Launches sc.exe
                                                                                                                                                                                                                            PID:4160
                                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                                                                          2⤵
                                                                                                                                                                                                                            PID:2956
                                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c sc stop KProcessHacker2 >nul 2>&1
                                                                                                                                                                                                                            2⤵
                                                                                                                                                                                                                              PID:5084
                                                                                                                                                                                                                              • C:\Windows\system32\sc.exe
                                                                                                                                                                                                                                sc stop KProcessHacker2
                                                                                                                                                                                                                                3⤵
                                                                                                                                                                                                                                • Launches sc.exe
                                                                                                                                                                                                                                PID:2276
                                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                                                                              2⤵
                                                                                                                                                                                                                                PID:4044
                                                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c sc stop KProcessHacker1 >nul 2>&1
                                                                                                                                                                                                                                2⤵
                                                                                                                                                                                                                                  PID:1432
                                                                                                                                                                                                                                  • C:\Windows\system32\sc.exe
                                                                                                                                                                                                                                    sc stop KProcessHacker1
                                                                                                                                                                                                                                    3⤵
                                                                                                                                                                                                                                    • Launches sc.exe
                                                                                                                                                                                                                                    PID:1356
                                                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                                                                                  2⤵
                                                                                                                                                                                                                                    PID:760
                                                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c sc stop wireshark >nul 2>&1
                                                                                                                                                                                                                                    2⤵
                                                                                                                                                                                                                                      PID:2420
                                                                                                                                                                                                                                      • C:\Windows\system32\sc.exe
                                                                                                                                                                                                                                        sc stop wireshark
                                                                                                                                                                                                                                        3⤵
                                                                                                                                                                                                                                        • Launches sc.exe
                                                                                                                                                                                                                                        PID:4080
                                                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c sc stop npf >nul 2>&1
                                                                                                                                                                                                                                      2⤵
                                                                                                                                                                                                                                        PID:4464
                                                                                                                                                                                                                                        • C:\Windows\system32\sc.exe
                                                                                                                                                                                                                                          sc stop npf
                                                                                                                                                                                                                                          3⤵
                                                                                                                                                                                                                                          • Launches sc.exe
                                                                                                                                                                                                                                          PID:2356
                                                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                                                                                                        2⤵
                                                                                                                                                                                                                                          PID:4908
                                                                                                                                                                                                                                      • C:\Windows\System32\mousocoreworker.exe
                                                                                                                                                                                                                                        C:\Windows\System32\mousocoreworker.exe -Embedding
                                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                                          PID:4072
                                                                                                                                                                                                                                        • C:\Windows\System32\sihclient.exe
                                                                                                                                                                                                                                          C:\Windows\System32\sihclient.exe /cv dtbl5AUGDUqPBoGYpHSIUw.0.2
                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                            PID:3504

                                                                                                                                                                                                                                          Network

                                                                                                                                                                                                                                          MITRE ATT&CK Enterprise v15

                                                                                                                                                                                                                                          Replay Monitor

                                                                                                                                                                                                                                          Loading Replay Monitor...

                                                                                                                                                                                                                                          Downloads

                                                                                                                                                                                                                                          • memory/3372-0-0x0000000140000000-0x0000000143E98000-memory.dmp

                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                            62.6MB

                                                                                                                                                                                                                                          • memory/3372-1-0x00000001422F8000-0x0000000142599000-memory.dmp

                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                            2.6MB

                                                                                                                                                                                                                                          • memory/3372-3-0x00007FFE249E0000-0x00007FFE249E2000-memory.dmp

                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                            8KB

                                                                                                                                                                                                                                          • memory/3372-2-0x00007FFE249D0000-0x00007FFE249D2000-memory.dmp

                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                            8KB

                                                                                                                                                                                                                                          • memory/3372-4-0x0000000140000000-0x0000000143E98000-memory.dmp

                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                            62.6MB

                                                                                                                                                                                                                                          • memory/3372-8-0x0000000140000000-0x0000000143E98000-memory.dmp

                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                            62.6MB

                                                                                                                                                                                                                                          • memory/3372-9-0x0000000140000000-0x0000000143E98000-memory.dmp

                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                            62.6MB

                                                                                                                                                                                                                                          • memory/3372-11-0x00000001422F8000-0x0000000142599000-memory.dmp

                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                            2.6MB

                                                                                                                                                                                                                                          • memory/3372-12-0x0000000140000000-0x0000000143E98000-memory.dmp

                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                            62.6MB

                                                                                                                                                                                                                                          • memory/3372-13-0x0000000140000000-0x0000000143E98000-memory.dmp

                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                            62.6MB

                                                                                                                                                                                                                                          • memory/3372-15-0x0000000140000000-0x0000000143E98000-memory.dmp

                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                            62.6MB

                                                                                                                                                                                                                                          • memory/3372-16-0x00000001422F8000-0x0000000142599000-memory.dmp

                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                            2.6MB